Маршрутизаторы Mikrotik. VLAN - разбираем по полочкам.
Вообще на кой ляд придумали эти ваши вланы? Служат они в первую очередь одной очень важной цели - для изоляции сетевого трафика. Тем самым мы легко и просто (ну, хорошо, не всегда легко и не всегда просто) разграничим трафик между клиентами или базовыми станциями на магистральных каналах, да и в пределах более ограниченной зоны. Но почему я сказал, что сделать это не всегда легко? Именно так, если дело касается продуктов Mikrotik, тут вам не управляемый свич - бац-бац, access/trunk и поехали пакетики тегироваться и растегироваться.
Сначала основы. В операционной системе Mikrotik (привет, RouterOS) VLAN - это такой же интерфейс как и все. Таким образом создать его можно не только на физическом порту, но и на бридже, да хоть на EoIP-туннеле. В качестве примеров работы разберем две типовые схемы.
Допустим, имеются пять вланов под номерами - 10 для управления, 20 для второго порта, 30 - для третьего, 40 - для четвертого и 50 - для пятого. Нам нужно настроить Микротик таким образом, чтобы во VLAN10 осуществлялось управление оборудованием, а трафик из вланов 20, 30, 40 и 50 отдавался без тегов на соответствующие сетевые интерфейсы.
Ну, и собственно запиливаем вланы таким вот образом.
Мы, как видите, зашли во вкладку VLAN (раздел Interface) и создали указанные вланы. Логически все они висят на интерфейсе ether1.
Топаем в меню IP >>> Address и добавляем адрес для управления, допустим 10.10.10.10/24 на интерфейс VLAN10.
Теперь переходим в меню IP >>> Route, где задаем маршрут 0.0.0.0/0 и указываем шлюз 10.10.10.1, так что теперь на него можно попасть из любого места сети.
Далее попадаем в меню Bridge, где создаем аж целых пять бриджей, и каждый называем в соответствии с используемым портом, например, для VLAN50 (порт 5) будет bridge_50.
Теперь всё в том же разделе Bridge нам нужно перейти на вкладку Ports, и добавить в созданные бриджи соответствующие порты и вланы.
В сухом остатке имеем, что трафик из каждого влана отдается на соответствующий порт устройства, ну а через управляющий влан мы получаем доступ к устройству.
Добавим еще одну деталь к рассматриваемой задаче. Теперь на каждый порт помимо снятия вланов нужно отдать влан управления.
В меню Bridge мы создаем еще один бридж и назовем его, к примеру, bridge1_10.
Теперь во вкладке Ports мы добавим в бридж bridge1_10 следующие вланы:
В результате имеем, что VLAN10 доступен у нас на всех портах роутера.
Для управления микротиком нам остается перенести IP-адрес с интерфейса vlan_10 на bridge1_10, ведь когда интерфейс добавлен в бридж, то на нем не будут работать установленные адреса, их нужно перенести на бридж.
Ах да, еще один вкусный момент у маршрутизаторов марки Mikrotik. Они поддерживают технологию Q-in-Q, влан во влане. Можно делать 10 и более вложенных вланов, только размер MTU уменьшается с каждым разом на 4 байта, поэтому на практике используется не более 2-4 вложений.
Вот как это выглядит.
Сначала основы. В операционной системе Mikrotik (привет, RouterOS) VLAN - это такой же интерфейс как и все. Таким образом создать его можно не только на физическом порту, но и на бридже, да хоть на EoIP-туннеле. В качестве примеров работы разберем две типовые схемы.
Допустим, имеются пять вланов под номерами - 10 для управления, 20 для второго порта, 30 - для третьего, 40 - для четвертого и 50 - для пятого. Нам нужно настроить Микротик таким образом, чтобы во VLAN10 осуществлялось управление оборудованием, а трафик из вланов 20, 30, 40 и 50 отдавался без тегов на соответствующие сетевые интерфейсы.
Ну, и собственно запиливаем вланы таким вот образом.
На картинке очепятка, правильно Interface ether1, а не 5!
Мы, как видите, зашли во вкладку VLAN (раздел Interface) и создали указанные вланы. Логически все они висят на интерфейсе ether1.
Топаем в меню IP >>> Address и добавляем адрес для управления, допустим 10.10.10.10/24 на интерфейс VLAN10.
Теперь переходим в меню IP >>> Route, где задаем маршрут 0.0.0.0/0 и указываем шлюз 10.10.10.1, так что теперь на него можно попасть из любого места сети.
Далее попадаем в меню Bridge, где создаем аж целых пять бриджей, и каждый называем в соответствии с используемым портом, например, для VLAN50 (порт 5) будет bridge_50.
Теперь всё в том же разделе Bridge нам нужно перейти на вкладку Ports, и добавить в созданные бриджи соответствующие порты и вланы.
Цитата: Вот так вот
Bridge_20 - ether2 и vlan_20
Bridge_30 - ether3 и vlan_30
Bridge_40 - ether4 и vlan_40
Bridge_50 - ether5 и vlan_50
Bridge_30 - ether3 и vlan_30
Bridge_40 - ether4 и vlan_40
Bridge_50 - ether5 и vlan_50
В сухом остатке имеем, что трафик из каждого влана отдается на соответствующий порт устройства, ну а через управляющий влан мы получаем доступ к устройству.
Добавим еще одну деталь к рассматриваемой задаче. Теперь на каждый порт помимо снятия вланов нужно отдать влан управления.
В меню Bridge мы создаем еще один бридж и назовем его, к примеру, bridge1_10.
Теперь во вкладке Ports мы добавим в бридж bridge1_10 следующие вланы:
Цитата: Объединяем в бридж
Vlan_10.
Vlan2_10
Vlan3_10
Vlan4_10
Vlan5_10
Vlan2_10
Vlan3_10
Vlan4_10
Vlan5_10
В результате имеем, что VLAN10 доступен у нас на всех портах роутера.
Для управления микротиком нам остается перенести IP-адрес с интерфейса vlan_10 на bridge1_10, ведь когда интерфейс добавлен в бридж, то на нем не будут работать установленные адреса, их нужно перенести на бридж.
Ах да, еще один вкусный момент у маршрутизаторов марки Mikrotik. Они поддерживают технологию Q-in-Q, влан во влане. Можно делать 10 и более вложенных вланов, только размер MTU уменьшается с каждым разом на 4 байта, поэтому на практике используется не более 2-4 вложений.
Вот как это выглядит.
