Настройка VLAN на Mikrotik
Дата обновления: 04.02.2022Теги: Mikrotik
В видео описан пример настройки VLAN на роутере Mikrotik 951-й серии. VLAN софтовый, не использует switch чип, описан так называемый Bridge VLAN Filtering. Универсальный, так сказать, способ.
1-й вариант (описан в видео, Bridge VLAN Filtering). Для лучшего понимания процесса кратко суть: сделать общий бридж (например, bridge1), на него "повесить" vlan-ы, добавлять в бридж bridge1 порты доступа (access ports или другими словами, untagged) или trunk-порты (или другими словами, tagged порты). Этот способ хорош тем, что он един по своей логике с настройкой bridge и vlan не только на роутере с одним trunk-портом, но также подходит к настройке коммутаторов mikrotik. Я очень рекомендовал бы вникнуть в суть этого подхода. На мой взгляд он логичен. Vlan здесь - сущность "над портами". Создали vlan и постепенно наполняете его нужными портами. А не отталкиваетесь от т.н. trunk-порта, куда подключен нижестоящий коммутатор (см. ниже;).
Другими словами - есть bridge (коммутатор, короче), по нему бегает трафик. Трафик может приходить с любого порта и уходить на какой-то другой порт или порты. Это так и для роутера, и для коммутатора. Ок. Добавили какой-то vlan (например, 10-й). Ок. А потом спокойно думаем, какой порт должен принимать входящий из-вне трафик с этим "10-ым" номером vlan (trunk aka tagged порт), а какой порт будет помечать входящий трафик этим "10-м" vlan (access port aka untagged). И соответственно нашим мыслям будем добавлять порты. После этого трафик будет по-прежнему гулять по bridge, но трафик для 10 vlan попадет он только на те порты, которые имеют отношение к соотв. номеру vlan.
В идеале, у вас не должно оставаться сегментов "без vlan". И должна быть отдельная сеть (отдельный vlan) для управления сетевыми устройствами, такими как коммутаторы,. роутеры, точки доступа - так называемый management vlan, - а все остальные vlan должны быть "клиенто-ориентированные", не более того, из них доступа к магистральным сетевым устройствам должен быть закрыт. У коммутаторов наверняка сталкивались с этим понятием. Mikrotik не исключение. Часто настройку mikrotik делают локально, так сказать, подключившись по mac-адресу. Но после настройки "обычных, клиентских" vlan вам будет нужен доступ к mikrotik по сети, а не по mac-адресу, поэтому неплохо бы настроить management vlan, который объединит управление сетевыми устройствами. Не забывайте и про neighbors list. Только для managent vlan!
2-й вариант. Есть вполне себе действенный немного другой путь, часто используемый, если у роутера mikrotik один из портов trunk (принимает и пропускает через себя один или несколько заранее определенных vlan). Тогда часто делают так: на этот trunk-port вешают vlan-ы, создают бриджи для каждого vlan, добавляют vlan в свой бридж и если надо добавить еще и access-port, то в нужный бридж добавляют нужный порт. Например, на 5-й порте микротика - trunk, на который приходят 10 и 20 vlan-ы. Создают на ether5 vlan10 и vlan20, сздают bridge10 и bridge20, в bridge10 помещают vlan10, а в bridge20 помещают vlan20. Т.е. как бы "пляшут от печки", а печка здесь - ether5. Чаще всего этот варик используется в схеме т.н. "роутера-на-палке".
Другими словами, у вас уже есть понимание, что один конкретный порт будет trunk и этот порт вы делаете "центром" vlan-ов. Для каждого отдельного номера vlan (10, 20 или какие там у вас) вы создаете отдельный bridge (bridge10, bridge20 или какой вы там хотите). А потом вы добавляете свой vlan в свой bridge. (10-й vlan в bridge10 и так далее). Трафик, попадая на trunk порт (например, на ether5) попадет в один из vlan-ов (или будет отброшен), а раз он попал, скажем, во vlan 10, то и гулять он дальше будет по всему bridge10. И только в bridge10. И если вы добавите в bridge10 другой какой-то порт, то и на этот порт также пойжет трафик, предназначенный только для 10-го vlan.
Bridge, даже виртуальный, это замкнутая система (считайте - отдельное устройство). Все, что попало в этот тихий омут, в этом омуте и останется. Если у вас порт 2 и 3 добавлены в bridge155, то считайте, что у вас есть отдельно стоящий коммутатор, на котором два порта заняты и который называется "bridge155". Выйти из него трафику можно только с помощью маршрутизатора (цепочка forward в firewall), коммутатор сам по себе не пустит трафик за пределы себя.
Как только вы просмотрите несколько разных материалов по этому вопросу, сами натренируетесь, только тогда сможете почувствовать этот процесс.
Авторизуйтесь для добавления комментариев!
Почтовый сервер
Mikrotik
VPN
3proxy
Шифрование
Squid
Резервное копирование
Защита почты
Виртуальные машины
Настройка сервера
java
kvm
Групповые политики
SELinux
OpenVPN
IPFW
WDS
Lightsquid
Samba
firewalld
systemd
Mobile
libvirt
Remote desktop
WiFi
Iptables
NAT
Postfix
Dovecot
Удаление данных
Софт
Безопасность
Winbox
User agent
Хостинг
Передача данных
Онлайн сервисы
Privacy
LetsEncrypt
VPN сервер
Настройка прокси
RRDTool
sendmail
Rsync
Linux
SSH
Система
Windows
Синхронизация
Облако
fail2ban
FreeBSD
Во всех роутерах Микротик настройка виланов через бридж отключает hardware offload на портах и соответственно нагружает проц. У меня на 2011 По "классической" второй схеме средняя загрузка проца 40%, по "правильной" первой схеме через бридж в той же структуре загрузка проца того же роутера 90-100%.
Так в чем преимущество настройки виланов через бридж?