Инструкция по настройка VLAN между MikroTik и оборудованием Ubiquiti(UniFi, Nanostation). Создание Managment VLAN как отдельной подсети для управления устройствами.
Примеры использования VLAN между MikroTik и Ubiquiti(UniFi, Nanostation)
В продолжении обзорной статьи «Настройка VLAN в MikroTik, trunk и access порты →» будет рассмотрено несколько популярных схем, с участием оборудования Ubiquiti. Данный вендор производит качественную продукцию и многие потребители беспроводных технологий, знакомство с «бесшовным роумингом» начали именно с него.
Нужно настроить VLAN между MikroTik и Ubiquiti?
Мы поможем настроить: маршрутизатор(роутер), точку доступа или коммутатор.
Данные схемы будут основываться на использовании Managment VLAN со стороны Ubiquiti(UniFi, Nanostation), который подразумевает использование отдельной подсети для сетевого оборудования. Как обозначалось ранее, такая основа поможет достойно справиться с наднагрузкой в беспроводной сети WiFi.
VLAN между Ubiquiti(UniFi, Nanostation) и MikroTik, прямое подключение
- 5-ый порт роутера определен как нетегированный(access);
- на точке доступа WiFi Ubiquiti(UniFi, Nanostation) активирован Managment VLAN.
VLAN между Ubiquiti(UniFi, Nanostation) и MikroTik, через коммутатор MikroTik CSS326-24G-2S+RM
- 5-ый порт роутера тегированный(trunk);
- 5-ый порт коммутатора тегированный(trunk);
- 6 порт коммутатора нетегированный(access).
Описание настройки маршрутизатора и точки доступа WiFi будет только касаться VLAN, подразумевается, что остальные службы и настройки включены и не создают препятствий в работе VLAN.
Настройка Ubiquiti(UniFi, Nanostation) Managment VLAN
Активация режима управления точкой доступа WiFi через отдельный VLAN производится через настройку:
Зачем использовать Bridge в настройке VLAN
Начиная с прошивки RouterOS v6.41 изменилась архитектура обработки VLAN пакетов. Ранее VLAN указывался на интерфейс, на котором он должен быть использован, а в новой прошивки на программный Bridge. На логику работу VLAN это ни каким образом не влияет, но упорядочивает контроль и понимание настройки VLAN на оборудовании MikroTik. Как будет видно из инструкции, в настройке VLAN будут задействованы 4-ре отдельных подраздела(VLAN(Interfaces), Bridge(Bridge), Ports(Bridge), VLANs(Bridge))
VLAN между Ubiquiti(UniFi, Nanostation) и MikroTik, прямое подключение
Добавление нового Bidge и активация использования VLAN
Настройка находится Bridge→Bridge
/interface bridge add admin-mac=6C:3B:6B:C4:59:07 auto-mac=no name=Ether-All-B vlan-filtering=yes
Добавление VLAN на интерфейс Bridge
Настройка находится Interfaces→VLAN
/interface vlan add interface=Ether-All-B name=Bridge-Vlan17 vlan-id=17 add interface=Ether-All-B name=Bridge-Vlan27 vlan-id=27
Эту настройку нужно распространить для двух VLAN ID — 17 и 27, которые будут назначаться Managment VLAN и клиентам WiFi соответственно.
Добавление портов в Bridge, определение нетегированного(access) порта
Настройка находится Bridge→Ports
/interface bridge port add bridge=Ether-All-B interface=Ether9 pvid=27
Настройка Managment порта
Настройка находится Bridge→VLANs
/interface bridge vlan add bridge=Ether-All-B tagged=Ether-All-B tagged=Ether9 vlan-ids=17
Настройка VLAN для клиентов WiFi
Настройка находится Bridge→VLANs
/interface bridge vlan add bridge=Ether-All-B tagged=Ether-All-B untagged=Ether9 vlan-ids=27
Настройка локального IP адреса для VLAN
Настройка находится IP→Addresses
/ip address add address=192.168.17.1/24 interface=Bridge-Vlan17 network=192.168.17.0 add address=192.168.27.1/24 interface=Bridge-Vlan27 network=192.168.27.0
Настройка DHCP сервера для VLAN
Настройка находится IP→DHCP Server→DHCP
/ip dhcp-server add address-pool=Pool-LAN-17 disabled=no interface=Bridge-Vlan17 lease-time=\ 1d name=dhcp_vlan17 add address-pool=Pool-LAN-27 disabled=no interface=Bridge-Vlan27 lease-time=\ 1d name=dhcp_vlan27
После подключения к 5-ом порту маршрутизатора(роутера) MikroTik точке доступа WiFi Ubiquiti(UniFi, Nanostation), через опцию точки доступа Managment VLAN присваивается IP 17-ого VLAN, ну а всем WiFi клиентам из 27-ого VLAN.
VLAN между Ubiquiti(UniFi, Nanostation) и MikroTik, через коммутатор MikroTik CSS326-24G-2S+RM
Чтобы избежать путаницы в настройке VLAN, этот раздел будет описан полностью, даже если часть настроек будет пересекаться с прямой схемой подключения.
Добавление нового Bidge и активация использования VLAN
Настройка находится Bridge→Bridge
/interface bridge add admin-mac=2A:59:86:88:2D:4B auto-mac=no name=Bridge-VLAN vlan-filtering=yes
Добавление VLAN на интерфейс Bridge
Настройка находится Interfaces→VLAN
/interface vlan add interface=Bridge-VLAN name=Bridge-Vlan17 vlan-id=17 add interface=Bridge-VLAN name=Bridge-Vlan27 vlan-id=27
Эту настройку нужно распространить для двух VLAN ID — 17 и 27, которые будут назначаться Managment VLAN и клиентам WiFi соответственно.
Добавление портов в Bridge, определение тегированного(trunk) порта
Настройка находится Bridge→Ports
/interface bridge port add bridge=Bridge-VLAN interface=ether5 pvid=1
Настройка VLAN для Managment порта
Настройка находится Bridge→VLANs
/interface bridge vlan add bridge=Bridge-VLAN tagged=Bridge-VLAN tagged=ether5 vlan-ids=17
Настройка VLAN для клиентов WiFi
Настройка находится Bridge→VLANs
/interface bridge vlan add bridge=Bridge-VLAN tagged=Bridge-VLAN untagged=ether5 vlan-ids=27
Настройка локального IP адреса для VLAN
Настройка находится IP→Addresses
/ip address add address=192.168.17.1/24 interface=Bridge-Vlan17 network=192.168.17.0 add address=192.168.27.1/24 interface=Bridge-Vlan27 network=192.168.27.0
Настройка DHCP сервера для VLAN
Настройка находится IP→DHCP Server→DHCP
/ip dhcp-server add address-pool=Pool-LAN-17 disabled=no interface=Bridge-Vlan17 lease-time=\ 1d name=dchp_vlan17 add address-pool=Pool-LAN-27 disabled=no interface=Bridge-Vlan27 lease-time=\ 1d name=dchp_vlan27
Настройка тегированных и нетегированных портов на коммутаторе MikroTik CSS326-24G-2S+RM
Определение на каких портах будут присутствовать VLAN-ы
После сбора исходной схемы:
Роутер MikroTik → Коммутатор L2 → UniFi(Nanostation) → Клиент WiFi
точке доступа присваивается IP 17-ого VLAN(через опцию Managment VLAN), ну а всем WiFi клиентам из 27-ого VLAN.
Здравствуйте.
Спасибо за детальное описание настроек. Возможно Вы сможете мне подсказать куда копать в следующем вопросе: а возможно ли расширить существующую WiFi сеть на микротиках с WiFi роумингом (одна подсеть для всего) с помощью точек ubiquiti? Контроллер убиков установлен на ноут.
Частный дом. Нужно покрыть еще обширную территорию в несколько сотен кв. метров. Основная часть оборудования микротики. И вот есть 4 штуки UAP-AC-M. Хочется их применить. Два из них подключены кабелем прямо в микротик и два через mesh. Но сеть то уже другая получается. Что вызывает конфликты, например, с apple девайсами. Понимаю, что проще строить сеть на чем-то одном. Но вот хочеться поэксперементировать. 🙂
Используйте разные частотные каналы в настройка WiFi модулей как на оборудовании MikroTik так и на UniFi. На счет работы apple устройств и прочих моментов — анализируйте причину и вносите соответствующие изменения в конфигурацию.
Добрый день!
В части статья, которая посвящена связке роутер + css + Ubiquiti, почему-то в конце предлагается подключить точку к «к 5-ом порту маршрутизатора». Вроде как надо подключать к свичу?
Такое иногда бывает, спасибо что читаете Настройка-Микротик.укр
У меня не работает данная схема, так как на самой точке я не могу выставить бридж……У меня ubiquiti unifi ap ac 5 pro, пришлось выделить на микроте порт, поднять VLAN, и только так я разделил сеть вай фай, от локалки
здравствуйте. Есть UAP-nanoHD и Mikrotik. Микротик в роли роутера с 2мя DHCP для рабочей и и гостевой сети. UAP-nanoHD созда рабочая wifi и гостевая, созданы сети и эти сети в настройках UAP-nanoHD привязаны к разным wifi. рабочая wifi работает все норм без VLAN и назначается ip правильной сети из DHCP а вот гостевая wifi не как не раздает ip из гостевого DHCP сервера. UAP-nanoHD воткнута в обычный (не управляемый) коммутатор 16 портовый и в роутер.
add bridge=Bridge-VLAN tagged=Bridge-VLAN tagged=ether5 vlan-ids=17
Дане правило не буде працювати, бо задати тегування можна тільки 1 раз, tagged=Bridge-VLAN або tagged=ether5.
тегированным(trunk) может быть любой порт, вы перепутали с не тегированным(access)