VLAN bridge на Mikrotik - TRUNK и ACCESS порты

      7 комментариев к записи VLAN bridge на Mikrotik - TRUNK и ACCESS порты

Стоит заметить, что существует не один способ организации VLAN трафика на Mikrotik. Но только один из этих способов конфигурации VLAN является наиболее корректным, позволяющим исключить проблемы с производительностью и подключением.

Начиная с версии RouterOS 6.41 стало возможно использовать мост для фильтрации VLAN и именно эта конфигурация рекомендована официальным Wiki Mikrotik.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Рассмотрим базовую конфигурацию VLAN позволяющую разделить локальную сеть на два виртуальных сегмента для разных отделов офиса.

Ether1 - это trunk-порт, VLAN20 и VLAN30
Ether2 - access-порт VLAN20
Ether3 - access-порт VLAN30

Базовая схема коммутации VLAN
Базовая схема коммутации VLAN

Для начала нам необходимо создать мост bidge1 с фильтрацией VLAN. Для включение фильтрации VLAN перейдите во вкладку VLAN и отметьте пункт "VLAN Filtering".

мост с фильтрацией VLAN
Мост с фильтрацией VLAN

В статье я буду приводить примеры настроек как для графического интерфейса так и для консоли.

interface bridge add name=bridge1 vlan-filtering=yes

Добавляем порты в мост bidge1 и назначаем им PVID.

PVID (Port VLAN ID) - используется для ACCESS-портов и маркирует весь входящий трафик соответствующим VLAN ID. Поэтому для порта Ether1 PVID не назначаем т.к. он является tunk-портом и передает tagged-трафик

Добавление access порта с PVID в bridge
Добавление access порта с PVID в bridge
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2 pvid=20
add bridge=bridge1 interface=ether3 pvid=30

Добавляем соответствующие записи в VLAN таблицу моста.

  • Для VLAN20 в качестве порта передающего тегированный трафик выбираем Ether1 (trunk), порт для нетегированного трафика Ether2 (access).
  • VLAN30 для тегированного трафика так же Ether1 (trunk), нетегированный - Ether3 (access).
VLAN таблица моста
VLAN таблица моста
/interface bridge vlan
add bridge=bridge1 tagged=ether1 untagged=ether2 vlan-ids=20
add bridge=bridge1 tagged=ether1 untagged=ether3 vlan-ids=30

В случае работающей VLAN фильтрации на bridge таблица VLAN выглядит примерно так:

[admin@MikroTik] > /interface bridge vlan print
Flags: X - disabled, D - dynamic 
 #   BRIDGE                     VLAN-IDS  CURRENT-TAGGED       CURRENT-UNTAGGED                                                      
 0   bridge1                    20        ether1               ether2                                                                
 1   bridge1                    30        ether1               ether3                                                                
 2 D bridge1                    1                              bridge1                                                                
                                                               ether1

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

7 thoughts on “VLAN bridge на Mikrotik - TRUNK и ACCESS порты

  2. Павел

    Подскажите пожалуйста, в некоторых мануалах видел, что на этапе добавления записей в таблицу VLAN добавляют помимо портов еще и бридж, в каких случаях это нужно делать, а в каких нет?

    Ответить
    1. admin Автор записи

      Если вы повесите vlan на бридж, то он будет доступен на всех интерфейсах (портах) входящих в этот бридж, вот и все.

      Ответить
      1. админский админ

        вопрос был не про vlan в бридж, а бридж во vlan, например в поле tagged, а делаю это для того, чтобы vlan имел доступ к процессору роутера, так как бридж по сути является портом cpu, и если не добавить бридж в вилан, то из этого вила не будет доступно, например, управление роутером.

        Ответить
        1. admin Автор записи

          Не понимаю о чем вы, что за доступ к процессору и порты cpu? Бридж не может быть никаким портом cpu! Если вы работаете с vlan, то вам нужно для начала понять что это такое, разобраться в понятиях trunk и access порта. И тогда больше не будете терять доступ к управлению микротиком.
          Если вы хотите в порт микротика отправлять vlan и при этом чтобы подключенный на этот порт клиент работал без vlan (не умеет работать с vlan), то вам нужен access порт.

          Ответить
  3. Валерий

    Для начала нам необходимо создать мост bidge1 с фильтрацией VLAN. Для включение фильтрации VLAN перейдите во вкладку VLAN и отметьте пункт "VLAN Filtering".
    После такого начала Вы потеряете доступ к устройству, так как еще не сконфигурировали VLANы ...

    Ответить
    1. admin Автор записи

      Не надо создавать фильтрацию vlan на существующем бридже, через который осуществляется управление микротиком. Здесь ключевое слово СОЗДАТЬ мост.

      Ответить

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *