Научиться настройке MikroTik можно на онлайн курсе по оборудованию этого производителя. Автор курса является сертифицированным тренером MikroTik. Подробней Вы можете прочитать в конце статьи.
Любое устройство RouterOS с трафиком, проходящим через центральный процессор, работает как маршрутизатор 3 уровня и по умолчанию пересылает пакеты между всеми подключенными сетями. Чтобы внести изменения в процесс пересылки необходимо использовать ACL или брандмауэр.
VLAN (узнать, что такое виртуальная частная сеть, вы можете перейдя по ссылке) абстрагирует идею локальной сети (LAN), предоставляя возможность для подсетей подключения к данным организации. Сетевые коммутаторы могут поддерживать несколько независимых сегментов виртуальных сетей, создавая 2 уровня 2 (канала передачи данных). VLAN связана с широковещательным доменом. Обычно он состоит из одного или нескольких коммутаторов Ethernet.
Порт доступа (access port / untagged) предназначен для приема/передачи пакетов без маркировки. Обычно это порт, к которому вы подключаете такие устройства, как серверы, клиентские компьютеры, принтеры и телефоны.
Магистральный порт (trunk port / tagged) обычно используется для подключения к L2 коммутаторам. Маршрутизатор принимает и пересылает пакеты из разных VLAN. Маркированные кадры от нескольких абонентов приходят на один порт.
Гибридный порт (hybrid port) будет разрешать как нетегированные, так и маркированные пакеты на одном и том же порту. Это может быть использовано для клиента, которому нужны как обычные нетегированные интернет-данные, так и отдельная защищенная сеть VLAN. Например, настольный телефон с подключенным компьютером через встроенный switch.
Благодаря виланам можно контролировать и сегментировать широковещательные запросы в сети. Транкинг виртуальных частных сетей позволяет передавать маркированный трафик между разными сегментами сети, сконфигурированными с помощью VLAN.
Благодаря транкам обеспечивается связь точка-точка между двумя сетевыми устройствами, к которых подключены устройства из более, чем одного VLAN сегмента. С помощью trunk соединений VLAN вы можете распространить настройки сегментации по всей сети. Большинство коммутаторов поддерживают протокол IEEE 802.1Q.
Настраиваем VLAN – пример 1 – магистральные (trunk) порты и порты доступа (access)
Роутерборды компании Микротик с чипами коммутации Atheros могут быть использованы для 802.1Q Trunking. В данном примере ether3, ether4 и ether5 интерфейсы портов доступа (access), в то время как ether2 является магистральным портом (trunk). Идентификаторы VLAN для каждого порта доступа: ether3 200, ether4 300, ether5 400.tra 
- Создадим группу портов коммутации выбрав один мастер-порт и назначая его остальным:
/interface ethernet set ether3 master-port=ether2 set ether4 master-port=ether2 set ether5 master-port=ether2
- Добавим записи в таблицу VLAN для коммутации кадров с определенными VLAN-идентификаторами между портами:
/interface ethernet switch vlan add ports=ether2,ether3 switch=switch1 vlan-id=200 add ports=ether2,ether4 switch=switch1 vlan-id=300 add ports=ether2,ether5 switch=switch1 vlan-id=400
- Назначим vlan-mode и vlan-header для каждого порта, а также default-vlan-id на входе для каждого порта доступа:
Параметр vlan-mode=secure обеспечивает точное следование таблице VLAN. Параметр vlan-header=always-strip для портов доступа убирает заголовок VLAN из кадра когда он покидает чип коммутации. Параметр vlan-header=add-if-missing для магистрального порта добавляет заголовок VLAN к немаркированным кадрам. Параметр Default-vlan-id определяет какой VLAN ID добавляется к немаркированному входящему трафику для порта доступа.
/interface ethernet switch port set ether2 vlan-mode=secure vlan-header=add-if-missing set ether3 vlan-mode=secure vlan-header=always-strip default-vlan-id=200 set ether4 vlan-mode=secure vlan-header=always-strip default-vlan-id=300 set ether5 vlan-mode=secure vlan-header=always-strip default-vlan-id=400
Настраиваем VLAN – пример 2 – магистральные (trunk) порты и гибридные порты доступа (hybrid)
Гибридные порты VLAN, которые могут пересылать как маркированный, так и немаркированный трафик поддерживаются только некоторыми гигабитными чипами коммутации (QCA8337, AR8327)
- Создать группу коммутируемых портов:
/interface ethernet set ether3 master-port=ether2 set ether4 master-port=ether2 set ether5 master-port=ether2
- Добавим записи в таблицу VLAN для разрешения коммутации между портами кадров с определенными VLAN идентификаторами:
/interface ethernet switch vlan add ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=200 add ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=300 add ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=400
- В меню настройки коммутатора задайте параметр vlan-mode на всех портах, для гибридных портов — default-vlan-id:
Параметр Vlan-mode=secure обеспечит строгое следование таблице VLAN. Параметр Default-vlan-id определит VLAN на порту для немаркированного входящего трафика. Для гигабитных чипов коммутации использование параметра vlan-mode=secure позволяет игнорировать параметр vlan-header. Элементы таблицы VLAN управляют процессом маркирования исходящего трафика и работают на всех портах как vlan-header=leave-as-is. Это означает, что приходящий маркированный трафик уходит также маркированным, только кадры с параметром default-vlan-id демаркируются на выходе из порта.
/interface ethernet switch port set ether2 vlan-mode=secure set ether3 vlan-mode=secure default-vlan-id=200 set ether4 vlan-mode=secure default-vlan-id=300 set ether5 vlan-mode=secure default-vlan-id=400
Управление IP конфигурацией
В этом примере мы разберем одну из возможных конфигураций управляющего IP-адреса. Управляющий IP будет доступен только через магистральный порт, и он будет иметь отдельный VLAN с идентификатором 99.
- Добавьте запись в таблицу VLAN для разрешения управляющего трафика через порт процессор-коммутатор (switch-cpu) и магистрального порта (trunk):
/interface ethernet switch vlan add ports=ether2,switch1-cpu switch=switch1 vlan-id=99
- Настройте порт, который соединяет коммутатор-чип с CPU, установите параметр vlan-header=leave-as-is, потому что трафик управления уже должен быть маркирован.
/interface ethernet switch port set switch1-cpu vlan-mode=secure vlan-header=leave-as-is
- Добавьте VLAN 99 и присвойте ему IP-адрес. Так как мастер-порт получает весь трафик, поступающий от switch-cpu порта, VLAN должен быть настроен для мастер-порта, в данном случае ether2.
/interface vlan add name=vlan99 vlan-id=99 interface=ether2 /ip address add address=192.168.88.1/24 interface=vlan99 network=192.168.88.0
Протокол Spanning Tree
Начиная с RouterOS v6.38 Роутерборды поддерживают протоколы Spanning Tree, на портах сконфигурированных для коммутации с помощью аппаратной коммутации. Чтобы включить эту функцию создайте интерфейс моста и добавьте мастер-порт к нему.
- Создать группу коммутируемых портов
/interface ethernet set ether2 master-port=ether1 set ether3 master-port=ether1 set ether4 master-port=ether1
- Создайте интерфейс моста и добавьте мастер-порт к нему
/interface bridge add name=bridge1 protocol=rstp /interface bridge port add bridge=bridge1 interface=ether1
- Ведомые порты динамически добавляются к мосту только для отображения состояния STP. Пересылка через коммутируемые порты все еще обрабатывается с помощью аппаратного коммутатора.
[rimskiy@quickpages.ru_] > /interface bridge port print Flags: X — disabled, I — inactive, D — dynamic # INTERFACE BRIDGE PRIORITY PATH-COST HORIZON 0 ether1 bridge1 0x80 10 none 1 ID ether2 bridge1 0x80 10 none 2 D ether3 bridge1 0x80 10 none 3 D ether4 bridge1 0x80 10 none
Видеоинструкция
MikroTik: куда нажать, чтобы заработало? При всех своих достоинствах, есть у продукции компании MikroTik один минус – много разобщенной и далеко не всегда достоверной информации о ее настройке. Рекомендуем проверенный источник на русском языке, где все собрано, логично и структурировано – видеокурс «Настройка оборудования MikroTik». В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект. Все материалы остаются у вас бессрочно. Начало курса можно посмотреть бесплатно, оставив заявку на странице курса. Автор курса является сертифицированным тренером MikroTik.
Предыдущая запись Как восстановить дескриптор диска (vmdk) VMware Следующая запись Loop Protect — защиты от петель на Микротике