Стоит заметить, что существует не один способ организации VLAN трафика на Mikrotik. Но только один из этих способов конфигурации VLAN является наиболее корректным, позволяющим исключить проблемы с производительностью и подключением.
Начиная с версии RouterOS 6.41 стало возможно использовать мост для фильтрации VLAN и именно эта конфигурация рекомендована официальным Wiki Mikrotik.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Рассмотрим базовую конфигурацию VLAN позволяющую разделить локальную сеть на два виртуальных сегмента для разных отделов офиса.
Ether1 - это trunk-порт, VLAN20 и VLAN30
Ether2 - access-порт VLAN20
Ether3 - access-порт VLAN30
Для начала нам необходимо создать мост bidge1 с фильтрацией VLAN. Для включение фильтрации VLAN перейдите во вкладку VLAN и отметьте пункт "VLAN Filtering".
В статье я буду приводить примеры настроек как для графического интерфейса так и для консоли.
interface bridge add name=bridge1 vlan-filtering=yesДобавляем порты в мост bidge1 и назначаем им PVID.
PVID (Port VLAN ID) - используется для ACCESS-портов и маркирует весь входящий трафик соответствующим VLAN ID. Поэтому для порта Ether1 PVID не назначаем т.к. он является tunk-портом и передает tagged-трафик
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2 pvid=20
add bridge=bridge1 interface=ether3 pvid=30Добавляем соответствующие записи в VLAN таблицу моста.
- Для VLAN20 в качестве порта передающего тегированный трафик выбираем Ether1 (trunk), порт для нетегированного трафика Ether2 (access).
- VLAN30 для тегированного трафика так же Ether1 (trunk), нетегированный - Ether3 (access).
/interface bridge vlan
add bridge=bridge1 tagged=ether1 untagged=ether2 vlan-ids=20
add bridge=bridge1 tagged=ether1 untagged=ether3 vlan-ids=30В случае работающей VLAN фильтрации на bridge таблица VLAN выглядит примерно так:
[admin@MikroTik] > /interface bridge vlan print
Flags: X - disabled, D - dynamic
# BRIDGE VLAN-IDS CURRENT-TAGGED CURRENT-UNTAGGED
0 bridge1 20 ether1 ether2
1 bridge1 30 ether1 ether3
2 D bridge1 1 bridge1
ether1Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Всё гениально и просто.
Спасибо кеп!
Подскажите пожалуйста, в некоторых мануалах видел, что на этапе добавления записей в таблицу VLAN добавляют помимо портов еще и бридж, в каких случаях это нужно делать, а в каких нет?
Если вы повесите vlan на бридж, то он будет доступен на всех интерфейсах (портах) входящих в этот бридж, вот и все.
вопрос был не про vlan в бридж, а бридж во vlan, например в поле tagged, а делаю это для того, чтобы vlan имел доступ к процессору роутера, так как бридж по сути является портом cpu, и если не добавить бридж в вилан, то из этого вила не будет доступно, например, управление роутером.
Не понимаю о чем вы, что за доступ к процессору и порты cpu? Бридж не может быть никаким портом cpu! Если вы работаете с vlan, то вам нужно для начала понять что это такое, разобраться в понятиях trunk и access порта. И тогда больше не будете терять доступ к управлению микротиком.
Если вы хотите в порт микротика отправлять vlan и при этом чтобы подключенный на этот порт клиент работал без vlan (не умеет работать с vlan), то вам нужен access порт.
Если повесить vlan на бридж, то он будет доступен на всех интерфейсах (портах) входящих в этот бридж, как tag или untag?
как tagged
А как, в представленном решении, навесить сети на vlan? Чтобы микротик был шлюзом для этих сетей
Если микротик является dhcp-сервером, то если я в tagged не добавляю бридж - vlan не работает либо работает не стабильно. На промежуточных микротиках добавляю только порты
Для начала нам необходимо создать мост bidge1 с фильтрацией VLAN. Для включение фильтрации VLAN перейдите во вкладку VLAN и отметьте пункт "VLAN Filtering".
После такого начала Вы потеряете доступ к устройству, так как еще не сконфигурировали VLANы ...
Не надо создавать фильтрацию vlan на существующем бридже, через который осуществляется управление микротиком. Здесь ключевое слово СОЗДАТЬ мост.
У вас по записям и по картинкам как раз и управление и фильтрация на одном бридже bidge1
Валерий, в данной схеме просто нет другого бриджа. Есть один менджмент порт, который не входит ни в какой бридж. Это может быть ether4 или ether5.
Если вы управляете микротиком через порт, который в составе бриджа. То не трогайте этот бридж - создайте другой.
А как, в представленном решении, навесить сети на vlan? Чтобы микротик был шлюзом для этих сетей