Фильтрация VLAN bridge может использоваться на устройствах Mikrorik без чипа коммутации или в случаях когда необходимо организовать защиту от петель Spanning Tree. В устройствах, которые не имеют аппаратной поддержки фильтрации vlan на мосте "Bridge VLAN Filtering" (в основном все устройства Mikrotik кроме серии CRS3xx), вся нагрузка ляжет на CPU. Поэтому для большинства роутеров и устройств Mikrotik настройку trunk и access портов рекомендуется выполнять с помощью VLAN switching.
Рассмотрим базовый сценарий настройки VLAN фильтрации в bridge, позволяющий разделить локальную сеть на два виртуальных сегмента для разных отделов офиса.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Ether1 - это trunk-порт (VLAN20, VLAN30 и VLAN90_MGMT для доступа к управлению)
Ether2 - access-порт VLAN20
Ether3 - access-порт VLAN30
1. Создайте мост bidge1.
Не включайте на данном этапе фильтрацию VLAN, чтобы не потерять доступ к устройству.
/interface bridge
add name=bridge1 vlan-filtering=no
2. Добавьте порты в bridge
Access-портам ether2 и ether3 назначьте PVID и обозначьте пропуск только нетегированного трафика: frame-types=admit-only-untagged-and-priority-tagged.
PVID (Port VLAN ID) - используется для ACCESS-портов и маркирует весь входящий трафик соответствующим VLAN ID.
/interface bridge port
add bridge=bridge1 interface=ether2 pvid=20 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge1 interface=ether3 pvid=30 frame-types=admit-only-untagged-and-priority-tagged
Для trunk-порта ether1 настройте пропуск только тегированных кадров: frame-types=admit-only-vlan-tagged.
Для порта Ether1 PVID не назначаем т.к. он является tunk-портом и передает tagged-трафик
/interface bridge port
add bridge=bridge1 interface=ether1 frame-types=admit-only-vlan-tagged
3. Добавьте соответствующие записи в VLAN таблицу моста.
Во вкладке VLANs создайте записи для каждого VLAN ID и укажите тегированный интерфейс ether1
Для нетегированных портов ether2 и ether3 записи будут добавлены автоматически.
/interface bridge vlan
add bridge=bridge1 tagged=ether1 vlan-ids=20
add bridge=bridge1 tagged=ether1 vlan-ids=30
add bridge=bridge1 tagged=ether1,bridge1 vlan-ids=90 
4. Настройте VLAN-интерфейс для доступа к управлению устройством.
Создайте VLAN интерфейс с id=90 на bridge1.
/interface vlan
add interface=bridge1 vlan-id=90 name=MGMT
Назначьте созданному vlan-интерфейсу ip адрес
/ip address
add address=192.168.90.1/24 interface=MGMT
5. На завершающем этапе включите фильтрацию VLAN на bridge1.
/interface bridge
set bridge1 vlan-filtering=yes
В случае работающей VLAN фильтрации на bridge таблица VLAN выглядит примерно так:
[admin@RouterOS] > interface bridge vlan print
Flags: X - disabled, D - dynamic
# BRIDGE VLAN-IDS CURRENT-TAGGED CURRENT-UNTAGGED
0 bridge1 20 ether1 ether2
1 bridge1 30 ether1 ether3
2 bridge1 90 bridge1
ether1
3 D bridge1 1 bridge1
ether1 
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Всё гениально и просто.
Спасибо кеп!
Подскажите пожалуйста, в некоторых мануалах видел, что на этапе добавления записей в таблицу VLAN добавляют помимо портов еще и бридж, в каких случаях это нужно делать, а в каких нет?
Если вы повесите vlan на бридж, то он будет доступен на всех интерфейсах (портах) входящих в этот бридж, вот и все.
вопрос был не про vlan в бридж, а бридж во vlan, например в поле tagged, а делаю это для того, чтобы vlan имел доступ к процессору роутера, так как бридж по сути является портом cpu, и если не добавить бридж в вилан, то из этого вила не будет доступно, например, управление роутером.
Не понимаю о чем вы, что за доступ к процессору и порты cpu? Бридж не может быть никаким портом cpu! Если вы работаете с vlan, то вам нужно для начала понять что это такое, разобраться в понятиях trunk и access порта. И тогда больше не будете терять доступ к управлению микротиком.
Если вы хотите в порт микротика отправлять vlan и при этом чтобы подключенный на этот порт клиент работал без vlan (не умеет работать с vlan), то вам нужен access порт.
Если повесить vlan на бридж, то он будет доступен на всех интерфейсах (портах) входящих в этот бридж, как tag или untag?
как tagged
А как, в представленном решении, навесить сети на vlan? Чтобы микротик был шлюзом для этих сетей
Если микротик является dhcp-сервером, то если я в tagged не добавляю бридж - vlan не работает либо работает не стабильно. На промежуточных микротиках добавляю только порты
Для начала нам необходимо создать мост bidge1 с фильтрацией VLAN. Для включение фильтрации VLAN перейдите во вкладку VLAN и отметьте пункт "VLAN Filtering".
После такого начала Вы потеряете доступ к устройству, так как еще не сконфигурировали VLANы ...
Не надо создавать фильтрацию vlan на существующем бридже, через который осуществляется управление микротиком. Здесь ключевое слово СОЗДАТЬ мост.
У вас по записям и по картинкам как раз и управление и фильтрация на одном бридже bidge1
Валерий, в данной схеме просто нет другого бриджа. Есть один менджмент порт, который не входит ни в какой бридж. Это может быть ether4 или ether5.
Если вы управляете микротиком через порт, который в составе бриджа. То не трогайте этот бридж - создайте другой.
А как, в представленном решении, навесить сети на vlan? Чтобы микротик был шлюзом для этих сетей
Нужно на роутере на соответствующий vlan-интерфейс повесить ip адрес. Затем настроить конфигурацию dhcp-сервера, которая будет отдаваться на этот vlan интерфейс
Не работает эта схема.
Проверял и на виртуальной машине с помощью Mikrotik CHR и на железе RB951Ui-2HnD