Настройка VLAN на Mikrotik

Добрый день.

Добавление интерфейса VLAN.
Настройка VLAN Switch

Сегодня я попробую объяснить каким образом можно использовать VLAN на микротике, об этом информация в сети в целом есть, но как-то кусками, на сайте микротика есть довольно внятное объяснение, но я почему-то не сразу понял о чём там идёт речь, только потом понял что на русском описывается решение для чипа 8316 и там применяются правила с VLAN-ID тэгами, а чип 8327 этих правил не поддерживает, но ему это и не нужно, зато в английской версии как раз рассматривается пример с чипом 8327 поэтому решил в целом для себя написать статью как напоминание, ну и может кому пригодится.

Начну с того что VLAN поддерживают не все Mikrotik устройства, а только следующие модели:

  • Atheros 8316 представлен в платах RB493G (ether1+ether6-ether9, ether2-ether5), RB1200 (ether1-ether5), RB450G (все порты (ether1 опционально) подробнее…),
    RB435G (все порты (ether1 опционально) подробнее…), RB750G, и в RB1100 (ether1-ether5, ether6-ether10).
  • Atheros 8327 представлен в платах серии RB2011 (ether1-ether5+sfp1), RB750GL, RB751G-2HnD, а также в RB1100AH и RB1100AHx2 (ether1-ether5, ether6-ether10).
  • Atheros8227 представлен в платах серии RB2011 (ether6-ether10).
  • Atheros 7240 представлен в RB750 (ether2-ether5), RB750UP (ether2-ether5), RB751U-2HnD (ether2-ether5) и RB951-2n.

Для того что бы узнать какой чип у вашего микротика через winbox выберите окно switch в нём вкладку switch. В моём случае это Atheros 8327, и все примеры я буду приводить именно для него.

winbox switch

Для просмотра чипа через терминал набираем interface ethernet switch print

winbox switch print

Итак, существует два метода работы с VLAN: первый это добавления интерфейса с нужным вам VLAN ID, и второй более мудрёный использовать Mikrotik как управляемый свитч для работы с VLAN, т.е. можно настраивать порты как Access, Trunk, переводить их в тегированный или нетегированный режим.

 Добавление интерфейса VLAN.

Пожалуй самое простое. Через Winbox выбираем раздел Interface в нём жмём кнопку добавления интерфейс (+) и выбираем VLAN.

mikroti new vlan interface

В появившемся окошке достаточно заполнить три поля:

  • Name – имя нового интерфейса;
  • VLAN ID – собственно метка VLAN;
  • Interface – порт на котором будем смотреть VLAN.

Если хотим выполнить эту же операцию в терминале – набираем команду interface vlan add name=VLAN-141-Env interface=ether4 vlan-id=141. По сути тоже самое.

winbox new vlan

Затем в IP Addreses не забываем интерфейсу присвоить IP Адрес.

Есть один нюанс в этом простом действии, если Вам надо добавить интерфейс VLAN на slave порт, то добавлять его следует на master порт.

На этом всё.

Настройка VLAN Switch

Мне было лень делать скриншоты для винбокса поэтому для примера ограничимся терминалом

В этом режиме микротик работает только как Switch, все его прелести как маршрутизатора в этом случае нам не нужны и задействованы не будут. Это с одной стороны плюс, потому что передача пакетов в этом случае будет происходить на скорости сетевого интерфейса (т.е. если порт 100 мегабит – пакеты будут проходить со скоростью 100 мегабит, 1гигабит – 1гигабит) т.е. быстрее чем если мы будем использовать бридж или роут режимы. С другой стороны толком контроля трафика здесь мы не добьёмся, но этого и не нужно.

Я рассмотрю две схемы, 1я схема когда микротик будет использоваться как свитч доступа, и 2я – транзитный.

Access

В первой схеме у нас порты 3,4,5 – акцесс порты (access ports,порты доступа), 2 – порт транковый (trunk port). Эта схема рассматривается на оф. сайте микротика. Соответственно если у вас чип 8316 читаем русскую версию , если 8327 английскую, или читаем дальше.

802.1q

Создаём свитч-группу.

/interface ethernet
set ether3 master-port=ether2
set ether4 master-port=ether2
set ether5 master-port=ether2

Настраиваем на портах vlan-mode и vlan-header, а так же для access портов присваиваем default-vlan-id (аналоги PVID на D-link’ах и VLAN to Port на Linksys’ах).

Параметр “vlan-mode” может принимать следующие значения:

  • disabled – игнорировать vlan-таблицу, обрабатывать пакеты, содержащие vlan-теги точно так же, как если бы они не содержали vlan-тегов;
  • fallback – режим по умолчанию – обрабатывать пакеты, содержащие vlan-теги, не представленные в vlan-таблице, точно так же, как если бы они не содержали vlan-тегов. Пакеты, содержащие vlan-теги, представленные в vlan-таблице, но входящий порт не соответствует какому-либо порту в записях vlan-таблицы, не будут отброшены.
  • check – отбрасывать пакеты, содержащие vlan-теги, не представленные в vlan-таблице. Пакеты, содержащие vlan-теги, представленные в vlan-таблице, но входящий порт не соответствует какому-либо порту в записях vlan-таблицы, не будут отброшены.
  • secure – отбрасывать пакеты, содержащие vlan-теги, не представленные в vlan-таблице. Пакеты, содержащие vlan-теги, представленные в vlan-таблице, но входящий порт не соответствует какому-либо порту в записях vlan-таблицы, тоже будут отброшены.

Параметр “vlan-header” может принимать следующие значения:

  • leave-as-is – пакет не подвергается изменениям на исходящем порте;
  • always-strip – если VLAN-заголовок присутствует, он будет удалён из пакета;
  • add-if-missing – если VLAN-заголовок отсутствует, он будет добавлен к пакету.
/interface ethernet switch port
set ether3 vlan-mode=secure vlan-header=always-strip default-vlan-id=200
set ether4 vlan-mode=secure vlan-header=always-strip default-vlan-id=300
set ether5 vlan-mode=secure vlan-header=always-strip default-vlan-id=400
set ether2 vlan-mode=secure vlan-header=add-if-missing

Добавляем в таблицу VLAN записи наших меток:

/interface ethernet switch vlan
add ports=ether3,ether2 switch=switch1 vlan-id=200 independent-learning=yes
add ports=ether4,ether2 switch=switch1 vlan-id=300 independent-learning=yes
add ports=ether5,ether2 switch=switch1 vlan-id=400 independent-learning=yes

На этом настройка первой схемы завершена.

Transit

Во-второй схеме наш микротик стоит между двумя управляемыми свитчами, т.е. мы настраиваем только два транковых порта которые будут передавать данные допустим с Vlan тэгом 141 с одного порта на другой.

Это более простая схема нам достаточно будет два порта для примера 4й и 5й.

Как и в первой схеме нужно создать свитч-группу:

/interface ethernet
set ether4 master-port=ether5

Настраиваем на портах vlan-mode и vlan-header:

/interface ethernet switch port
set ether4 vlan-mode=secure vlan-header=add-if-missing
set ether5 vlan-mode=secure vlan-header=add-if-missing

Добавляем в таблицу VLAN записи наших меток:

/interface ethernet switch vlan
add ports=ether4,ether5 switch=switch1 vlan-id=141 independent-learning=yes

Всё, пакеты с меткой 141 буду проходить с одного порта на другой, естественно в этом случае мы также должны подготовить и свитчи между которыми будет стоять микротик, но это уже совсем другая история.

Как обычно, если есть вопросы их можно задавать в комментариях ниже.

  • https://plus.google.com/115857868144040751310 Alexander Stekolnikov

    а как будет выглядеть конфиг если надо принимать пакеты на транковый порт, к примеру с тегами 10,20,30 а на второй транковый порт, выбрасывать их с тегами 100, 200, 300?

  • http://vk.com/id3942838 Алексей Варич

    Насколько я понимаю Вам нужен VLAN Mapping, но на чипе Atheros 8327 и RouterOS этого реализовать, увы, не получится. Но если верить документации, с помощью Rule это можно сделать на Atheros 8316, не знаю так ли это, не проверял.

  • https://plus.google.com/+JhonPreston Jhon Preston

    можно ли рассмотреть эту же коммутацию VLAN на чипе 7240, дело в том, что в нем отсутствуют некоторые возможности чипа 8327 ( в частности работа с правилами RULE раздела SWITCH, правила выбираются, но сохранить нельзя, пишет что свитч не поддерживает эту функцию.Поэтому как перенаправить VLANы , имеющие разные ID, с порта 2 на порты 3,4,5; и наоборот – нетегированные фреймы с портов 3,4,5 подать на порт 2 уже с ID VLAN? )

  • http://vk.com/id3942838 Алексей Варич

    ну 8327 тоже не умеет толком правила делать где надо по vlan метке смотреть или другую vlan метку ставить, но в статье собственно про правила ни слова и нет.
    То что Вы пишете не совсем возможно впринципе т.е. надо понимать как тегированные или нетегированные пакеты ходят внутри свитча.
    Если порт нетегированный то Вы можете только 1 Vlan ID на него повесить, соответственно разные разные Vlan-ID с порта 2 на порты 3-4-5 не кинуть, да и нужно ли оно?

  • http://vk.com/id3942838 Алексей Варич

    Да я кстати не совсем верно выразился по поводу Vlan итп можно сделать то что вы хотите, но через бридж, т.е. обработку будет делать уже микротик не на wire speed, а эта статья немножко про другое )

  • Eva

    Подскажите пожалуйста.
    Раньше было так:
    Два провайдера шли в d-link des 3028, туда же были подключены сервера и клиенты.
    Гетвэй был на freebsd — виртуалка на одном из сервров.
    все было организованно через три VLAN:
    VLAN1 дефолтный он же клиентский: 1-2, 4,6,8-28
    VLAN2: 1 (Hyrep v1), 3 (провайдер1), 5 (Hyper-v2)
    VLAN3: 1(Hyrep v1),5(Hyper-v2),7(провайдер2)
    на виртуалках сетевые адаптеры т.ж. помечны VLAn
    Такой еще нюанс, на Hyper — V2 стоит asterisk и ему требуется линк от двух провайдеров (исходящие звонки — провайдер1, входящие — провайдер2)

    купили mikrotik, поэтому решила положить freebsd и отдать его роль новому роутеру. хочу чтобы он поднимал подключения. В него будут идти оба провайдера, сервера и d-link3028 (уже только для клиентов)

    вопрос в том как также на микротике организовать VLANы как было раньше на d-linke?
    на микротике Ether1 и Ether2 будут access портами с Vlan3 и Vlan2 соответственно (и провайдером1 и 2)
    Ether3 и Ether4 будут trunk портами, на которых будут висеть сервера.
    Можно все это сделать на одной свитч-группе?

    • http://vk.com/id3942838 Алексей Варич

      Да, конечно, по второму варианту делайте. С одним только НО, я пока не думал как в таком случае с аккес порта интерфейс делать, может конечно и без влана обойдётся, честно говоря не проверял, да и в голову не приходило, таки акцесс порты обычно для клиентов делают, а не для провайдеров.

      • eva

        ситуация смешна и неприлична, но я не понимаю как это все реализовать. по идее я должна создать vlan, повесить на него bridge и включить в мост физические порты (они и будут access). понятно когда trunk-порт один вот такой вот конфиг:
        /interface vlan add name=vlan3 interface=ether3 vlan-id=3
        /interface vlan add name=vlan2 interface=ether3 vlan-id=2
        /interface bridge add name=bridge-vlan3
        /interface bridge add name=bridge-vlan2
        /interface bridge port add bridge=bridge-vlan3 interface=ether1
        /interface bridge port add bridge=bridge-vlan3 interface=vlan3
        /interface bridge port add bridge=bridge-vlan2 interface=ether2
        /interface bridge port add bridge=bridge-vlan2 interface=vlan2
        но у меня еще один транк-порт ether4 с vlan3 и vlan2

        • http://vk.com/id3942838 Алексей Варич

          На этой неделе если врем будет свободное попробую ваш пример настроить.
          А из того что Вы написали пока вижу явный косяк, нельзя в3 и в2 в бридж ставить, это всё равно что в один свитч воткнуть провода от первого и второго провайдера, вообще бридж в вашей ситуации не нужен, вам нужно делать так как описано в “Настройка VLAN Switch”

          • Eva

            буду признательна.

          • Eva

            /interface vlan add name=vlan3 interface=ether4 vlan-id=3
            /interface vlan add name=vlan2 interface=ether4 vlan-id=2
            /interface bridge add name=bridge-vlan3
            /interface bridge add name=bridge-vlan2
            /interface bridge port add bridge=bridge-vlan3 interface=ether1
            /interface bridge port add bridge=bridge-vlan3 interface=vlan3
            /interface bridge port add bridge=bridge-vlan2 interface=ether2
            /interface bridge port add bridge=bridge-vlan2 interface=vlan2
            но у меня еще один транк-порт ether4 с vlan3 и vlan2
            этот вариант работает, а switch нет(
            но есть проблема:
            на ether1 поднимается линк от провайдера, и когда я добавляю vlanы способом, который я указала, у меня пропадает интернет. Подскажите может маршруты или что-то еще надо добавить?

          • http://vk.com/id3942838 Алексей Варич

            Проблема в том что Вы используете бридж, в этом случае вланов как таковых нет, когда Вы бриджуете первый вилан со вторым, толку от того что один порт в первом вилане, а второй во втором никакого, деления нет.
            И скорее всего Ваш же провайдер Вас и блочит по штормконтролю или ещё по какой-лаже. Вариант с бриджами априори нерабочий, как Вы понять этого не можете.
            Да и кстати, а зачем вообще длинк убирать из этой схемы? Он Вам чем-то мешал? ))

    • Алексей

      /interface ethernet
      set ether1 master-port=ether4
      set ether2 master-port=ether4
      set ether3 master-port=ether4

      /interface ethernet switch port
      set ether1 vlan-mode=secure vlan-header=always-strip default-vlan-id=3
      set ether2 vlan-mode=secure vlan-header=always-strip default-vlan-id=2
      set ether3 vlan-mode=secure vlan-header=add-if-missing
      set ether4 vlan-mode=secure vlan-header=add-if-missing
      set switch1_cpu vlan-mode=fallback vlan-header=leave-as-is

      /interface ethernet switch vlan
      add ports=ether1,ether3,ether4,switch1_cpu switch=switch1 vlan-id=3 independent-learning=yes
      add ports=ether2,ether3,ether4,switch1_cpu switch=switch1 vlan-id=2 independent-learning=yes

      /interface vlan
      add name=vlan2 vlan-id=2 interface=ether4
      /interface vlan
      add name=vlan3 vlan-id=3 interface=ether4

      /ip address
      add address=192.168.88.1/24 interface=vlan3 network=192.168.88.0
      /ip address
      add address=192.168.89.1/24 interface=vlan2 network=192.168.89.0

      как-то так.

      Но опять таки если есть свитч управляемый не вижу смысла городить этот огород на микротике, проще транковые порты на самом свитче настроить подключить их к микротику и дальше тупо создать интерфейс VLAN как в самом начале статьи написано, просто до безобразия и не надо голову ломать.

  • https://plus.google.com/+ВладимирНестеренко Владимир Нестеренко

    Вопрос как к специалисту в теме:
    Есть RB2011UiAS-2HnD-IN который содержит два свитча :
    – swith1 – AR8327 (Gigabit Switch – отдельным чипом) который обслуживает sfp-модуль и Gigabit Ethernet порты с 1 по 5;
    – swith2 – AR8227 (100Mbit – насколько я понял из диаграммы, входит в состав основного чипа CPU) через него работают ether6-10

    [admin@MikroTik] > /interface ethernet switch print
    Flags: I – invalid
    # NAME TYPE MIRROR-SOURCE MIRROR-TARGET SWITCH-ALL-PORTS
    0 switch1 Atheros-8327 none none
    1 switch2 Atheros-8227 none none

    Дефолтная настройка предполагает использование в качестве WAN интерфейсов портов sfp и ether1, а для работы с LAN используется программный “bridge-local”, который объединяет WiFi (wlan1) и все остальные порты (ether2-10).

    /interface bridge port
    add bridge=bridge-local interface=ether2
    add bridge=bridge-local interface=ether3
    add bridge=bridge-local interface=ether4
    add bridge=bridge-local interface=ether5
    add bridge=bridge-local interface=ether6-master-local
    add bridge=bridge-local interface=wlan1

    Но как видно и конфигурации, в коммутационную группу объединяются только порты switch2, а порты switch1 добавляются каждый в отдельности,
    Вопрос-1: В чем преимущество раздельного сопряжения портов через бридж, почему не используют объединение группу портов ether2-5?

    • https://plus.google.com/+ВладимирНестеренко Владимир Нестеренко

      Вопрос-2: Что означает параметр “DEFAULT-VLAN-ID”:

      [admin@MikroTik] > /interface ethernet switch port print
      Flags: I – invalid
      # NAME SWITCH VLAN-MODE VLAN-HEADER DEFAULT-VLAN-ID
      0 0_WAN0-sfp1 switch1 disabled leave-as-is auto
      1 2_LAN-eth1 switch1 disabled leave-as-is auto
      2 2_LAN-eth2 switch1 disabled leave-as-is auto
      3 2_LAN-eth3 switch1 disabled leave-as-is auto
      4 2_LAN-eth4 switch1 disabled leave-as-is auto
      5 2_LAN-eth5 switch1 disabled leave-as-is auto
      6 3_LAN-eth6 switch2 disabled leave-as-is 0
      7 3_LAN-eth7 switch2 disabled leave-as-is 0
      8 0_WAN3-eth8 switch2 disabled leave-as-is 0
      9 0_WAN2-eth9 switch2 disabled leave-as-is 0
      10 0_WAN1-eth10 switch2 disabled leave-as-is 0
      11 switch1-cpu switch1 disabled leave-as-is auto
      12 switch2-cpu switch2 disabled leave-as-is 0

      И почему для всех портов switch1 он ‘auto’, а для switch2 – ‘0’? Если предполагается использовать в качестве WAN 100М потры, это не будет проблемой? Не будет ли трафик разных провайдеров смешиваться?

      • http://vk.com/id3942838 Алексей Варич

        в статье описано что такое default-vlan-id, в вашем случае там можно любые цифры писать это не будет иметь значение потому что vlan-mode на всех портах disabled (выключен).
        Что касается вопроса про бридж, то сделано это я так предполагаю потому что используется два свитч-чипа, был бы один можно было бы бы без бриджа обойтись, преимуществ никаких, одни недостатки, пропуск трафика через бридж микротик выполняет с меньшей производительностью.
        Если хотите какие-то порты для wan использовать просто исключите их из бриджа и посмотрите что бы у них не был задан мастер порт, этого достаточно.

  • http://vk.com/id228808104 Vassiliy Kalambetov

    Судя по конфигурации свича и по картинке думаю надо исправить следующее место в тексте

    Добавляем в таблицу VLAN записи наших меток:

    /interface ethernet switch vlan
    add ports=ether2,ether5 switch=switch1 vlan-id=200 independent-learning=yes
    add ports=ether3,ether5 switch=switch1 vlan-id=300 independent-learning=yes
    add ports=ether4,ether5 switch=switch1 vlan-id=400 independent-learning=yes

    На

    /interface ethernet switch vlan
    add ports=ether3,ether2 switch=switch1 vlan-id=200 independent-learning=yes disable=no
    add ports=ether4,ether2 switch=switch1 vlan-id=300 independent-learning=yes disable=no
    add ports=ether5,ether2 switch=switch1 vlan-id=400 independent-learning=yes disable=no

    И вот это
    Если хотим выполнить эту же операцию в терминале – набираем команду interface vlan add name=VLAN-141-Env interface=ether4 vlan-id=14. По сути тоже самое.
    На
    Если хотим выполнить эту же операцию в терминале – набираем команду interface vlan add name=VLAN-141-Env interface=ether4 vlan-id=141. По сути тоже самое.

    • http://vk.com/id3942838 Алексей Варич

      Да Вы правы, спасибо.

  • http://twitter.com/macik macik.net

    Вижу что тут толковые ребята по микротику пишут. Подскажите в чем может быть подвох, и хватит этого железа.
    У меня MikroTik CRS125 24G-1S-RM. Хотел я его использовать, как роутер. в него входят два линка от разных провайдеров. 1 и 2 порт. в 3 входит серверная группа. в оптику входят трафик с восьмью виланами.
    Виланы, это разные сегменты предприятия с своеими сетями. Микротик всем раздает ip-адреса. веланы обьеденены в бридж.
    В белый день микротик теряет пакеты … до 10% ну и как следствие лаги в сити.
    ps
    на каждом велане от 10 до 30 компов. и трафик с ip-камер HD

    • Алексей

      какой смысл бить на виланы если в итоге вы всё равно бриджуете на микротике их?
      и сколько всего ПК в сети, насколько я понимаю железка не очень шустрая, 600 мхз проц да в описании прямо сказано что это СОХО сегмент, а у вы на него завели от 80 до 240 пк, даже 80 для него много я считаю, зависит правда от правил, фильтры и маркировка + куос довольно много могут отъедать производительности.

      • http://twitter.com/macik macik.net

        правил ноль, пока ноль. Я хочу изолировать веланы друг от друга (сейчас у меня так все работает на старом роутере , PS под линукс). То есть и Вы склоны к тому что железо слабое! А что вы скажете насчет этого MikroTik CCR1009-8G-1S ?

        • http://vk.com/id37598392 Сергей Шитик

          РБ не хватит для Ваших потребностей, берите минимально CCR-1009, останетесь довольны!

      • Алексей

        явно мощнее устройство чем у Вас, 9 ядер по 1.2 гц, + там табличка есть производительности.
        http://routerboard.com/CCR1009-8G-1S-1Splus сами сравните
        а у вас примерно как у http://routerboard.com/RB951G-2HnD производительность должна быть т.е. раз в 15-20 меньше.по хорошему у Вас не роутер, а свитч управляемый (собственно на сайте эта железка в разделе свитчей и висит), с возможностью маршрутизации, но лучше использовать именно как свитч т.е. никаких бриджей.
        я вот такой брал – http://routerboard.com/RB1100AH для клиента под 20-40 пк, с учётом возможного роста максимум до 100, ну это так, что бы вы примерно представляли о чём речь.

  • http://twitter.com/macik macik.net

    А как и можно ли вообще. Wifi маркировать vlan id?

    • Алексей

      обычно для своего vlan id создаётся ещё одна виртуальная точка доступа, что бы все пакеты из этой ап прокидывались в опредёленный вилан, других вариантов я не слышал.

      • http://twitter.com/macik macik.net

        Я это не понял “этой ап прокидывались” АП это IP?

        • Алексей

          AP это access point точка доступа.
          создаёте виртуальную АП, создаёте интерфейс с виланом и бриджуете их. Но может быть можно и как-то по другому, я не знаю никогда ничего подобного не делал и не собираюсь.

  • https://plus.google.com/109211191593825994704 Ilya Romanov

    Привет!
    у чипа 8327 есть параметр дефаулт влан ид автоматич.
    у чипа 8227 этой возможности нет
    но всё остальное тоже самое
    подойдут ли настройки, может довелось сталкиваться?

    • Алексей

      Добрый вечер, с 8227 сталкиваться не приходилось, но думаю проблем быть не должно. Самый простой способ узнать подойдут или нет настройки – попробовать 😉

  • http://vk.com/id81670490 Виталий Иванов

    Привет, первый раз держу в руках CRS125-24G-1S-RM девайс, до этого настраивал ток циски да НР. Читаю статьи и никак не могу врубиться в логику этих микротиков. Помогите разобраться.
    Мне нужно использовать девайс как основной маршрутизатор трафика. На него приходит от провайдера инет. К микротику будут подключаться как сервера, так и управляемые и неуправляемые коммутаторы внутренней сети. На серверах будет Актив директори, ДНС и ДХЦП, прокся, раздающиеся внутрь локалки.
    Для начала хочется сделать 1 порт на микротике для провайдера и на нем НАТ, 2-й порт акес на сервер домен-контроллера (VLAN10 – 10.10.10.1/24 – серверный вилан имеет доступ во все виланы), 3-й порт транковый на управляемый коммутатор, куда подключены пользователи (VLAN1,VLAN20,VLAN30) и 4-й порт акес на неуправляемый коммутатор (VLAN40 – 10.10.40.1/24 – пользовательский вилан).
    Менеджмент вилан для управления коммутаторами VLAN1 (10.10.1.1/24 – дефолт для всех управляемых коммутаторов, он же адрес входа на микротик) будет доступен только из VLAN1,VLAN10,VLAN20. VLAN20 – 10.10.20.1/24 – админский вилан имет доступ во все виланы, VLAN30 – 10.10.30.1/24 – пользовательский вилан. Пользовательские виланы изолированы и имеют сами доступ только в серверный VLAN10.

    И как этот огород собрать на микротике?

    • http://vk.com/id3942838 Алексей Варич

      я не совсем догоняю фразу “серверный вилан имеет доступ во все виланы”, это чё значит? как может вилан во все виланы доступ иметь?
      если надо отделить ip один от другого и дать доступ админской подсети куда угодно и сервеной, а юзеров изолировать, то я бы это на уровне маршрутизатора делал, а не на уровне виланов.

      • http://vk.com/id81670490 Виталий Иванов

        ну вы правильно говорите, я видать не совсем верно выразился, я это и имел ввиду.
        Сейчас я даже не могу понять смысл разделения маршрутизации либо ЦПУ либо RouterOS.

        • http://vk.com/id3942838 Алексей Варич

          если 10 и 40 только на микротик приходят то особо смысла даже не вижу вилан на них заводить, ну ладно 10 может быть уже настроен, но 40 вроде как не нужен.
          если на порту мироктика НЕ задавать master интерфейс то он НЕ будет общаться с соседними портами.
          дальше 20 30 и создаёте как в первой части статьи опиасано, затем в ip-address list добавляете ip для всех ваших портов и виланов, смотрите как они друг с другом общаются, через ip – firewall – filter запрещаете прохождение трафика с нужных направлений, по Вашему описанию запретить вам надо только трафик с 20 на 30 вилан, с 20 на тупой свитч, с 30 на тупой свитч. 3 правила.

          • http://vk.com/id81670490 Виталий Иванов

            Ну я описал начальное желание, что бы понять смысл конфигурирования микротиков. Вообще 10 и 40 тоже будут идти и дальше от микротика через управляемые коммутаторы, потому как сервера будут и на удаленных площадях, как и пользователи 40-го вилана в других местах, да и другие виланы тоже будут еще.
            Просто вот сейчас мне нужно именно подключить на сам микротик – 1 сервак и 2 коммутатора, 1 управляемый, а другой нет.
            И еще – по дефолту как я понимаю там все порты объедены в switch1. А мне нужно через что делать? через свитч, бридж или как то по другому? Я пока не понял смысла разделения на эти группы.

  • http://vk.com/id224907688 Владимир Чичерин

    Есть: провайдер по Vlan1002 на VoIP шлюз. Провайдер предоставляет SIP телефонию, но шлюз нужно перенести в другое здание.
    Нужно провайдер по Vlan1002 —> p2 RB2011 p4 —радиомост—> p3 CRS125 p24 —> на VoIP шлюз.
    На RB2011 p1-p4 в switch1, p1 Master.
    На CRS125 p2-p24 в switch1, p2 Master.
    Вопрос такой, какие порты должны тегироваться а какие нет и и вообще как нужно выставить настройки vlan-ов на моих микротиках?

    Только начинаю разбираться, поэтому если можно поподробнее.
    Заранее благодарен!

    • Алексей

      а ваш радиомост то vlan теги поддерживает?

  • http://twitter.com/mik0s Konstantin Mironov

    Подскажите пожалуйста, а в случае когда на сами вланы нужно затерминировать на самом микротике, куда IP навешивать? Или когда работает свитч, то микротик вланы в виде интерфейсов не видит?

    К примеру на микротике нужно несколько вланов со своими DHCP серверами, которые будут уходить транком на другой микротик, который будет в качестве доступа.

    Как быть?

    • http://vk.com/id3942838 Алексей Варич

      добавляете интерфейс, как в первой части статьи описано, на этот интерфейс ip и вешаете
      в случае со свитчём, надо будет ещё в таблицу vlan добавить switch cpu, и уже потом добавлять vlan интерфейс на мастер-порту.
      сам switch cpu в режим fallback и leave as is

      • http://twitter.com/mik0s Konstantin Mironov

        Спасибо. Я правильно понял, что интерфейсы вланов нужно добавлять на транковый порт, который должен быть мастер-портом для свич-группы?

        • http://vk.com/id3942838 Алексей Варич

          не обязательно транковый, но обязательно мастер, вроде бы, но на транковом который мастер точно будет работать ))

          • http://twitter.com/mik0s Konstantin Mironov

            Спасибо

          • http://twitter.com/mik0s Konstantin Mironov

            Скажите пожалуйста, а если на такой влан в транке будет приходить мультикаст, то он будет распространен на все порты свич группы или останется в вилане?

          • http://vk.com/id3942838 Алексей Варич

            по идее за пределы вилана ничего не должно уходить, если вы только прокси не настроите.

  • Игорь

    Интересная статья, но вот жалко что параметр “independent-learning=yes” не расписан что к чему и зачем он вообще

    • http://vk.com/id3942838 Алексей Варич

      пока не выставлял yes у меня вилан не начинал работать в некоторых случаях.
      есть описание на других сайтах, фича эта называется independent VLAN learning (IVL)

      • https://plus.google.com/115383267579938730942 Akim Linnik

        IVL осуществляет привязку MAC-адреса и VLAN-ID что позволяет использование одного MAC-адреса для нескольких VLAN.

  • https://plus.google.com/110529189407859225485 Andrey Prokofiev

    Мне нужно настроить транковый порт, первый вариант настройки мне подходит?

    • http://vk.com/id3942838 Алексей Варич

      смотря для чего

  • http://vk.com/id19476563 Георгий Подкорытов

    У меня есть железка hAP AC lite с чипом Atheros 8227. Приходит ко мне витая пара с тремя Vlan- 10, 20 и 30. Я в точности повторяю ваши команды, вроде все работает. Но затык в том что мне надо еще Wi-Fi интерфейсы туда прикрутить. У меня будет 4 вай фая, 2,4 и 5 Ггц на Vlan 10, и две виртуальных АР 2,4 Ггц, одна гостевая под Vlan 10 и вторая под Vlan 20. Как заставить Wi-Fi брать пакеты с определенных Vlan?

    • http://vk.com/id3942838 Алексей Варич

      вай фай всегда бриджуется, добавляете интерфейс vlan как в первой части описано, и добавляете его в бридж с нужным wifi интерфейсом.

      • http://vk.com/id19476563 Георгий Подкорытов

        Так это я пробовал, но нужный порт ругается что он привязан к порту 2 и не даёт сбриджевать себя

        • http://vk.com/id3942838 Алексей Варич

          vlan интерфейс всегда на мастер порту добавляется.
          вам не нужно порт бриджевать, нужно vlan интерфейс бриджевать, который создаётся точно так же как в первой части этой статьи описано.

  • https://www.facebook.com/app_scoped_user_id/1622191941148001/ Евгений Хутченко

    Помогите пожалуйста настроить правильно VLANы. Есть коммутатор mikrotik (16 port) на нём настроены 2 бриджа со своими правилами, надо эти 2 бриджа транслировать в точку доступа UniFi, подключённую к физическому порту ether5. Интересует как правильно и что создавать и настраивать, в какой очерёдности. Спасибо.

    • http://vk.com/id3942838 Алексей Варич

      что значит транслировать, и при чём тут vlan?

      • https://www.facebook.com/app_scoped_user_id/1622191941148001/ Евгений Хутченко

        Возможно слово транслировать тут не уместно. Имеется свич на котором настроен рабочий бридж и гостевой, к ether5 подключена точка доступа с рабочим и гостевым ссидом. если порт5 связываю с рабочим бриджом – недоступен гостевой и наоборот. Как пробросить оба бриджа на точку доступа?
        АПД:
        Ether5 привязан к рабочему бриджу
        Создан VLAN40 (id 40), повешен на Ether5, Добавлен адрес 192.168.11.1/24
        в бриджах, в разделе Ports привязал VLAN40 к гостевому бриджу(192.168.10.1/24)
        На ТД:
        добавлен гостевой ссид с ид влана 40
        добавлен рабочий ссид – тут все ОК!

        в итоге пользователей гостевой сети на свиче вижу, ip-адрес у них из пула гостевого бриджа, но доступа к инету у них нет.

        • http://vk.com/id3942838 Алексей Варич

          если вы их видите то это уже не vlan проблема, фаервол смотреть надо, к примеру, unifi тот же посмотреть, у них гостевая сеть это просто фаервол который режет все пакеты на сети типа 192.168.*.* и 10.*.*.* вроде, но может и не в этом проблема, по хорошему если вы с виланами заморочились то надо не гостевую сеть на точке поднимать, а просто второй сид (virtualAP) привязывать его к вилану, а уже на микротике решать вопросы с доступом.

          • https://www.facebook.com/app_scoped_user_id/1622191941148001/ Евгений Хутченко

            Добрый день.
            Я опять запутал Вас в своей терминологии))
            На контроллере UniFi создан второй SSID, на него повешен VLAN ID 40, всё вроде работает на одной точке, по крайней мере на Mikrotik вижу клиентов с правильными адресами и даже какой-то трафик. НО – есть вторая точка, подключена к Ether14, теперь проблема как к Ether14 прикрутить этот же VLAN на Mikrotik.
            Создавать новый SSID для другого VLAN ID на UniFi не вариант.

            И допустил опечатку ранее, вместо Ether5 следовало писать Ether15.
            Как ламерский вариант решения, пробовал для Ether14 в качестве master-port указать Ether15, но ругается что группа Switch1 содержит Ether1-Ether6 (или что-то типа того), сменить группу не получается, окошко не активно.

          • http://vk.com/id3942838 Алексей Варич

            а что за моделька микротика?

  • http://vk.com/id829757 Дмитрий Тахтараков

    Здравствуйте.
    вводная: RB2011iLS
    проблема в следующем: у меня на аплинке 2 влана: тегированный и не тегированный. через нетегированный настроена рабочая подсеть – она функционирует. а вот второй влан хочу выдать на ether7 сквозным путем, то есть влан просто пробросить в режим доступа.
    создал vlan10up ID10, привязал его к ether1 (uplink) (use service tag)
    создал vlan vlan10down ID10 , привязал его к ether7 (no use service tag)
    IP не присваивал влану, так как сквозной vlan должен проходить и без него.
    что не так делаю?
    пробовал даже создать bridge между vlan10up и ether 7 (хотя по сути бессмысленно)
    сеть со switchом не пробовал. она на бриджах.
    PS: почему так:
    у нас свой белый IP, хотим на один компьютер подключить другой белый IP адрес через vlan, который к нам никак не относится, но физически идет через нашу сеть.
    очень прошу помочь. заранее спасибо.

    • http://vk.com/id3942838 Алексей Варич

      use service tag всегда убирайте.
      и да, bridge между vlan10up и ether 7 делайте. не работало потому что галочку поставили ненужную.
      vlan10down не нужен, удаляйте.