Настройка VLAN в MikroTik, trunk и access порты

Что такое VLAN

VLAN (Virtual Local Area Network, виртуальная локальная сеть) — это функция в роутерах и коммутаторах, позволяющая на одном физическом сетевом интерфейсе (Ethernet, Wi-Fi интерфейсе) создать несколько виртуальных локальных сетей. VLAN используют для создания логической топологии сети, которая никак не зависит от физической топологии. 

Примеры использования VLAN

• Объединение в единую сеть компьютеров, подключенных к разным коммутаторам.
  Допустим, у вас есть компьютеры, которые подключены к разным свитчам, но их нужно объединить в одну сеть. Одни компьютеры мы объединим в виртуальную локальную сеть VLAN 1, а другие — в сеть VLAN 2. Благодаря функции VLAN компьютеры в каждой виртуальной сети будут работать, словно подключены к одному и тому же свитчу. Компьютеры из разных виртуальных сетей VLAN 1 и VLAN 2 будут невидимы друг для друга.

• Разделение в разные подсети компьютеров, подключенных к одному коммутатору.
  На рисунке компьютеры физически подключены к одному свитчу, но разделены в разные виртуальные сети VLAN 1 и VLAN 2. Компьютеры из разных виртуальных подсетей будут невидимы друг для друга.

• Разделение гостевой Wi-Fi сети и Wi-Fi сети предприятия.
  На рисунке к роутеру подключена физически одна Wi-Fi точка доступа. На точке созданы две виртуальные Wi-Fi точки с названиями HotSpot и Office. К HotSpot будут подключаться по Wi-Fi гостевые ноутбуки для доступа к интернету, а к Office — ноутбуки предприятия. В целях безопасности необходимо, чтобы гостевые ноутбуки не имели доступ к сети предприятия. Для этого компьютеры предприятия и виртуальная Wi-Fi точка Office объединены в виртуальную локальную сеть VLAN 1, а гостевые ноутбуки будут находиться в виртуальной сети VLAN 2. Гостевые ноутбуки из сети VLAN 2 не будут иметь доступ к сети предприятия VLAN 1.

Зачем нужен VLAN

• Гибкое разделение устройств на группы
  Как правило, одному VLAN соответствует одна подсеть. Компьютеры, находящиеся в разных VLAN, будут изолированы друг от друга. Также можно объединить в одну виртуальную сеть компьютеры, подключенные к разным коммутаторам.
• Уменьшение широковещательного трафика в сети
  Каждый VLAN представляет отдельный широковещательный домен. Широковещательный трафик не будет транслироваться между разными VLAN. Если на разных коммутаторах настроить один и тот же VLAN, то порты разных коммутаторов будут образовывать один широковещательный домен.
• Увеличение безопасности и управляемости сети
  В сети, разбитой на виртуальные подсети, удобно применять политики и правила безопасности для каждого VLAN. Политика будет применена к целой подсети, а не к отдельному устройству.
• Уменьшение количества оборудования и сетевого кабеля
  Для создания новой виртуальной локальной сети не требуется покупка коммутатора и прокладка сетевого кабеля. Однако вы должны использовать более дорогие управляемые коммутаторы с поддержкой VLAN.

Настройка VLAN в MikroTik

Чтобы максимально широко захватить настройки VLAN будет создано несколько стендов, где маршрутизаторы(роутеры) MikroTik будут пересекаться с другим сетевым оборудованием:

Настройка нетегированного(untagged) VLAN в MikroTik, схема только access портов

К каждому порту маршрутизатора(роутера) будет подключаться конечный клиент(ПК, принтер, точка доступа). Со стороны клиента трафик нетегированный, а в момент попадания пакета на порт, ему будет присваиваться тег VLAN ID(тегированный трафик). Access порт – это синоним приведенной схемы у производителя оборудования такого как Cisco.

Создание Bridge интерфейса с использованием VLAN

Настройка находится Bridge→Bridge

Необходимо определить Bridge интерфейс, настройки которого содержат параметр Ether. type = 0x8100. Это параметр указывает на то, что на данном интерфейсе будет использоваться тег VLAN-а.

/interface bridge
add admin-mac=AA:AA:E7:78:04:D7 auto-mac=no name=Bridge vlan-filtering=yes

Стоит обратить внимание на заполнение параметра Admin MAC Address, это действие нужно взять в привычку: копировать сгенерированный MAC Address сразу после создания Bridge, т.е. до внесения портов. В противном случае Admin MAC Address будет произвольно меняться и на каком-то этапе это может быть помехой в доступности или в работе маршрутизации.

Создание VLAN интерфейсов

Настройка находится Interfaces→VLAN

В созданном VLAN-е нужно определить VLAN ID, а также указать интерфейс, на котором он будет присваиваться. В схеме, где отсутствует центральный Bridge, VLAN нужно назначить на Bridge интерфейс

По аналогии создаются все необходимые интерфейсы.

/interface vlan
add interface=Bridge name=Bridge-Vlan12 vlan-id=12
add interface=Bridge name=Bridge-Vlan13 vlan-id=13
add interface=Bridge name=Bridge-Vlan14 vlan-id=14
add interface=Bridge name=Bridge-Vlan15 vlan-id=15
add interface=Bridge name=Bridge-Vlan16 vlan-id=16
add interface=Bridge name=Bridge-Vlan17 vlan-id=17
add interface=Bridge name=Bridge-Vlan18 vlan-id=18
add interface=Bridge name=Bridge-Vlan27 vlan-id=27

Добавление портов в Bridge

Настройка находится Bridge→Ports

/interface bridge port
add bridge=Bridge interface=ether2 pvid=12
add bridge=Bridge interface=ether3 pvid=13
add bridge=Bridge interface=ether4 pvid=14
add bridge=Bridge interface=ether5 pvid=15
add bridge=Bridge interface=ether6 pvid=16
add bridge=Bridge interface=ether7 pvid=17
add bridge=Bridge interface=ether8 pvid=18

Для всех портов нужно определить VLAN ID, обозначив эти порты как тегированные.

PVID = 12 будет маркировать все пакеты поступившие на порт соответствующим VLAN ID.

Определение тегированных(trunk) и нетегированных(access) портов

Настройка находится Bridge→VLANs

/interface bridge vlan
add bridge=Bridge tagged=Bridge untagged=ether2 vlan-ids=12
add bridge=Bridge tagged=Bridge untagged=ether3 vlan-ids=13
add bridge=Bridge tagged=Bridge untagged=ether4 vlan-ids=14
add bridge=Bridge tagged=Bridge untagged=ether5 vlan-ids=15
add bridge=Bridge tagged=Bridge untagged=ether6 vlan-ids=16
add bridge=Bridge tagged=Bridge untagged=ether7 vlan-ids=17
add bridge=Bridge tagged=Bridge untagged=ether8 vlan-ids=18

Tagged=Bridge будет использовать как тегированный(trunk) интерфейс и будет пропускать через себя VLAN ID 12…18;

Untagged=ether2 определен как нетегированный порт.

Настройка локальной сети для VLAN

Сетевые настройки в данном примере не отличаются от сетевых настроек приведенных в статье “Базовая конфигурация роутера MikroTik →“, с одной поправкой – в качестве интерфейса назначения нужно использовать соответствующий VLAN интерфейс, т.е.

Настройка локального IP адреса для VLAN

Настройка находится IP→Addresses

/ip address
add address=192.168.12.1/24 interface=Bridge-Vlan12 network=192.168.12.0

Настройка DHCP сервера для VLAN

Настройка находится IP→DHCP Server→DHCP

/ip dhcp-server
add address-pool=Pool-LAN-12 disabled=no interface=Bridge-Vlan12 lease-time=\
1d name=DHCP-LAN-12

Настройка тегированного(tagged) VLAN в MikroTik, схема с коммутатором MikroTik(L2)

На рынке предложений коммутаторов L2 MikroTik занимает лидирующие предложения при выборе 4-ёх и 24-ёх портового коммутатора L2. Основными плюсами таких коммутаторов это наличие Web-интерфейса и возможность работать с VLAN-ами. Схематически сеть будет выглядеть так:

Если описать словами схему, то:

• 5-ый порт роутера тегированный(trunk);
• 1-ый порт коммутатора L2 тегированный(trunk);
• 3-ий и 5-ый порт коммутатора L2 нетегированные(access).

За основу настроек будет взята настройка VLAN-ов со стороны центрального маршрутизатора(роутера), описанная выше. Эта настройка включает:

1. создание Bridge;
2. создание VLAN-ов;
3. добавление портов в Bridge;
4. определение тегированных (trunk) и нетегированных(access) портов;
5. локальную адресацию.

А далее эта конфигурация будет адаптирована.

Необходимо снять принудительный PVID с порта на роутере MikroTik

/interface bridge port add bridge=Bridge interface=ether5 pvid=1

Определить тегированные(trunk) порты

/interface bridge vlan 
add bridge=Bridge-Vlan tagged=Bridge-Vlan,ether5 vlan-ids=10
add bridge=Bridge-Vlan tagged=Bridge-Vlan,ether5 vlan-ids=20

Настроить тегированные(trunk) и нетегированные(access) порты на коммутаторе MikroTik L2 с SwOS

Определить на каких портах будут присутствовать соответствующие VLAN со стороны MikroTik коммутатора L2

Настройка VLAN между двумя роутерами\коммутаторами MikroTik(L3), схема trunk и access портов

Приведенная схема также является популярной связкой, когда маршрутизатор(роутер) MikroTik раздает VLAN через коммутатор(или другой роутер MikroTik), на котором установлена RouterOS. Такие коммутаторы относятся к категории устройств L3 и схематически подключение будет выглядеть так:

Если описать словами схему, то:

• 5-ый порт роутера тегированный(trunk);
• 9-ый порт коммутатора L3 тегированный(trunk);
• 11-ий и 18-ый порт коммутатора L3 нетегированные(access).

За основу настроек будет взята настройка VLAN-ов со стороны центрального маршрутизатора(роутера), описанная выше. Эта настройка включает:

1. создание Bridge;
2. создание VLAN-ов;
3. добавление портов в Bridge;
4. определение тегированных (trunk) и нетегированных(access) портов;
5. локальную адресацию.

А далее эта конфигурация будет адаптирована.

Необходимо снять принудительный PVID с порта на роутере MikroTik

/interface bridge port add bridge=Bridge interface=ether5 pvid=1

Определить тегированные(trunk) порты

/interface bridge vlan 
add bridge=Bridge-Vlan tagged=Bridge-Vlan,ether5 vlan-ids=10
add bridge=Bridge-Vlan tagged=Bridge-Vlan,ether5 vlan-ids=20

Со стороны MikroTik коммутатора L3

Создание Bridge интерфейса с использованием VLAN

Настройка находится Bridge→Bridge

Необходимо определить Bridge интерфейс, настройки которого содержат параметр Ether. type = 0x8100. Это параметр указывает на том, что на данном интерфейсе будет использоваться тег VLAN-а.

/interface bridge
add admin-mac=AA:B3:B9:A4:DE:D1 auto-mac=no name=Bridge-VLAN vlan-filtering=yes

Создание VLAN интерфейсов

Настройка находится Interfaces→VLAN

В созданном VLAN-е нужно определить VLAN ID, а также указать интерфейс, на котором он будет присваиваться. В схеме, где отсутствует центральный Bridge, VLAN нужно назначить на Bridge интерфейс

По аналогии создаются все необходимые интерфейсы.

/interface vlan
add interface=Bridge-VLAN name=vlan10 vlan-id=10
add interface=Bridge-VLAN name=vlan10 vlan-id=20

Добавление портов в Bridge

Настройка находится Bridge→Ports

/interface bridge port
add bridge=Bridge-LAN interface=ether9 pvid=1
add bridge=Bridge-LAN interface=ether11 pvid=10
add bridge=Bridge-LAN interface=ether18 pvid=20

• ether9 – тегированный(trunk) порт;
• ether11 и ether18 нетегированные(access) порты под VLAN ID=10 и VLAN ID=20 соответственно.

Определение тегированных(trunk) и нетегированных(access) портов

Настройка находится Bridge→VLANs

/interface bridge vlan
add bridge=Bridge-LAN tagged=ether9 untagged=ether11 vlan-ids=10
add bridge=Bridge-LAN tagged=ether9 untagged=ether18 vlan-ids=20

Настройка VLAN между роутером\коммутатором MikroTik(L3) и коммутатором Cisco(L2)

Сейчас достаточно много предложений по Б\У технике Cisco периода 2000-2010 г.в.. Маршрутизаторы(роутеры), коммутаторы(свитчи) с  Poe, точки доступа WiFi с поддержкой 802.11 ac, оптические модули и все это оборудование стоит в 2-3 раза ниже современного аналога. Возвращаясь к VLAN между маршрутизатором или коммутатором MikroTik(L3) и коммутатором Cisco L2, схема подключения будет выглядеть следующим образом:

Если описать словами схему, то:

• 5-ый порт роутера MikroTik тегированный(trunk);
• 1-ый порт коммутатора Cisco L2 тегированный(trunk);
• 17-ий и 33-ый порты коммутатора Cisco L2 нетегированные(access).

За основу настроек будет взята настройка VLAN-ов со стороны центрального маршрутизатора(роутера), описанная выше. Эта настройка включает:

1. создание Bridge;
2. создание VLAN-ов;
3. добавление портов в Bridge;
4. определение тегированных (trunk) и нетегированных(access) портов;
5. локальную адресацию.

А далее эта конфигурация будет адаптирована.

Необходимо снять принудительный PVID с порта на роутере MikroTik

/interface bridge port add bridge=Bridge interface=ether5 pvid=1

Определить тегированные(trunk) порты

/interface bridge vlan 
add bridge=Bridge-Vlan tagged=Bridge-Vlan,ether5 vlan-ids=10
add bridge=Bridge-Vlan tagged=Bridge-Vlan,ether5 vlan-ids=20

Настроить тегированные(trunk) и нетегированные(access) порты на коммутаторе Cisco L2

Предварительно коммутатор Cisco 3750 сброшен до заводских настроек

configure terminal
erase startup-config
reload

Настройка локальной сети в Cisco

configure terminal
interface vlan 1
ip address 192.168.1.21 255.255.255.0
ip default-gateway 192.168.1.1
no shutdown
end

Определение trunk(тегированного\tagged) порта в Cisco

conf term
interface FastEthernet2/0/1
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,10,20
no shutdown
end

Определение access(нетегированного\untagged) порта в Cisco

conf term
interface FastEthernet2/0/17
switchport mode access
switchport access vlan 20
no shutdown

interface FastEthernet2/0/33
switchport mode access
switchport access vlan 10
no shutdown
end

Сохранение конфигурации в Cisco

copy running-config startup-config

Как проверить работу VLAN в MikroTik

Для проверки работы VLAN в маршрутизаторе MikroTik можно воспользоваться утилитой Torch, указав в качестве интерфейса Bridge маршрутизатора и в качестве дополнительного параметра активировать VLAD ID.

Утилита находится Tools→Torch

Додати коментар