Самая непонятная, сложная и странная тема в нашем обзоре – настройка VLAN на Mikrotik. Вы можете найти миллион статей в интернете, но как на зло, ни одна из них не объяснит, как же все-таки настраивается эта технология. Честно признаться, я сам иногда задумываюсь «Как же устроен мозг того разработчика, который реализовал это именно таким образом?».
На курсах Mikrotik не особо уделяют этому время (понять можно, за 3-ех дневной тренинге роутинга особо не расскажешь про данную технологию), и в большинстве случаев, не сразу улавливаешь суть. В голове простого человека сразу же начинают возникать кучу вопросов – как? откуда? Кто роутер? Кто свитч? и т.д. Подливает масло в огонь следующее – реализация отличается на разных железках. «Куда мир катится?» — и я с вами соглашусь. Существует 2 способа реализации на трех типах устройствах. Но обо всем по порядку.
Немного теории
VLAN – виртуальная локальная сеть, которая реализуется на роутерах и свитчах на втором уровне модели OSI путем расширения стандартного кадра Ethernet 4-ех байтовым полем. 3 бита выделены под Priority, 1 под CFI и 12 бит на VID.
VID – это VLAN ID, идентификатор который может принимать до 4096 значений. В отличие от устройств компании, чье название начинается с Cisco, на Mikrotik можно задавать любое значение от 0 до 4095. Т.е. эта та штука, которая делит одну плоскую широковещательную сеть на разные.
Порты – существует 2 вида в понятии Mikrotik. Tagged и Untagged. Или проще говоря Tagged – транковые или же uplink, смотрящие на роутеры и свитчи. Untagged – порты доступа (принтеры, компьютеры, серверы) т.е. оконечные устройства.
Ранее я говорил, что есть два вида реализации на трех типах устройств. Первая – программная реализация она везде одинакова и настраивается в bridge, вторая – аппаратная. В первом случае, обработка трафика идет через центральный процессор, во втором – обработкой трафика занимается свитч чип. Но в свитчах 3XX серии настройка именно через меню Bridge.
Из-за того, что чипов много и разных, существуют 3 подхода к реализации:
- Роутеры и SOHO устройства – это устройства на чипах Atheros 8227, Atheros 8327 и не только, в которых аппаратная реализация находится в меню Switch. Подробнее можно ознакомиться тут.
- CRS1XX/2XX серии – устройства с 24-мя портами на борту, в которых аппаратная реализация находится в меню Ознакомиться с функциями чипа можно тут.
- CRS3XX серии – устройства с мощным чипом коммутации, в котором аппаратная реализация находится в bridge. Ознакомиться с функциями чипа можно тут.
Важный нюанс. С версии прошивки 6.41 изменился подход к реализации. Абсолютно все устройства настраиваются через Bridge. Появилось понятие Hardware Offload – аппаратная разгрузка, означает, что трафик обрабатывается свитч чипом, а не процессором. Параметр выставляется при добавлении порта в бридж. Но если вы имеете в вашей схеме сети в качестве роутера Hap Lite, hAP AC lite или любое устройство из первого и второго пунктов, а также не планируется на этом же устройстве делать порты доступа, создавать и добавлять порты в бридж не нужно.
Вышесказанное может сбить с толку. В первом и втором типе, порты нужно добавлять в Bridge, а настраивать в меню Switch. Но если у вас один порт, который используется для tagged трафика, то добавлять не нужно, просто вешаете на него VLAN-ы. Здесь подразумевается, что это устройство скорее всего роутер. Но если вы добавили все порты в Bridge, и настраиваете в меню Bridge, то вы отключите HW Offload и задействуется ЦП. В третьем типе, все настраивается в Bridge и это будет аппаратная реализация.
Всегда следите за аппаратной разгрузкой, если вы включили функционал, который не поддерживается чипом, разгрузка выключится и трафик побежит через процессор.
В данной инструкции мы остановимся на свитчах третьей серии и будем настраивать Mikrotik VLAN через Bridge для нескольких сценариях:
- Только VLAN100 и все порты подключены в него;
- Только VLAN200 и все порты подключены в него;
- На коммутаторе VLAN100 и VLAN200;
- Управления VLAN99 и VLAN.
Схема сети
Мы имеем:
- VLAN100 – 192.168.100.0/24 – для ПК и принтеров;
- VLAN200 – 192.168.200.0/24 – для ПК и принтеров;
- VLAN99 – 192.168.99.0/24 – management сеть;
- Gateway – выполняет роль роутера и имеет доступ во все сети;
- Mikrotik2-5 – коммутаторы;
- VPC7 – админский ПК, полный доступ;
- RouterOS версии 6.46.4.
Настройка роутера
Роутер на то и роутер чтобы управлять трафиком через firewall. Но мы не будем настраивать правила фильтрации в данной статье. Так же у нас не будет включена Hardware Offload т.к. мы используем лабораторный стенд и отсутствуют какие-либо чипы коммутации. Чипы коммутации отсутствуют на RouterBoard серии CCR и виртуалок CHR. Первым делом создадим bridge и добавим в него ether2-5.
На вкладке VLANs укажем сети.
Согласно схеме коммутации, у нас есть ПК в VLAN100 за Mikrotik2, Mikrotik4, Mikrotik5, в связи с этим указываем соответствующие Tagged интерфейсы. Добавляем бридж в бридж, это так сказать некий порт, между роутером и сетью который позволяет понимать трафик в определенном VLAN. Проделываем аналогично для 200-ой сети.
Далее настроим сеть управления, в которой будут коммутаторы и роутер, а также ПК VPC7.
«Почему так?» —спросите вы. Потому что данный тег нужно передавать на все коммутаторы, чтобы ими управлять, принимая его на устройствах.
Далее создадим VLAN интерфейсы и укажем на них адреса. В Interfaces создадим новый указав понятное название и VID. Обязательно указываем bridge1, т.к. повесить метку на физический интерфейс не получится, в связи с тем, что он находится в slave режиме (зависит от bridge).
Создаем по аналогии для меток 200 и 99.
Далее задаем адреса на интерфейсы:
- VLAN100 – 192.168.100.1/24;
- VLAN200 – 192.168.200.1/24;
- VLAN99 – 192.168.99.1/24.
По аналогии добавляем адреса для сетей 200 и 99 выбрав соответствующее интерфейсы.
Все что мы сделали выше – подготовительные работы. Еще ничего не работает, метки не бегают, адреса фейковые. Обязательно все перепроверим и только после этого, открываем свойства bridge1 и включаем VLAN Filtering. Все начинает работать, до этой галочки – нет.
Сохраняем и перейдем к созданию DHCP серверов для Vlan сетей на нашем микротике Открываем IP – DHCP Server и жмем DHCP Setup.
Выбираем интерфейс, на котором будет работать служба DHCP.
На следующем шаге ничего не меняем.
Следом необходимо указать шлюз. В данном случае будет 192.168.100.1
Далее нам предлагают указать выдаваемый пул адресов.
DNS-сервер. В нашей инсталляции будет свой на каждый VLAN, т.е. 192.168.100.1. Если у вас уже есть DNS сервера, можете указать их.
И последнее – время аренды. Оставим по умолчанию.
После создания проверим, на верном ли интерфейсе у нас работает служба.
По аналогии создаем для 200 и 99.
На этом базовая настройка шлюза завершена.
Настройка VLAN100, все порты подключены в него.
Согласно нашей схеме, нам нужно принять два тега: 100 и 99. Первый для ПК, второй для управления самим коммутатором (service tag). Создадим bridge.
Добавим в него tagged ether1.
Untagged ether2, ether3. Указав PVID 100 на вкладке VLAN.
Переходим в вкладку VLANs бриджа. Указываем тегированные и не тегированные порты. В нашем случае tagged ether1, untagged ether2 и ether3.
Добавляем VLAN для управления.
Перепроверив, включаем фильтрацию.
Далее нужно получить адрес из сети управления.
Повесим DHCP-Client на него.
После чего мы удачно получили адрес.
Далее нам нужно включить наши ПК и проверить какие адреса мы получили на них.
Настройка VLAN200, все порты подключены в него.
Настройка будет аналогична предыдущему примеру, за исключением номеров тэгов. В бридже на интерфейсах доступа укажем PVID 200.
Укажем порты и сеть управления.
После, создаем интерфейс в Interfaces, вешаем на бридж и включаем DHCP-Client.
Включаем ПК и принимаем адреса.
Проверим связь между VPC4 и VPC1
VLAN100 и VLAN200
В предыдущих двух примерах мы настраивали свитчи только под определенные метки. А что, если на одном свитче живут разные сети. После создания бриджа на этапе добавления интерфейсов нужно указать соответствующее PVID. В нашем случае ether2 – 100, ether3 – 200.
Настраиваем порты.
Не забываем включить фильтрацию и проверим что коммутатор получил адрес из нужной сети.
Включим рабочие станции.
Сеть управления VLAN99
Ну и напоследок представим, что в одном коммутаторе доступа есть ПК административного персонала, за которыми работают администраторы, а также обычные пользователи. Посмотрим на PVID для интерфейсов.
Т.к. нам нужно чтобы ПК администратора VP7 был в одной сети с коммутаторами и роутером, сделаем его untagged.
Получим адрес управления.
Включим оба ПК.
Попробуем проверить связь с коммутаторами и ПК.
Взглянем на DHCP сервер.
Далее мы можем создавать interface-list и управлять трафиком через firewall. На этом настройка VLAN Bridge на роутере MikroTik под управлением routeros завершена, спасибо за внимание.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
«Честно признаться, я сам иногда задумываюсь «Как же устроен мозг того разработчика, который реализовал это именно таким образом?».»
Точно такая же мысль приходит мне в голову каждый раз когда я сталкиваюсь с VLan-ами на MikroTik! Отличное руководство и наверное единственное полное. Спасибо! 🙂
Добрый день.
Да, по началу прям очень сложно, но дальше все становится даже логично)))
Спасибо большое за статью, но возник 1 вопрос: а почему нельзя при настройке роутера во вкладке vlans указывать как tagged только bridge1 и все ? Ведь порты ether2-ether5 и так включены в bridge1 и по идее все vlan дрлжны тогда пережаваться по всем портам.
Добрый день.
Это не верное суждение, так ничего работать не будет.
На вкладке VLANs указывают конкретные порты, кто за что отвечает (tagged/untegged), роутер тем самым понимаем, что в транк а что порт доступа.
Bridge добавляют если хотят, чтобы транковый трафик микрот понимал. По этому создает VLAN интерфейс и вешают его на Bridge, включают DHCP клиента или статику, тогда микрот правильно смотрит в менеджмент сеть
Наконец то я понял как настроить вланы. До этой инструкции это был темный лес.
Добрый день.
Очень рад этому
Это жесть. Подобная схема на Cisce заняла бы в 3 раза меньше времени и действий. Даже из консоли она понятней, чем этот графический интерфейс.
Компания Mikrotik, почему то решила реализовать VLAN именно таким образом. Но тем не менее, на сложность реализации, сам протокол написан по RFC и прекрасно дружит с Cisco
Добрый день! Очень подробная статья, после которой многое прояснилось! Спасибо! А продолжение «… создавать interface-list и управлять трафиком через firewall» по этой теме будет? Очень хотелось бы почитать
Приветствую
Вы в принципе своим комментарием уже ее написали)))
Здравствуйте! Спасибо Вам за труды. Одно из самых полных и понятных объяснений Виланов на МикроТик.
Мне непонятен момент один момент.
Когда мы на первом МикроТике, который Gateway, на вкладке «VLANs» добавляем порты, мы сюда же к ним добавляем bridge1, а на втором МикроТике, когда добавляем порты в 100 Вилан, bridge1 не добавляем, а для сети управления добавляем, и с 200 также, почему так? Я думал всегда нужно добавлять к портам и бридж (бридж в бридж)
Приветствую.
Правило просто, что если вы хотите, чтобы сам микрот получал тоже IP адрес (по аналогии с сетью управления), то тогда добавляете бридж в бридж, если не хотите или вам это не нужно, то не добавляете.
В моем случае произошел казус. GW выдал и даже прописал адрес на сервере DHCP, а вот клиент (Mikrotik-2) его так и не получил (searching….)
Просто заново перенастроил Mikrotik-2 и все пошло как по маслу
Скажите, как правильно статически дать ip коммутатору в сети управления?
Например:
IP — Addresses:
Address — 192.168.99.24/24;
interface — vlan99;
Затем нужно настроить статический маршрут вместо появившегося динамического? Правильно ли я понимаю?
IP — Routes:
Dst. Address — 192.168.99.0/24;
Gateway — 192.168.99.1 (корректно ли здесь будет вместо ip шлюза написать vlan99?);
И как тогда поменять приоритетность маршрутов? Или динамический пропадет сам, если задать ту же подсеть статически?
Добрый день
Адрес задаете верно
Динамический маршрут появится, если стоит галочка Add Default Route — yes на вашем DHCP клиенте. В статическом маршруте можете интерфейс указывать, но лучше IP.
Чтобы менять приоритетность, нужно создавать статический маршрут и выставить нужный Distance (чем меньше значение тем он приоритетнее). Динамический маршрут не пропадет сам (читайте строку выше)
Т.е. настроив Gateway по данной статье пинги между 99, 100 и 200 vlan’ами должны ходить без всякой маршрутизации и должен быть интернет (пров на ether1) в каждой из подсетей?
Добрый день
Маршрутизация работает по умолчанию для всех connected сетей, т.е. да
Для выхода в инет, нужно NAT правило
Сделала все согласно мурзилке. Прочитала 100 раз.
на ПК адрес не раздается пока не поставлю в настройках сетевки номер VLANa. Как только так сразу работает. Причем для всех сетей включая 99.
PVIDы во вкладке VLAN в настройках портов бриджа?
Добрый день! Скажите пожалуйста как сделать фильтрацию vlan l2, что бы они друг друга не видели? Заранее спасибо!
Добрый день.
Подобную задачу решать не приходилось, но если надо было запретить пересылку между сетями, то делал на шлюзе правилами фаервола
Добрый! Очень интересная статья, спасибо. Одно лишь но: не получаю IP адреса на на втором микротике. Первый (верхний микрот) IP -адреса выдаёт хорошо, но второй почему-то их не ловит. Не ловит их на VLAN99, а так же не ловит их на access ports. Похоже, что DHCP-запрос не попадает к верхнему микроту или DHCP-ответ от него не идёт назад. Проверил всё, до последней галочки — всё соответствует инструкции. Даже сами микротики менял. Не помогло. Может вы что-то упустили и оно не попало в инструкцию? Ну очень хочется, что бы оно заработало!
Добрый день
А VLAN 99 это не Access VLAN — он только для трафика управления.
Возможно вы что то делаете не правильно. Комментарий выше был похож на ваш, помогла полная перенастройка Mikrotik2
Что то не догоняю. Настраиваю влан. Как только выставляю pvid на портах у меня пропадает доступ к роутеру. Пои этом при прямом подключении ноута через порт не участвующем в вилане, все норм. Захожу, настраиваю. Из сети настроенного вилана не могу войти, не видит роутер и все. Сам вилан при этом работает норм, пинги внутри ходят между хостами. Вероятно для этого и настраивается менеджмент сеть, поправьте меня плиз.
Если организация бриджей для вилан логически понятна, то наличие 99 вилан для меня не понята. Где то, что то упускаю походу.
Добрый день
Все верно, вас отключает, потому что вы не прописали этот VLAN в VLANs как Untagged. Ну и он откуда то должен приходить как tagged.
Еще может быть вас отбрасывает, т.к. в MAC-Winbox может быть жестко указано, с каких интерфейс листов можно подключаться
Поверьте, эта тема не сразу всем дается, ее надо раз 10 перечитать)))
Добрый день! Очень полезная статья. Но у меня более сложная задача: Есть 2 CCR. Назовем их 1036 и 1009. Они соединены меж собой оптикой через SFP+. По нему идет нетегированный траффик (LAN) и немного тегированного (VLAN с выдачей адресов и раздачей интернета с 1036). На 1009 на один из портов приходит шнурок провайдера. Надо завернуть его во VLAN и через SFP+ передать на 1036 с выдачей нетегированного траффика на каком-либо порту, чтобы подключить в порт оборудование с прописанным адресом провайдера и оборудование пошло в интернет. То есть, грубо говоря, «прокинуть» шнурок провайдера посредством микротиков в другое помещение. Ну и следом иметь возможность использовать на самом 1036 белого адреса и маршрутизации доступа в интернет. Почему-то, если все делать, как в данной статье, не получается…
Добрый день
Нужно узнать через torch какой VLAN вам подается.
Создать Bridge, создать VLAN на физическом интерфейсе куда приходит провайдер и засунуть его в bridge. Далее на 1036 создать VLAN интерфейс и проверить теорию
Должно сработать
Но так делать не рекомендуется))
Добрый день, а подскажите пожалуйста, в какой программе отрисована основная картинка с топологией сети, очень понравилось исполнение, хочу тоже перестроить сеть, вот и думаю на чём бы реализовать отрисовку будущей сети.
Добрый день
Мы в тестовой среде используем EVE-NG, в ней и отрисована))
Я с микротиками вообще мпло работаю. Пробывал настроить на 2 роутербоард кусок схемы vlan100 и vlan200. После включения ыильтрации второй микротик вообще стает дедоступен и мети нет. Я так понял дефолтный конфиг нужно 100% удалять перед настройкой vlan?
Добрый день
Да, я обычно все сношу и делаю по новой, чего и вам советую)