Начнем с простого, узнаем, поддерживает ли ваш пушистый Микротик эти самые вланы. Критерием для их поддержки является наличие платы с определенным чипом. Вот список.
Atheros 8316 представлен в платах RB493G (ether1+ether6-ether9, ether2-ether5), RB1200 (ether1-ether5), RB450G (все порты (ether1 опционально) подробнее...), RB435G (все порты (ether1 опционально) подробнее...), RB750G, и в RB1100 (ether1-ether5, ether6-ether10).
Atheros 8327 представлен в платах серии RB2011 (ether1-ether5+sfp1), RB750GL, RB751G-2HnD, а также в RB1100AH и RB1100AHx2 (ether1-ether5, ether6-ether10).
Atheros8227 представлен в платах серии RB2011 (ether6-ether10).
Atheros 7240 представлен в RB750 (ether2-ether5), RB750UP (ether2-ether5), RB751U-2HnD (ether2-ether5) и RB951-2n.

Версию чипа узнать очень просто. Откройте в Winbox вкладку Switch:

Или выполните соответствующую команду в терминале.

Мой маршрутизатор линейки RB2011 обладает чипом Atheros 8327, с ним и будем играться.

Наша железяка позволяет работать с VLAN двумя способами. Самый простой это добавление интерфейса с нужным вам VLAN ID, а вот второй более мудреный - использовать Mikrotik в качестве управляемого свича, позволяющего отдавать вланы на порты в Access или Trunk, тем самым вешая или снимая с них VLAN-теги.


Самое лёгкое в нашем деле. Создание нужного влана. Заходим в Interfaces, и тыкнув плюсик выбираем тип создаваемого интерфейса - VLAN.

У нас появляется окошко, в котором достаточно заполнить всего три поля.

Name - имя создаваемого интерфейса;
VLAN ID - метка нашего VLAN;
Interface - порт или какой-либо другой интерфейс на котором будем смотреть VLAN.
Чтобы создать влан в терминале, вводим команду interface vlan add name=VLAN_Test_228 interface=ether10 vlan-id=228

После идем в IP >>> Addreses и назначаем новому интерфейсу IP.

Только тут нас поджидает маленький нюанс. Если влан нужно раздать на slave-порт, то добавить в него нужно master.


Настраивать всё будем средствами терминала Mikrotik, т.к. если вы являетесь обладателем старой железки GUI винбокса вам не поможет. В данном режиме наш Микротик будет работать как свич, и в этом случае его функции как маршрутизатора задействованы не будут. То есть мы теряем возможность какого-либо контроля сетевого трафика, зато пакеты будут лететь на скорости сетевых интерфейсов - есть у нас гигабитный порт, и эффективность его будет максимальной, и не резаться как в режимах бриджа и роутинга.

Рассмотрим две схемы. В первом случае наш Микротик будет свичом доступа, а во втором - транзитным.

Здесь всё просто. Второй порт будет транком (trunk, ака аплинк), а порты 3-5 будут работать в акцессе (access, доступ). На официальном сайте Mikrotik рассматривается данный пример, поэтому можете почитать русскую статью для чипа 8316 и английскую в случае с 8327. Или никуда не уходим и читаем дальше.

Для начала создадим свитч-группу.

/interface ethernet
set ether3 master-port=ether2
set ether4 master-port=ether2
set ether5 master-port=ether2

Настраиваем на портах vlan-mode и vlan-header, а так же для access портов присваиваем default-vlan-id (аналоги PVID на D-link'ах и VLAN to Port на Linksys'ах).
Параметр "vlan-mode" может принимать следующие значения:
disabled - игнорировать vlan-таблицу, обрабатывать пакеты, содержащие vlan-теги точно так же, как если бы они не содержали vlan-тегов;
fallback - режим по умолчанию – обрабатывать пакеты, содержащие vlan-теги, не представленные в vlan-таблице, точно так же, как если бы они не содержали vlan-тегов. Пакеты, содержащие vlan-теги, представленные в vlan-таблице, но входящий порт не соответствует какому-либо порту в записях vlan-таблицы, не будут отброшены.
check - отбрасывать пакеты, содержащие vlan-теги, не представленные в vlan-таблице. Пакеты, содержащие vlan-теги, представленные в vlan-таблице, но входящий порт не соответствует какому-либо порту в записях vlan-таблицы, не будут отброшены.
secure - отбрасывать пакеты, содержащие vlan-теги, не представленные в vlan-таблице. Пакеты, содержащие vlan-теги, представленные в vlan-таблице, но входящий порт не соответствует какому-либо порту в записях vlan-таблицы, тоже будут отброшены.

Параметр "vlan-header" может принимать следующие значения:
leave-as-is - пакет не подвергается изменениям на исходящем порте;
always-strip - если VLAN-заголовок присутствует, он будет удалён из пакета;
add-if-missing - если VLAN-заголовок отсутствует, он будет добавлен к пакету.

/interface ethernet switch port
set ether3 vlan-mode=secure vlan-header=always-strip default-vlan-id=200
set ether4 vlan-mode=secure vlan-header=always-strip default-vlan-id=300
set ether5 vlan-mode=secure vlan-header=always-strip default-vlan-id=400
set ether2 vlan-mode=secure vlan-header=add-if-missing

Добавляем в таблицу VLAN записи наших меток:

/interface ethernet switch vlan
add ports=ether3,ether2 switch=switch1 vlan-id=200 independent-learning=yes
add ports=ether4,ether2 switch=switch1 vlan-id=300 independent-learning=yes
add ports=ether5,ether2 switch=switch1 vlan-id=400 independent-learning=yes

Собственно всё, мы выполнили требования первой схемы.

Теперь представим такую ситуацию. Mikrotik стоит между двумя управляемыми свичами, и в этом случае нам достаточно настроить на нем два транковых порта, которые будут передавать данные с тэгом, к примеру, 141.
Для примера нам нужны будут два порта, пусть это будут 4-ый и 5-ый.
Снова потребуется создать свич-группу.

/interface ethernet
set ether4 master-port=ether5

Настраиваем на портах vlan-mode и vlan-header:

/interface ethernet switch port
set ether4 vlan-mode=secure vlan-header=add-if-missing
set ether5 vlan-mode=secure vlan-header=add-if-missing

Добавляем в таблицу VLAN записи наших меток:

/interface ethernet switch vlan
add ports=ether4,ether5 switch=switch1 vlan-id=141 independent-learning=yes

Готово. Пакеты с тегом 141 будут проходить с одного порта на другой. При этом свичи (напоминаю, Mikrotik в нашем стоит между двумя свичами) также потребуется настроить нужным образом, но это уже другая история.


На просторах интернетов идет широкое обсуждение данной темы. Приведу некоторые вопросы и ответы на них.