Конфигурация VLAN mikrotik
Задачи:
- Создать конфигурацию главнго маршрутизатора.
- Создать конфигурацию подчинённых коммутаторов.
Для справки:
- access (untagged) port - конечный порт в который подключается устройство;
- tagged port - порт который содержит в себе VLAN’ы.
Для справки, есть два вида VLAN, аппаратный и программный:
- программыный поддерживают все устройства, но для этого требуются ресурсы CPU;
- в аппаратном исполнении задействуется switch chip, но при этом такие вещи как firewall не возможно, также нужно внимательно изучать документацию на конкретное устройство.
Управляющий роутер Mikrotik 4011:
-SFP порт является транковым в коммутатор CRS326-24S+2Q+ у которого все порты настроены как access port; - Ethernet порты, за исключением первого настроены в режиме access port.
Настраиваем первым делом бриджи, для удобства настроек предлагаю использовать следующий фомат названия: bridge-vlanX-namevlan, где X это 3 октет IP адреса, например:
bridge-vlan10-users;
bridge-vlan20-guest;
bridge-vlan-30-servers.
Для заданных бриджей необходимо настроить Addresses и DHCP Server.
Важно: чтобы запретить уствройствам использовать собственные адреса, при настройке Bridge нужно установит вараметр ARP = reply-only, также при настройке DHCP сервера установить галочку на Add ARP for Leases
После создания DHCP Server нужно создать VLAN в котором нужно указать название, предлагаю следующий вариант: vlanX-trunk-to-etherX, где первый Х 3 октет IP адреса, последний X номер порта. Также нужно не забыть указать интерфейс к которому будет привязан VLAN и его ID. Для того чтобы всё заработало нужно в бридж добавить следующие компоненты:
- порт;
- VLAN интерфейс.
Настройка коммутатора: Листинг ниже представлен на оффициальном сайте wiki.mikrotik.com, он полностью рабочий, но при этом нужно заранее подумать какой порт будет использоваться для управления.
Важно для работы данной схемы в бридже нужно указывать PVID такой же как VLAN.
Создание бриджей с включенной аппаратной разгрузкой
/interface bridge
add name=bridge1 vlan-filtering=yes
/interface bridge port
add bridge=bridge1 interface=ether2 hw=yes
add bridge=bridge1 interface=ether6 hw=yes
add bridge=bridge1 interface=ether7 hw=yes
add bridge=bridge1 interface=ether8 hw=yes
Добавление вланов и портов.
/interface bridge vlan
add bridge=bridge1 tagged=ether2 untagged=ether6 vlan-ids=200
add bridge=bridge1 tagged=ether2 untagged=ether7 vlan-ids=300
add bridge=bridge1 tagged=ether2 untagged=ether8 vlan-ids=400
Добавление правил свича (данного пункта настроек может не быть, но при этом всё работать будет) нужно внимательно смотреть за потреблением CPU и на грузкой в целом.
/interface ethernet switch rule
add mac-protocol=ip new-vlan-id=200 ports=ether6 switch=switch1
add mac-protocol=ipx new-vlan-id=300 ports=ether7 switch=switch1
add mac-protocol=0x80F3 new-vlan-id=400 ports=ether8 switch=switch1
Настройка коммутатора по-другой схеме: Создаём бриджи, такие же как на главном роутере. Создаем VLAN с привязкой к интерфейсу, куда приходит транк, а также указываем ID. Далее необходимо в бридж добавить следующие интерфейсы:
- VLAN интерфейс;
- порты которые будут являться access port.