Фильтрация VLAN bridge может использоваться на устройствах Mikrorik без чипа коммутации или в случаях когда необходимо организовать защиту от петель Spanning Tree. В устройствах, которые не имеют аппаратной поддержки фильтрации vlan на мосте "Bridge VLAN Filtering" (в основном все устройства Mikrotik кроме серии CRS3xx), вся нагрузка ляжет на CPU. Поэтому для большинства роутеров и устройств Mikrotik настройку trunk и access портов рекомендуется выполнять с помощью VLAN switching.
Рассмотрим базовый сценарий настройки VLAN фильтрации в bridge, позволяющий разделить локальную сеть на два виртуальных сегмента для разных отделов офиса.
Ether1 - это trunk-порт (VLAN20, VLAN30 и VLAN90_MGMT для доступа к управлению)
Ether2 - access-порт VLAN20
Ether3 - access-порт VLAN30
1. Создайте мост bidge1.
Не включайте на данном этапе фильтрацию VLAN, чтобы не потерять доступ к устройству.
/interface bridge
add name=bridge1 vlan-filtering=no
2. Добавьте порты в bridge
Access-портам ether2 и ether3 назначьте PVID и обозначьте пропуск только нетегированного трафика: frame-types=admit-only-untagged-and-priority-tagged.
PVID (Port VLAN ID) - используется для ACCESS-портов и маркирует весь входящий трафик соответствующим VLAN ID.
/interface bridge port
add bridge=bridge1 interface=ether2 pvid=20 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge1 interface=ether3 pvid=30 frame-types=admit-only-untagged-and-priority-tagged
Для trunk-порта ether1 настройте пропуск только тегированных кадров: frame-types=admit-only-vlan-tagged.
Для порта Ether1 PVID не назначаем т.к. он является tunk-портом и передает tagged-трафик
/interface bridge port
add bridge=bridge1 interface=ether1 frame-types=admit-only-vlan-tagged
3. Добавьте соответствующие записи в VLAN таблицу моста.
Во вкладке VLANs создайте записи для каждого VLAN ID и укажите тегированный интерфейс ether1
Для нетегированных портов ether2 и ether3 записи будут добавлены автоматически.
/interface bridge vlan
add bridge=bridge1 tagged=ether1 vlan-ids=20
add bridge=bridge1 tagged=ether1 vlan-ids=30
add bridge=bridge1 tagged=ether1,bridge1 vlan-ids=90 
4. Настройте VLAN-интерфейс для доступа к управлению устройством.
Создайте VLAN интерфейс с id=90 на bridge1.
/interface vlan
add interface=bridge1 vlan-id=90 name=MGMT
Назначьте созданному vlan-интерфейсу ip адрес
/ip address
add address=192.168.90.1/24 interface=MGMT
5. На завершающем этапе включите фильтрацию VLAN на bridge1.
/interface bridge
set bridge1 vlan-filtering=yes
В случае работающей VLAN фильтрации на bridge таблица VLAN выглядит примерно так:
[admin@RouterOS] > interface bridge vlan print
Flags: X - disabled, D - dynamic
# BRIDGE VLAN-IDS CURRENT-TAGGED CURRENT-UNTAGGED
0 bridge1 20 ether1 ether2
1 bridge1 30 ether1 ether3
2 bridge1 90 bridge1
ether1
3 D bridge1 1 bridge1
ether1 
Всё гениально и просто.
Спасибо кеп!
Подскажите пожалуйста, в некоторых мануалах видел, что на этапе добавления записей в таблицу VLAN добавляют помимо портов еще и бридж, в каких случаях это нужно делать, а в каких нет?
Если вы повесите vlan на бридж, то он будет доступен на всех интерфейсах (портах) входящих в этот бридж, вот и все.
вопрос был не про vlan в бридж, а бридж во vlan, например в поле tagged, а делаю это для того, чтобы vlan имел доступ к процессору роутера, так как бридж по сути является портом cpu, и если не добавить бридж в вилан, то из этого вила не будет доступно, например, управление роутером.
Не понимаю о чем вы, что за доступ к процессору и порты cpu? Бридж не может быть никаким портом cpu! Если вы работаете с vlan, то вам нужно для начала понять что это такое, разобраться в понятиях trunk и access порта. И тогда больше не будете терять доступ к управлению микротиком.
Если вы хотите в порт микротика отправлять vlan и при этом чтобы подключенный на этот порт клиент работал без vlan (не умеет работать с vlan), то вам нужен access порт.
Если повесить vlan на бридж, то он будет доступен на всех интерфейсах (портах) входящих в этот бридж, как tag или untag?
как tagged
А как, в представленном решении, навесить сети на vlan? Чтобы микротик был шлюзом для этих сетей
Если микротик является dhcp-сервером, то если я в tagged не добавляю бридж - vlan не работает либо работает не стабильно. На промежуточных микротиках добавляю только порты
Для начала нам необходимо создать мост bidge1 с фильтрацией VLAN. Для включение фильтрации VLAN перейдите во вкладку VLAN и отметьте пункт "VLAN Filtering".
После такого начала Вы потеряете доступ к устройству, так как еще не сконфигурировали VLANы ...
Не надо создавать фильтрацию vlan на существующем бридже, через который осуществляется управление микротиком. Здесь ключевое слово СОЗДАТЬ мост.
У вас по записям и по картинкам как раз и управление и фильтрация на одном бридже bidge1
Валерий, в данной схеме просто нет другого бриджа. Есть один менджмент порт, который не входит ни в какой бридж. Это может быть ether4 или ether5.
Если вы управляете микротиком через порт, который в составе бриджа. То не трогайте этот бридж - создайте другой.
А как, в представленном решении, навесить сети на vlan? Чтобы микротик был шлюзом для этих сетей
Нужно на роутере на соответствующий vlan-интерфейс повесить ip адрес. Затем настроить конфигурацию dhcp-сервера, которая будет отдаваться на этот vlan интерфейс
Не работает эта схема.
Проверял и на виртуальной машине с помощью Mikrotik CHR и на железе RB951Ui-2HnD
Добрый день.
Создал влан метка 200, назначил на интерфейс ether1. добавил адрес. вроде все работает, узлы пингуются.
но если открыть торч, то на всем трафике нет метки влана. Причем видно сеть тько этого влан, если в настройках vlan сменить метку на другой влан, трафик пойдет из другого влана опять же без метки.
к чему я это, если на микротике создать бридж, то он перестает видеть трафик.
Настройки порта к которому подключен микротик:
-------------------------------------------------------------
interface GigaEthernet0/8
description UPLINK
switchport trunk vlan-allowed 100,2301-2302
switchport trunk vlan-untagged none
switchport mode trunk
dhcp snooping trust
---------------------------------------------------------------
настройка микротик:
ссылка на пастбиан на https://pastebin.com/JRNEcvi5
Здравствуйте. Непонятно без схемы. Вы вроде говорите про vlan 200, а в настройках он нигде не фигурирует. На пастбиан пишите, что пингуете адрес, но где он находится тоже непонятно.
Да, простите. Не 200 а 100 MGNT. 4 порт микротика. С другой стороны bdcom, на интерфейс 100 влана назначен адрес 192.168.0.6. его и пингую.
Добрый день.
А с чем может быть связана проблема отключения пинга к Микротику после включения VLAN-ов?
Для доступа к нашим серверам в ДЦ, с провайдером было решено настраивать VLAN-ы.
Они выделили Vlan, я прописал его в бридж, повесил на исходящий порт eth1 и появилась такая проблема, что спустя какое-то время на большинстве устройств входящих в сеть подключенную через бридж (но, кстати не на всех, что очень странно, к слову) - начинает пропадать доступ к шлюзу, коим и является этот Микротик. Если отключить Vlan на несколько секунд, включить его заново - доступ снова появляется. При этом доступ к другим устройствам в этой сети остается, т.к. они подключены через еще один коммутатор.
Ну т.е. для понимания схемы
Сервера->ДЦ->облачко интернета от того же провайдера, что содержит ДЦ->мой четырехпортовый микротик являющийся шлюзом->неуправляемый коммутатор->куча устройств в сети
Между собой эти куча устройств вполне ходят, без каких либо проблем, а вот до микротика связь иногда теряется при включенном Vlan
Какое в домашней сети найти этому применение?
Столкнулся такой проблемой.
Как настроить на порту trunk и access одновременно?