Инструкция по настройка VLAN на оборудование MikroTik, Cisco. Примеры использование trunk(tagged) и access(untagged) портов.
Что такое VLAN
VLAN (Virtual Local Area Network, виртуальная локальная сеть) — это функция в роутерах и коммутаторах, позволяющая на одном физическом сетевом интерфейсе (Ethernet, Wi-Fi интерфейсе) создать несколько виртуальных локальных сетей. VLAN используют для создания логической топологии сети, которая никак не зависит от физической топологии.
Нужно настроить VLAN в MikroTik?
Мы поможем настроить: маршрутизатор(роутер), точку доступа или коммутатор.
Примеры использования VLAN
-
Объединение в единую сеть компьютеров, подключенных к разным коммутаторам.
Допустим, у вас есть компьютеры, которые подключены к разным свитчам, но их нужно объединить в одну сеть. Одни компьютеры мы объединим в виртуальную локальную сеть VLAN 1, а другие — в сеть VLAN 2. Благодаря функции VLAN компьютеры в каждой виртуальной сети будут работать, словно подключены к одному и тому же свитчу. Компьютеры из разных виртуальных сетей VLAN 1 и VLAN 2 будут невидимы друг для друга.
-
Разделение в разные подсети компьютеров, подключенных к одному коммутатору.
На рисунке компьютеры физически подключены к одному свитчу, но разделены в разные виртуальные сети VLAN 1 и VLAN 2. Компьютеры из разных виртуальных подсетей будут невидимы друг для друга.
-
Разделение гостевой Wi-Fi сети и Wi-Fi сети предприятия.
На рисунке к роутеру подключена физически одна Wi-Fi точка доступа. На точке созданы две виртуальные Wi-Fi точки с названиями HotSpot и Office. К HotSpot будут подключаться по Wi-Fi гостевые ноутбуки для доступа к интернету, а к Office — ноутбуки предприятия. В целях безопасности необходимо, чтобы гостевые ноутбуки не имели доступ к сети предприятия. Для этого компьютеры предприятия и виртуальная Wi-Fi точка Office объединены в виртуальную локальную сеть VLAN 1, а гостевые ноутбуки будут находиться в виртуальной сети VLAN 2. Гостевые ноутбуки из сети VLAN 2 не будут иметь доступ к сети предприятия VLAN 1.
Зачем нужен VLAN
-
Гибкое разделение устройств на группы
Как правило, одному VLAN соответствует одна подсеть. Компьютеры, находящиеся в разных VLAN, будут изолированы друг от друга. Также можно объединить в одну виртуальную сеть компьютеры, подключенные к разным коммутаторам. -
Уменьшение широковещательного трафика в сети
Каждый VLAN представляет отдельный широковещательный домен. Широковещательный трафик не будет транслироваться между разными VLAN. Если на разных коммутаторах настроить один и тот же VLAN, то порты разных коммутаторов будут образовывать один широковещательный домен. -
Увеличение безопасности и управляемости сети
В сети, разбитой на виртуальные подсети, удобно применять политики и правила безопасности для каждого VLAN. Политика будет применена к целой подсети, а не к отдельному устройству. -
Уменьшение количества оборудования и сетевого кабеля
Для создания новой виртуальной локальной сети не требуется покупка коммутатора и прокладка сетевого кабеля. Однако вы должны использовать более дорогие управляемые коммутаторы с поддержкой VLAN.
Настройка VLAN в MikroTik
Чтобы максимально широко захватить настройки VLAN будет создано несколько стендов, где маршрутизаторы(роутеры) MikroTik будут пересекаться с другим сетевым оборудованием:
VLAN между роутером MikroTik и коммутатором L2
- 5-ый порт роутера тегированный(trunk);
- 1-ый порт коммутатора тегированный(trunk);
- 3-ий и 5-ый порт коммутатора нетегированные(access).
VLAN между роутером MikroTik и коммутатором L3
- 5-ый порт роутера тегированный(trunk);
- 9-ый порт коммутатора тегированный(trunk);
- 11-ий и 18-ый порт коммутатора нетегированные(access).
VLAN между роутером MikroTik и коммутатором Cisco L2
- 5-ый порт роутера MikroTik тегированный(trunk);
- 1-ый порт коммутатора Cisco L2 тегированный(trunk);
- 17-ый и 33-ый порт коммутатора Cisco L2 нетегированные(access).
VLAN между Ubiquiti(UniFi, Nanostation) и MikroTik, прямое подключение
- 5-ый порт роутера определен как нетегированный(access);
- на точке доступа WiFi Ubiquiti(UniFi, Nanostation) активирован Managment VLAN.
VLAN между Ubiquiti(UniFi, Nanostation) и MikroTik, через коммутатор MikroTik CSS326-24G-2S+RM
- 5-ый порт роутера тегированный(trunk);
- 5-ый порт коммутатора тегированный(trunk);
- 6 порт коммутатора нетегированный(access).
Настройка нетегированного(untagged) VLAN в MikroTik, схема только access портов
К каждому порту маршрутизатора(роутера) будет подключаться конечный клиент(ПК, принтер, точка доступа). Со стороны клиента трафик нетегированный, а в момент попадания пакета на порт, ему будет присваиваться тег VLAN ID(тегированный трафик). Access порт — это синоним приведенной схемы у производителя оборудования такого как Cisco.
Создание Bridge интерфейса с использованием VLAN
Настройка находится Bridge→Bridge
Необходимо определить Bridge интерфейс, настройки которого содержат параметр Ether. type = 0x8100. Это параметр указывает на то, что на данном интерфейсе будет использоваться тег VLAN-а.
/interface bridge add admin-mac=AA:AA:E7:78:04:D7 auto-mac=no name=Bridge vlan-filtering=yes
Стоит обратить внимание на заполнение параметра Admin MAC Address, это действие нужно взять в привычку: копировать сгенерированный MAC Address сразу после создания Bridge, т.е. до внесения портов. В противном случае Admin MAC Address будет произвольно меняться и на каком-то этапе это может быть помехой в доступности или в работе маршрутизации.
Создание VLAN интерфейсов
Настройка находится Interfaces→VLAN
В созданном VLAN-е нужно определить VLAN ID, а также указать интерфейс, на котором он будет присваиваться. В схеме, где отсутствует центральный Bridge, VLAN нужно назначить на Bridge интерфейс
По аналогии создаются все необходимые интерфейсы.
/interface vlan add interface=Bridge name=Bridge-Vlan12 vlan-id=12 add interface=Bridge name=Bridge-Vlan13 vlan-id=13 add interface=Bridge name=Bridge-Vlan14 vlan-id=14 add interface=Bridge name=Bridge-Vlan15 vlan-id=15 add interface=Bridge name=Bridge-Vlan16 vlan-id=16 add interface=Bridge name=Bridge-Vlan17 vlan-id=17 add interface=Bridge name=Bridge-Vlan18 vlan-id=18 add interface=Bridge name=Bridge-Vlan27 vlan-id=27
Добавление портов в Bridge
Настройка находится Bridge→Ports
/interface bridge port add bridge=Bridge interface=ether2 pvid=12 add bridge=Bridge interface=ether3 pvid=13 add bridge=Bridge interface=ether4 pvid=14 add bridge=Bridge interface=ether5 pvid=15 add bridge=Bridge interface=ether6 pvid=16 add bridge=Bridge interface=ether7 pvid=17 add bridge=Bridge interface=ether8 pvid=18
Для всех портов нужно определить VLAN ID, обозначив эти порты как тегированные.
PVID = 12 будет маркировать все пакеты поступившие на порт соответствующим VLAN ID.
Определение тегированных(trunk) и нетегированных(access) портов
Настройка находится Bridge→VLANs
/interface bridge vlan add bridge=Bridge tagged=Bridge untagged=ether2 vlan-ids=12 add bridge=Bridge tagged=Bridge untagged=ether3 vlan-ids=13 add bridge=Bridge tagged=Bridge untagged=ether4 vlan-ids=14 add bridge=Bridge tagged=Bridge untagged=ether5 vlan-ids=15 add bridge=Bridge tagged=Bridge untagged=ether6 vlan-ids=16 add bridge=Bridge tagged=Bridge untagged=ether7 vlan-ids=17 add bridge=Bridge tagged=Bridge untagged=ether8 vlan-ids=18
Tagged=Bridge будет использовать как тегированный(trunk) интерфейс и будет пропускать через себя VLAN ID 12…18;
Untagged=ether2 определен как нетегированный порт.
Настройка локальной сети для VLAN
Сетевые настройки в данном примере не отличаются от сетевых настроек приведенных в статье «Базовая конфигурация роутера MikroTik →«, с одной поправкой — в качестве интерфейса назначения нужно использовать соответствующий VLAN интерфейс, т.е.
Настройка локального IP адреса для VLAN
Настройка находится IP→Addresses
/ip address add address=192.168.12.1/24 interface=Bridge-Vlan12 network=192.168.12.0
Настройка DHCP сервера для VLAN
Настройка находится IP→DHCP Server→DHCP
/ip dhcp-server add address-pool=Pool-LAN-12 disabled=no interface=Bridge-Vlan12 lease-time=\ 1d name=DHCP-LAN-12
Настройка тегированного(tagged) VLAN в MikroTik, схема с коммутатором MikroTik(L2)
На рынке предложений коммутаторов L2 MikroTik занимает лидирующие предложения при выборе 4-ёх и 24-ёх портового коммутатора L2. Основными плюсами таких коммутаторов это наличие Web-интерфейса и возможность работать с VLAN-ами. Схематически сеть будет выглядеть так:
Если описать словами схему, то:
- 5-ый порт роутера тегированный(trunk);
- 1-ый порт коммутатора L2 тегированный(trunk);
- 3-ий и 5-ый порт коммутатора L2 нетегированные(access).
За основу настроек будет взята настройка VLAN-ов со стороны центрального маршрутизатора(роутера), описанная выше. Эта настройка включает:
- создание Bridge;
- создание VLAN-ов;
- добавление портов в Bridge;
- определение тегированных (trunk) и нетегированных(access) портов;
- локальную адресацию.
А далее эта конфигурация будет адаптирована.
Необходимо снять принудительный PVID с порта на роутере MikroTik
/interface bridge port add bridge=Bridge interface=ether5 pvid=1
Определить тегированные(trunk) порты
/interface bridge vlan add bridge=Bridge-Vlan tagged=Bridge-Vlan,ether5 vlan-ids=10 add bridge=Bridge-Vlan tagged=Bridge-Vlan,ether5 vlan-ids=20
Настроить тегированные(trunk) и нетегированные(access) порты на коммутаторе MikroTik L2 с SwOS
Определить на каких портах будут присутствовать соответствующие VLAN со стороны MikroTik коммутатора L2
Настройка VLAN между двумя роутерами\коммутаторами MikroTik(L3), схема trunk и access портов
Приведенная схема также является популярной связкой, когда маршрутизатор(роутер) MikroTik раздает VLAN через коммутатор(или другой роутер MikroTik), на котором установлена RouterOS. Такие коммутаторы относятся к категории устройств L3 и схематически подключение будет выглядеть так:
Если описать словами схему, то:
- 5-ый порт роутера тегированный(trunk);
- 9-ый порт коммутатора L3 тегированный(trunk);
- 11-ий и 18-ый порт коммутатора L3 нетегированные(access).
За основу настроек будет взята настройка VLAN-ов со стороны центрального маршрутизатора(роутера), описанная выше. Эта настройка включает:
- создание Bridge;
- создание VLAN-ов;
- добавление портов в Bridge;
- определение тегированных (trunk) и нетегированных(access) портов;
- локальную адресацию.
А далее эта конфигурация будет адаптирована.
Необходимо снять принудительный PVID с порта на роутере MikroTik
/interface bridge port add bridge=Bridge interface=ether5 pvid=1
Определить тегированные(trunk) порты
/interface bridge vlan add bridge=Bridge-Vlan tagged=Bridge-Vlan,ether5 vlan-ids=10 add bridge=Bridge-Vlan tagged=Bridge-Vlan,ether5 vlan-ids=20
Со стороны MikroTik коммутатора L3
Создание Bridge интерфейса с использованием VLAN
Настройка находится Bridge→Bridge
Необходимо определить Bridge интерфейс, настройки которого содержат параметр Ether. type = 0x8100. Это параметр указывает на том, что на данном интерфейсе будет использоваться тег VLAN-а.
/interface bridge add admin-mac=AA:B3:B9:A4:DE:D1 auto-mac=no name=Bridge-VLAN vlan-filtering=yes
Создание VLAN интерфейсов
Настройка находится Interfaces→VLAN
В созданном VLAN-е нужно определить VLAN ID, а также указать интерфейс, на котором он будет присваиваться. В схеме, где отсутствует центральный Bridge, VLAN нужно назначить на Bridge интерфейс
По аналогии создаются все необходимые интерфейсы.
/interface vlan add interface=Bridge-VLAN name=vlan10 vlan-id=10 add interface=Bridge-VLAN name=vlan10 vlan-id=20
Добавление портов в Bridge
Настройка находится Bridge→Ports
/interface bridge port add bridge=Bridge-LAN interface=ether9 pvid=1 add bridge=Bridge-LAN interface=ether11 pvid=10 add bridge=Bridge-LAN interface=ether18 pvid=20
- ether9 — тегированный(trunk) порт;
- ether11 и ether18 нетегированные(access) порты под VLAN ID=10 и VLAN ID=20 соответственно.
Определение тегированных(trunk) и нетегированных(access) портов
Настройка находится Bridge→VLANs
/interface bridge vlan add bridge=Bridge-LAN tagged=ether9 untagged=ether11 vlan-ids=10 add bridge=Bridge-LAN tagged=ether9 untagged=ether18 vlan-ids=20
Настройка VLAN между роутером\коммутатором MikroTik(L3) и коммутатором Cisco(L2)
Сейчас достаточно много предложений по Б\У технике Cisco периода 2000-2010 г.в.. Маршрутизаторы(роутеры), коммутаторы(свитчи) с Poe, точки доступа WiFi с поддержкой 802.11 ac, оптические модули и все это оборудование стоит в 2-3 раза ниже современного аналога. Возвращаясь к VLAN между маршрутизатором или коммутатором MikroTik(L3) и коммутатором Cisco L2, схема подключения будет выглядеть следующим образом:
Если описать словами схему, то:
- 5-ый порт роутера MikroTik тегированный(trunk);
- 1-ый порт коммутатора Cisco L2 тегированный(trunk);
- 17-ий и 33-ый порты коммутатора Cisco L2 нетегированные(access).
За основу настроек будет взята настройка VLAN-ов со стороны центрального маршрутизатора(роутера), описанная выше. Эта настройка включает:
- создание Bridge;
- создание VLAN-ов;
- добавление портов в Bridge;
- определение тегированных (trunk) и нетегированных(access) портов;
- локальную адресацию.
А далее эта конфигурация будет адаптирована.
Необходимо снять принудительный PVID с порта на роутере MikroTik
/interface bridge port add bridge=Bridge interface=ether5 pvid=1
Определить тегированные(trunk) порты
/interface bridge vlan add bridge=Bridge-Vlan tagged=Bridge-Vlan,ether5 vlan-ids=10 add bridge=Bridge-Vlan tagged=Bridge-Vlan,ether5 vlan-ids=20
Настроить тегированные(trunk) и нетегированные(access) порты на коммутаторе Cisco L2
Предварительно коммутатор Cisco 3750 сброшен до заводских настроек
configure terminal erase startup-config reload
Настройка локальной сети в Cisco
configure terminal interface vlan 1 ip address 192.168.1.21 255.255.255.0 ip default-gateway 192.168.1.1 no shutdown end
Определение trunk(тегированного\tagged) порта в Cisco
conf term interface FastEthernet2/0/1 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 1,10,20 no shutdown end
Определение access(нетегированного\untagged) порта в Cisco
conf term interface FastEthernet2/0/17 switchport mode access switchport access vlan 20 no shutdown interface FastEthernet2/0/33 switchport mode access switchport access vlan 10 no shutdown end
Сохранение конфигурации в Cisco
copy running-config startup-config
Как проверить работу VLAN в MikroTik
Для проверки работы VLAN в маршрутизаторе MikroTik можно воспользоваться утилитой Torch, указав в качестве интерфейса Bridge маршрутизатора и в качестве дополнительного параметра активировать VLAD ID.
Утилита находится Tools→Torch
Хоть сами смотрите, что пишете
add bridge=BridgeBridge-LAN
Добрый день. Спасибо за статью. Вопрос:
В разделе «Настройка VLAN между двумя роутерами\коммутаторами MikroTik(L3), схема trunk и access портов» зачем добавлять интерфейсы VLAN на стороне MikroTik коммутатора L3 ?
Исправьте орфографическую ошибку!!!
Уберите букву м в слове том, в предложении «Это параметр указывает на том, что на данном интерфейсе будет использоваться тег VLAN-а.», в разделе «Настройка нетегированного(untagged) VLAN в MikroTik, схема только access портов».
Здравствуйте спасибо за статью 👋 ,это описанные способы официальные способы из вики микротика ?
Замечательная статья. Настроил, работает, но есть одна непонятная проблема. Сделал один тегированный порт с транком по которому несколько VLAN идут на коммутатор L2 это работает. Не получается дефолтный первый вилан загнать в транк для управления всеми коммутаторами. Непонятно как это сделать. И второе, на всех остальных портах Mikrotikа PVID стоит 1, но пакеты между портами не ходят. Я с любого порта могу подключиться к Микротику, но если один порт Микротика подключаю к нетегированному порту коммутатора на VLAN 1, то коммутатор не вижу.
а если пришедший на Mikrotik vlan надо дать доступ на отдельном изолированном WiFi ?
Что-то полезное для себя почерпнул, но как не крути, VLAN MikroTik настраивается через левое плечо
Настройка VLAN для MikroTik на русском? Добавлю себе в заметки
Настоятельно рекомендую. Сам уже не первый раз настраиваю вланы на Микротах — всё отлично работает. Прекрасно клеятся со свичами, как с Микротами так и с ХП и даже с убогими Длинками.
Понял по этой инструкции как создать транк и акцесс порты.
Никогда и нигде не делайте default vlan = 1 🙂
Неужели cisco 3750 L2 уровня, и зачем прописывать vlan на роутере где нужно прописать vlan с ip адресами на L3 коммутаторе, а межсетевое взаимодействие между ip адресами (valn) добавить маршруты пна роутере?
Поправьте, если я не прав. На скриншотах, всех, где добавляются порты в режим tagged и untagged прописано bridge-vlan и ether5 как tagged, а в командах ниже, для терминала
interface bridge vlan
add bridge=Bridge tagged=Bridge untagged=ether5 vlan-ids=10
add bridge=Bridge tagged=Bridge untagged=ether5
, т. Е. Bridge tagged, а ether5 — untagged.
И второе, в терминальных коммандах имя моста bridge, а на скрине bridge-vlan.
Спасибо за внимательность! К сожалению есть такие недочёты при написании статьи, мой глаз их не замечает.
нужен совет.
давно хотел перенастроить свой микротик таким образом. прочитал все мануалы на wiki и настроил подобным образом, но вот столкнулся с проблемой:
требуется отфильтровать трафик в фаерволе бриджа по типу трафика (конкретно интересует пппое трафик), но фаервол его не помечает на транковых портах. если читать трафик на аццесных портах,- то читается лишь трафик в сторону аццесного порта, а обратно в транк нет.
Подскажите, может я что-либо проглядел, может где-то что-то нужно разрешить? или это непобедимо?
не хочется вновь возвращаться к бриджам между снятыми с портов тегами (перегружает интерфейс).
Настроил как в первом варианте «VLAN только на роутере MikroTik». В результате компьютеры из разных подсетей видят друг друга. Как можно эти сети изолировать?
С помощью firewall
Вот так?
/ip firewall filter
add chain=forward src-address=192.168.12.0/24 dst-address=192.168.13.0/24 action=drop
Да
а каким образом разграничивать VLANы оперируя VLANами, а не сетями? в чем смысл VLANов, в таком случае, если без фаервола все друг друга видят?
Изолировать лучше через Routing-Rules, выставляя Action unreachable.
Не очень понимаю, зачем там где VLAN только на одном порту в схеме на маршрутизаторе, делать bridge? Проще же просто создать два VLAN интерфейса и все.
Добрый день!
Благодарю за толковый «набор» инструкций по созданию VLAN в различных ситуациях.
Возможно ли дополнить данный материал инструкцией не по созданию VLAN на Bridge, а с использованием switch чипов, которые есть в большинстве маршрутизаторов. Ведь в таком случае не будут использоваться ресурсы CPU.
Заранее спасибо.
Вариант публикации описания настройки vlan на switch чипе рассматривался, но из-за низкой популярности в поисковых запросах и отсутствия спроса со стороны категории услуг, эта настройка со статусом «не актуальная».
Спасибо. Отличная статья, помогла разобратся с принципом работы vlan на mikrotik
Получилось соединить транком два l3 микротика. Настроить нетегированые порты на вланы. Но, компы получают нужные айпишники. И выставляют правильный шлюз по умолчанию, а вот пинговать его не могут и интернет тоже не работает. Я так понимаю нужно настроить роутинг и нат для вланов. Вот только как?
1. Роутинг точно не нужен
2. Отсутствие PING-а на самом роутер может блокироваться Firewall. Быстрая проверка — отключить все правила
3. NAT по умолчанию тоже не должен быть помехой, но если стал — значит настройка уже кастомная и с ней как минимум нужно ознакомиться
за столько времени вопрос наверно давно решен, но напишу для справки.
вам нужно было определить для ваших VLAN-ов, куда они относятся. к WAN или к LAN, чтоб firewall понимал, как с ними работать. по умолчанию они рассматриваются как внешние, по этому не работает пинг (скорее всего закрыт в файрволе с наружи) и не работает dns по этой же причине.
Ваш коментарий был просто уЖаСнО позелен насчет ДНС. я несколько дней убил с этой проблемой! Огромное спасибо!