VLAN bridge на Mikrotik - TRUNK и ACCESS порты

      21 комментарий к записи VLAN bridge на Mikrotik - TRUNK и ACCESS порты

Фильтрация VLAN bridge может использоваться на устройствах Mikrorik без чипа коммутации или в случаях когда необходимо организовать защиту от петель Spanning Tree. В устройствах, которые не имеют аппаратной поддержки фильтрации vlan на мосте "Bridge VLAN Filtering" (в основном все устройства Mikrotik кроме серии CRS3xx), вся нагрузка ляжет на CPU. Поэтому для большинства роутеров и устройств Mikrotik настройку trunk и access портов рекомендуется выполнять с помощью VLAN switching.

Рассмотрим базовый сценарий настройки VLAN фильтрации в bridge, позволяющий разделить локальную сеть на два виртуальных сегмента для разных отделов офиса.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Ether1 - это trunk-порт (VLAN20, VLAN30 и VLAN90_MGMT для доступа к управлению)
Ether2 - access-порт VLAN20
Ether3 - access-порт VLAN30

Базовая схема коммутации VLAN

1. Создайте мост bidge1.
Не включайте на данном этапе фильтрацию VLAN, чтобы не потерять доступ к устройству. 

/interface bridge
add name=bridge1 vlan-filtering=no

2. Добавьте порты в bridge

Access-портам ether2 и ether3 назначьте PVID и обозначьте пропуск только нетегированного трафика: frame-types=admit-only-untagged-and-priority-tagged.
PVID (Port VLAN ID) - используется для ACCESS-портов и маркирует весь входящий трафик соответствующим VLAN ID.

/interface bridge port
add bridge=bridge1 interface=ether2 pvid=20 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge1 interface=ether3 pvid=30 frame-types=admit-only-untagged-and-priority-tagged

Для trunk-порта ether1 настройте пропуск только тегированных кадров: frame-types=admit-only-vlan-tagged.
Для порта Ether1 PVID не назначаем т.к. он является tunk-портом и передает tagged-трафик

/interface bridge port
add bridge=bridge1 interface=ether1 frame-types=admit-only-vlan-tagged

3. Добавьте соответствующие записи в VLAN таблицу моста.
Во вкладке VLANs создайте записи для каждого VLAN ID и укажите тегированный интерфейс ether1

Для нетегированных портов ether2 и ether3 записи будут добавлены автоматически.

/interface bridge vlan
add bridge=bridge1 tagged=ether1 vlan-ids=20
add bridge=bridge1 tagged=ether1 vlan-ids=30
add bridge=bridge1 tagged=ether1,bridge1 vlan-ids=90

4. Настройте VLAN-интерфейс для доступа к управлению устройством.
Создайте VLAN интерфейс с id=90 на bridge1.

/interface vlan
add interface=bridge1 vlan-id=90 name=MGMT

Назначьте созданному vlan-интерфейсу ip адрес

/ip address
add address=192.168.90.1/24 interface=MGMT

5. На завершающем этапе включите фильтрацию VLAN на bridge1.

/interface bridge
set bridge1 vlan-filtering=yes

В случае работающей VLAN фильтрации на bridge таблица VLAN выглядит примерно так:

[admin@RouterOS] > interface bridge vlan print 
Flags: X - disabled, D - dynamic 
 #   BRIDGE           VLAN-IDS  CURRENT-TAGGED          CURRENT-UNTAGGED        
 0   bridge1          20        ether1                  ether2                  
 1   bridge1          30        ether1                  ether3                  
 2   bridge1          90        bridge1                
                                ether1                 
 3 D bridge1          1                                 bridge1                 
                                                        ether1

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

21 thoughts on “VLAN bridge на Mikrotik - TRUNK и ACCESS порты

  2. Павел

    Подскажите пожалуйста, в некоторых мануалах видел, что на этапе добавления записей в таблицу VLAN добавляют помимо портов еще и бридж, в каких случаях это нужно делать, а в каких нет?

    Ответить
    1. admin Автор записи

      Если вы повесите vlan на бридж, то он будет доступен на всех интерфейсах (портах) входящих в этот бридж, вот и все.

      Ответить
      1. админский админ

        вопрос был не про vlan в бридж, а бридж во vlan, например в поле tagged, а делаю это для того, чтобы vlan имел доступ к процессору роутера, так как бридж по сути является портом cpu, и если не добавить бридж в вилан, то из этого вила не будет доступно, например, управление роутером.

        Ответить
        1. admin Автор записи

          Не понимаю о чем вы, что за доступ к процессору и порты cpu? Бридж не может быть никаким портом cpu! Если вы работаете с vlan, то вам нужно для начала понять что это такое, разобраться в понятиях trunk и access порта. И тогда больше не будете терять доступ к управлению микротиком.
          Если вы хотите в порт микротика отправлять vlan и при этом чтобы подключенный на этот порт клиент работал без vlan (не умеет работать с vlan), то вам нужен access порт.

          Ответить
      2. Alex

        Если повесить vlan на бридж, то он будет доступен на всех интерфейсах (портах) входящих в этот бридж, как tag или untag?

        Ответить
          1. Alex

            А как, в представленном решении, навесить сети на vlan? Чтобы микротик был шлюзом для этих сетей

    2. Валерий

      Если микротик является dhcp-сервером, то если я в tagged не добавляю бридж - vlan не работает либо работает не стабильно. На промежуточных микротиках добавляю только порты

      Ответить
  3. Валерий

    Для начала нам необходимо создать мост bidge1 с фильтрацией VLAN. Для включение фильтрации VLAN перейдите во вкладку VLAN и отметьте пункт "VLAN Filtering".
    После такого начала Вы потеряете доступ к устройству, так как еще не сконфигурировали VLANы ...

    Ответить
    1. admin Автор записи

      Не надо создавать фильтрацию vlan на существующем бридже, через который осуществляется управление микротиком. Здесь ключевое слово СОЗДАТЬ мост.

      Ответить
      1. Валерий

        У вас по записям и по картинкам как раз и управление и фильтрация на одном бридже bidge1

        Ответить
        1. admin Автор записи

          Валерий, в данной схеме просто нет другого бриджа. Есть один менджмент порт, который не входит ни в какой бридж. Это может быть ether4 или ether5.
          Если вы управляете микротиком через порт, который в составе бриджа. То не трогайте этот бридж - создайте другой.

          Ответить
  4. Alex

    А как, в представленном решении, навесить сети на vlan? Чтобы микротик был шлюзом для этих сетей

    Ответить
    1. admin Автор записи

      Нужно на роутере на соответствующий vlan-интерфейс повесить ip адрес. Затем настроить конфигурацию dhcp-сервера, которая будет отдаваться на этот vlan интерфейс

      Ответить
  5. satosan

    Не работает эта схема.
    Проверял и на виртуальной машине с помощью Mikrotik CHR и на железе RB951Ui-2HnD

    Ответить
  6. Михаил

    Добрый день.
    Создал влан метка 200, назначил на интерфейс ether1. добавил адрес. вроде все работает, узлы пингуются.
    но если открыть торч, то на всем трафике нет метки влана. Причем видно сеть тько этого влан, если в настройках vlan сменить метку на другой влан, трафик пойдет из другого влана опять же без метки.
    к чему я это, если на микротике создать бридж, то он перестает видеть трафик.
    Настройки порта к которому подключен микротик:
    -------------------------------------------------------------
    interface GigaEthernet0/8
    description UPLINK
    switchport trunk vlan-allowed 100,2301-2302
    switchport trunk vlan-untagged none
    switchport mode trunk
    dhcp snooping trust
    ---------------------------------------------------------------

    настройка микротик:
    ссылка на пастбиан на https://pastebin.com/JRNEcvi5

    Ответить
    1. admin Автор записи

      Здравствуйте. Непонятно без схемы. Вы вроде говорите про vlan 200, а в настройках он нигде не фигурирует. На пастбиан пишите, что пингуете адрес, но где он находится тоже непонятно.

      Ответить
      1. Михаил

        Да, простите. Не 200 а 100 MGNT. 4 порт микротика. С другой стороны bdcom, на интерфейс 100 влана назначен адрес 192.168.0.6. его и пингую.

        Ответить
  7. Эдгар

    Добрый день.

    А с чем может быть связана проблема отключения пинга к Микротику после включения VLAN-ов?

    Для доступа к нашим серверам в ДЦ, с провайдером было решено настраивать VLAN-ы.
    Они выделили Vlan, я прописал его в бридж, повесил на исходящий порт eth1 и появилась такая проблема, что спустя какое-то время на большинстве устройств входящих в сеть подключенную через бридж (но, кстати не на всех, что очень странно, к слову) - начинает пропадать доступ к шлюзу, коим и является этот Микротик. Если отключить Vlan на несколько секунд, включить его заново - доступ снова появляется. При этом доступ к другим устройствам в этой сети остается, т.к. они подключены через еще один коммутатор.

    Ну т.е. для понимания схемы

    Сервера->ДЦ->облачко интернета от того же провайдера, что содержит ДЦ->мой четырехпортовый микротик являющийся шлюзом->неуправляемый коммутатор->куча устройств в сети

    Между собой эти куча устройств вполне ходят, без каких либо проблем, а вот до микротика связь иногда теряется при включенном Vlan

    Ответить

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *