Настройка VLAN на Микротик

Самая непонятная, сложная и странная тема в нашем обзоре – настройка VLAN на Mikrotik. Вы можете найти миллион статей в интернете, но как на зло, ни одна из них не объяснит, как же все-таки настраивается эта технология. Честно признаться, я сам иногда задумываюсь «Как же устроен мозг того разработчика, который реализовал это именно таким образом?».

На курсах Mikrotik не особо уделяют этому время (понять можно, за 3-ех дневной тренинге роутинга особо не расскажешь про данную технологию), и в большинстве случаев, не сразу улавливаешь суть. В голове простого человека сразу же начинают возникать кучу вопросов – как? откуда? Кто роутер? Кто свитч? и т.д. Подливает масло в огонь следующее – реализация отличается на разных железках. «Куда мир катится?» — и я с вами соглашусь. Существует 2 способа реализации на трех типах устройствах. Но обо всем по порядку.

Содержание
  1. Немного теории
  2. Схема сети
  3. Настройка роутера
  4. Настройка VLAN100, все порты подключены в него.
  5. Настройка VLAN200, все порты подключены в него.
  6. VLAN100 и VLAN200
  7. Сеть управления VLAN99
  8. 89 вопросов по настройке MikroTik

Немного теории

VLAN – виртуальная локальная сеть, которая реализуется на роутерах и свитчах на втором уровне модели OSI путем расширения стандартного кадра Ethernet 4-ех байтовым полем. 3 бита выделены под Priority, 1 под CFI и 12 бит на VID.

Схема ethernet кадра

VID – это VLAN ID, идентификатор который может принимать до 4096 значений. В отличие от устройств компании, чье название начинается с Cisco, на Mikrotik можно задавать любое значение от 0 до 4095. Т.е. эта та штука, которая делит одну плоскую широковещательную сеть на разные.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Порты – существует 2 вида в понятии Mikrotik. Tagged и Untagged. Или проще говоря Tagged – транковые или же uplink, смотрящие на роутеры и свитчи. Untagged – порты доступа (принтеры, компьютеры, серверы) т.е. оконечные устройства.

Ранее я говорил, что есть два вида реализации на трех типах устройств. Первая – программная реализация она везде одинакова и настраивается в bridge, вторая – аппаратная. В первом случае, обработка трафика идет через центральный процессор, во втором – обработкой трафика занимается свитч чип. Но в свитчах 3XX серии настройка именно через меню Bridge.

Из-за того, что чипов много и разных, существуют 3 подхода к реализации:

  • Роутеры и SOHO устройства – это устройства на чипах Atheros 8227, Atheros 8327 и не только, в которых аппаратная реализация находится в меню Switch. Подробнее можно ознакомиться тут.
  • CRS1XX/2XX серии – устройства с 24-мя портами на борту, в которых аппаратная реализация находится в меню Ознакомиться с функциями чипа можно тут.
  • CRS3XX серии – устройства с мощным чипом коммутации, в котором аппаратная реализация находится в bridge. Ознакомиться с функциями чипа можно тут.

Важный нюанс. С версии прошивки 6.41 изменился подход к реализации. Абсолютно все устройства настраиваются через Bridge. Появилось понятие Hardware Offload – аппаратная разгрузка, означает, что трафик обрабатывается свитч чипом, а не процессором. Параметр выставляется при добавлении порта в бридж. Но если вы имеете в вашей схеме сети в качестве роутера Hap Lite, hAP AC lite или любое устройство из первого и второго пунктов, а также не планируется на этом же устройстве делать порты доступа, создавать и добавлять порты в бридж не нужно.

Вышесказанное может сбить с толку. В первом и втором типе, порты нужно добавлять в Bridge, а настраивать в меню Switch. Но если у вас один порт, который используется для tagged трафика, то добавлять не нужно, просто вешаете на него VLAN-ы. Здесь подразумевается, что это устройство скорее всего роутер. Но если вы добавили все порты в Bridge, и настраиваете в меню Bridge, то вы отключите HW Offload и задействуется ЦП. В третьем типе, все настраивается в Bridge и это будет аппаратная реализация.

Всегда следите за аппаратной разгрузкой, если вы включили функционал, который не поддерживается чипом, разгрузка выключится и трафик побежит через процессор.

Включение аппаратной разгрузки

В данной инструкции мы остановимся на свитчах третьей серии и будем настраивать Mikrotik VLAN через Bridge для нескольких сценариях:

  • Только VLAN100 и все порты подключены в него;
  • Только VLAN200 и все порты подключены в него;
  • На коммутаторе VLAN100 и VLAN200;
  • Управления VLAN99 и VLAN.

Схема сети

Мы имеем:

  • VLAN100 – 192.168.100.0/24 – для ПК и принтеров;
  • VLAN200 – 192.168.200.0/24 – для ПК и принтеров;
  • VLAN99 – 192.168.99.0/24 – management сеть;
  • Gateway – выполняет роль роутера и имеет доступ во все сети;
  • Mikrotik2-5 – коммутаторы;
  • VPC7 – админский ПК, полный доступ;
  • RouterOS версии 6.46.4.

Сеть VLAN

Настройка роутера

Роутер на то и роутер чтобы управлять трафиком через firewall. Но мы не будем настраивать правила фильтрации в данной статье. Так же у нас не будет включена Hardware Offload т.к. мы используем лабораторный стенд и отсутствуют какие-либо чипы коммутации. Чипы коммутации отсутствуют на RouterBoard серии CCR и виртуалок CHR. Первым делом создадим bridge и добавим в него ether2-5.

Создание bridge на роутере

На вкладке VLANs укажем сети.

Указываем VLAN ID на портах

Согласно схеме коммутации, у нас есть ПК в VLAN100 за Mikrotik2, Mikrotik4, Mikrotik5, в связи с этим указываем соответствующие Tagged интерфейсы. Добавляем бридж в бридж, это так сказать некий порт, между роутером и сетью который позволяет понимать трафик в определенном VLAN. Проделываем аналогично для 200-ой сети.

Прописываем еще один VLAN

Далее настроим сеть управления, в которой будут коммутаторы и роутер, а также ПК VPC7.

Создание сети управления

«Почему так?» —спросите вы. Потому что данный тег нужно передавать на все коммутаторы, чтобы ими управлять, принимая его на устройствах.

Далее создадим VLAN интерфейсы и укажем на них адреса. В Interfaces создадим новый указав понятное название и VID. Обязательно указываем bridge1, т.к. повесить метку на физический интерфейс не получится, в связи с тем, что он находится в slave режиме (зависит от bridge).

Создание VLAN порта на роутере

Создаем по аналогии для меток 200 и 99.

Создание интерфейсов под VLAN 200 и 99

Далее задаем адреса на интерфейсы:

  • VLAN100 – 192.168.100.1/24;
  • VLAN200 – 192.168.200.1/24;
  • VLAN99 – 192.168.99.1/24.

Задаем адрес для VLAN 100

По аналогии добавляем адреса для сетей 200 и 99 выбрав соответствующее интерфейсы.

Проверка адресов

Все что мы сделали выше – подготовительные работы. Еще ничего не работает, метки не бегают, адреса фейковые. Обязательно все перепроверим и только после этого, открываем свойства bridge1 и включаем VLAN Filtering. Все начинает работать, до этой галочки – нет.

Включаем VLAN Filtering на Bridge

Сохраняем и перейдем к созданию DHCP серверов для Vlan сетей на нашем микротике Открываем IP – DHCP Server и жмем DHCP Setup.

Переходим в DHCP сервер

Выбираем интерфейс, на котором будет работать служба DHCP.

Указываем интерфейс DHCP сервер на VLAN

На следующем шаге ничего не меняем.

Указываем область DHCP

Следом необходимо указать шлюз. В данном случае будет 192.168.100.1

Указываем шлюз в VLAN сети

Далее нам предлагают указать выдаваемый пул адресов.

Указываем адресное пространство для VLAN сети

DNS-сервер. В нашей инсталляции будет свой на каждый VLAN, т.е. 192.168.100.1. Если у вас уже есть DNS сервера, можете указать их.

Указываем DNS сервер

И последнее – время аренды. Оставим по умолчанию.

Оставляем время аренды по умолчанию

После создания проверим, на верном ли интерфейсе у нас работает служба.

Проверяем интерфейс

По аналогии создаем для 200 и 99.

Создание DHCP серверов для 200 и 99 VLAN

На этом базовая настройка шлюза завершена.

Настройка VLAN100, все порты подключены в него.

Согласно нашей схеме, нам нужно принять два тега: 100 и 99. Первый для ПК, второй для управления самим коммутатором (service tag). Создадим bridge.

Создание bridge на свитче Mikrotik2

Добавим в него tagged ether1.

Добавим tagged ether1

Untagged ether2, ether3. Указав PVID 100 на вкладке VLAN.

Добавим нетегированные порты

Переходим в вкладку VLANs бриджа. Указываем тегированные и не тегированные порты. В нашем случае tagged ether1, untagged ether2 и ether3.

Указание тегированные и нетегированные портов

Добавляем VLAN для управления.

Добавляем теги управления

Перепроверив, включаем фильтрацию.

Bridge VLAN Filtering

Далее нужно получить адрес из сети управления.

Создаем VLAN интерфейс управления

Повесим DHCP-Client на него.

Добавляем DHCP Client на VLAN интерфейс

После чего мы удачно получили адрес.

Проверка получения адреса

Далее нам нужно включить наши ПК и проверить какие адреса мы получили на них.

Проверяем получение адресов для клиентов VLAN100

Настройка VLAN200, все порты подключены в него.

Настройка будет аналогична предыдущему примеру, за исключением номеров тэгов. В бридже на интерфейсах доступа укажем PVID 200.

Указываем PVID 200 на портах доступа

Укажем порты и сеть управления.

Указываем tagged и untagged в vlan 200Добавление портов в сеть управления

После, создаем интерфейс в Interfaces, вешаем на бридж и включаем DHCP-Client.

Проверяем получения адреса из VLAN 99

Включаем ПК и принимаем адреса.

Получаем адреса из VLAN 200

Проверим связь между VPC4 и VPC1

Проверяем связь между VLAN

VLAN100 и VLAN200

В предыдущих двух примерах мы настраивали свитчи только под определенные метки. А что, если на одном свитче живут разные сети. После создания бриджа на этапе добавления интерфейсов нужно указать соответствующее PVID. В нашем случае ether2 – 100, ether3 – 200.

Добавляем порты в Bridge и указываем PVID

Настраиваем порты.

Указываем порты для VLAN 100, 200 и 99

Не забываем включить фильтрацию и проверим что коммутатор получил адрес из нужной сети.Проверяем Management VLAN

Включим рабочие станции.

Проверяем на ПК получение адресов

Сеть управления VLAN99

Ну и напоследок представим, что в одном коммутаторе доступа есть ПК административного персонала, за которыми работают администраторы, а также обычные пользователи. Посмотрим на PVID для интерфейсов.

Добавляем интерфейсы в Bridge

Т.к. нам нужно чтобы ПК администратора VP7 был в одной сети с коммутаторами и роутером, сделаем его untagged.

Расставляем теги

Получим адрес управления.

Проверим адрес

Включим оба ПК.

Получение адресов с разных VLAN

Попробуем проверить связь с коммутаторами и ПК.

Проверка связи между сетями

Взглянем на DHCP сервер.

Список выданных адресов

Далее мы можем создавать interface-list и управлять трафиком через firewall. На этом настройка VLAN Bridge на роутере MikroTik под управлением routeros завершена, спасибо за внимание.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

VLAN
Оцените статью
MikroTikLab
Добавить комментарий

Вам также может понравиться
SSTP топология
Настройка SSTP Сервера и клиента
Сегодня поговорим о том как настроить SSTP Server на MikroTik.
00
Включение IPSEC
Настройка GRE over IPSEC на Микротик
В данной статье поговорим как настроить GRE туннель
00
Обзор сети
Настройка PPPoE на Микротик
В данной статье разберем настройку PPPoE на MikroTik
00
Action политик
Настройка L2TP IPSEC на Mikrotik
Это продолжение предыдущих двух статей (Первая) и (Вторая)
00
Создание пользователя
Настройка L2TP Клиента на MikroTik
Сегодня сделаем настройку L2TP Client на MikroTik
00
Включение сервера
Настройка L2TP Сервера на Mikrotik
Добрый день коллеги. Сегодня я покажу на деле как настроить
00
Создание OpenVPN Client интерфейса
Настройка OpenVPN Сервера и Клиента на MikroTik
В данной инструкции я покажу настройку между двумя
20
Лабораторная топология сети
Настройка Mikrotik PPTP клиента
В сегодняшнем мануале я покажу как настроить Mikrotik
00
© 2020 MikroTikLab
Adblock detector