Вы здесь

Mikrotik и VLAN

Работая с различным сетевым оборудованием, периодически имеешь дело с Mikrotik.
Но каждый раз, касаясь темы VLAN и коммутации, невольно поражаешься: как же в микроте усложнили (если не извратили), казалось бы, элементарные вещи: VLAN и trunk.
Здесь будут приведены настройки, успешно внедрённые в эксплуатацию.
Названия методов выглядят странно, но каковы методы, таковы и названия.

Микрот исторически растет от бриджей, которые к VLAN никакого отношения не имеют, хотя и являются броадкастным доменом. Совмещать VLAN и Bridge они начали с RouterOS v6.41.
Также, при создании VLAN, этот VLAN почему-то нужно ассоциировать с каким-то интерфейсом, например Bridge или Trunk.
Бридж никуда не девается, и живёт своей жизнью, но с прикрученным подобно костылю вланом.
Видимо из-за этих причин всё это и выглядит так, как выглядит.

"Настройка VLAN в bridge"

Такой тип настройки подойдёт для устройств Hap Lite, hAP AC lite и т.д.
Такой тип настройки подойдёт для случаев, когда необходимо создавать trunk до соседних коммутаторов, а также локальные порты access в нужном VLAN.
mikrotik_i_vlan_01_ciscomaster.ru.jpg

  1. Обнуление конфигурации кнопкой RESET
    В случае потери связи с миктротом в удалённом месте его можно ресетнуть до дефолтной конфигурации:
    1. Выключаем питание, нажимаем кнопку RES и держим её нажатой. Включаем питание и ждём пока USR LED начнёт мигать. Отпускаем кнопку RES.
    2. В дефолтной конфигурации будет создан switch для портов 2-5, поэтому в них можно подключить ISP + компьютер с IP адресом ISP. Таким образом можно получить доступ через интернет к компьютеру и Микроту.

    Конфигурация в этом случае будет дефолтной.
    Подключаемся к роутеру и обнуляем конфиг.

    system reset-configuration no-defaults=yes
  2. Учетка админа
    Первое что нужно сделать - создать своего админа и удалить дефолтного.
    user add name=myadmin password=my_pass group=full

    Проверка:

    user print

    Удаление стандартного админа:

    user remove X

    где x-идентификатор юзера.

  3. Имена интерфейсов
    В конфигурации у микротика всё привязано к имени интерфейса.
    Поэтому вначале нам следует правильно раздать имена.
    На этой модели hAPac2
    Будем следовать схеме:
    1 - ether1-isp1
    2 - ether2-isp2
    3 - ether3-LAN
    4 – ether4-LAN
    5 – ether5-LAN
    interface print interface set name=ether1-isp1 numbers=0 interface set name=ether2-isp2 numbers=1 interface set name=ether3-LAN numbers=2 interface set name=ether4-LAN numbers=3 interface set name=ether5-LAN numbers=4 interface print
  4. Выставляем IP на интерфейс провайдера
    ip address add address=85.11.18.186/30 comment=isp1 interface=ether1-isp1 ip route add distance=1 gateway=85.11.18.185

    ЛИБО, как в нашем примере, когда микрот получает серый динамический адрес - выставляем клиента DHCP:

    ip dhcp-client add disabled=no interface=ether1-isp1 use-peer-dns=yes use-peer-ntp=yes
  5. Кеширующий DNS Server
    ip dns set allow-remote-requests=yes ip dns set servers=8.8.8.8

    Проверка:

    ip dns print ip dns export
  6. Настройка времени (NTP)
    Точное время на роутере необходимо для правильной работы всех протоколов и служб, где используются временные метки: сертификатов, IPSec, анализ логов и т.д.
    Проверяем доступность сервера NTP:
    ping ru.pool.ntp.org
    /system clock set time-zone-name=Europe/Moscow /system identity set name=mik_10_5_111_1 /system ntp client set enabled=yes server-dns-names=ru.pool.ntp.org

    На 7-ой версии:

    /system clock set time-zone-name=Europe/Moscow /system identity set name=mik_10_5_111_1 /system ntp client set enabled=yes /system ntp client servers add address=ru.pool.ntp.org

    Проверка:

    system ntp client print system clock print
  7. Настраиваем MNDP
    MNDP - это то, что позволяет видеть winbox соседние микроты по L2.
    Рекомендуется MNDP включить только по внутренним интерфейсам.
    В нашем случае внутренние интерфейсы: ether3-LAN, ether4-LAN, ether5-LAN
    /interface list add include=static name=MNDP /interface list member add interface=ether3-LAN list=MNDP add interface=ether4-LAN list=MNDP add interface=ether5-LAN list=MNDP /ip neighbor discovery-settings set discover-interface-list=MNDP
  8. Обновление прошивки
  9. Настройка SNMP
    /snmp community add addresses=10.2.2.4/32 name=my_community /snmp set contact=Vladimir enabled=yes location=Moscow
  10. Настройка Bridge
    Настройка Bridge и VLAN осуществляется на внутренних портах, поэтому для настройки рекомендуется подключиться через внешний интерфейс.
    Согласно схеме, на порты вешаем ВЛАНЫ. Это аксесные порты, порт5 транковый, поэтому его здесь нет.
    interface bridge add name=lan-bridge interface bridge port add bridge=lan-bridge interface=ether3 pvid=10 interface bridge port add bridge=lan-bridge interface=ether4 pvid=5

    Создаём VLAN в Bridge
    Здесь lan-bridge должен быть отмечен для каждого VLAN как tagged.
    Также транковый порт5 отмечен как tagged.

    /interface bridge vlan add bridge=lan-bridge comment=LAN tagged=lan-bridge,ether5-LAN untagged=ether3-LAN vlan-ids=10 add bridge=lan-bridge comment="wifi guest" tagged=lan-bridge,ether5-LAN untagged=ether4-LAN vlan-ids=5
  11. Далее создадим VLAN интерфейсы и укажем на них адреса
    /interface vlan add comment="wifi guest" interface=lan-bridge name=vlan5 vlan-id=5 add comment=LAN interface=lan-bridge name=vlan10 vlan-id=10
    /ip address add address=10.5.111.1/24 interface=vlan10 network=10.5.111.0 add address=192.168.5.1/24 interface=vlan5 network=192.168.5.0
  12. Включаем VLAN Filtering
    Эта хрень по факту ничего не фильтрует, но без неё Bridge будет игнорировать VLAN tags
    [mik_10_5_111_1] /interface/bridge/vlan> /interface/bridge/ [mik_10_5_111_1] /interface/bridge> print Flags: D - dynamic; X - disabled, R - running 0 R name="lan-bridge" mtu=auto actual-mtu=1500 l2mtu=1598 arp=enabled arp-timeout=auto mac-address=48:8F:5A:62:14:F0 protocol-mode=rstp fast-forward=yes igmp-snooping=no auto-mac=yes ageing-time=5m priority=0x8000 max-message-age=20s forward-delay=15s transmit-hold-count=6 ether-type=0x8100 pvid=1 frame-types=admit-all ingress-filtering=no dhcp-snooping=no port-cost-mode=long mvrp=no max-learned-entries=auto [mik_10_5_111_1] /interface/bridge> [mik_10_5_111_1] /interface/bridge> set vlan-filtering=yes numbers=0

    mikrotik_i_vlan_02_ciscomaster.ru.jpg

  13. DHCP Server
    Добавляем pool. Пулы можно создавать для разных целей, сейчас мы создаём для DHCP:
    /ip pool add name=lan-DHCP-pool10 ranges=10.5.111.30-10.5.111.100

    Создаём DHCP Server. В общем случае, при работе с несколькими броадкастными доменами, можно создавать несколько DHCP серверов.
    DHCP сервер привязывается к интерфейсу, который он "слушает", а также к пулу.

    /ip dhcp-server add address-pool=lan-DHCP-pool10 disabled=no interface=vlan10 lease-time=1d name=lan-DHCP-server

    Создаём DHCP Server network. Этот элемент задаёт параметры сети, типа маски, шлюза, dns, NTP и т.д.

    /ip dhcp-server network add address=10.5.111.0/24 comment=lan dns-server=10.25.251.37,10.5.14.36 domain=bau.local gateway=10.5.111.1 netmask=24

    Аналогично для второй сети:

    /ip pool add name=lan-DHCP-pool5 ranges=192.168.5.30-192.168.5.100 /ip dhcp-server add address-pool=lan-DHCP-pool5 disabled=no interface=vlan5 lease-time=1d name=guest-DHCP-server /ip dhcp-server network add address=192.168.5.0/24 comment=lan dns-server=8.8.8.8 gateway=192.168.5.1 netmask=24

    Проверка:

    ip address print ip pool print ip pool used print ip dhcp-server network print ip dhcp-server print ip dhcp-server lease print

"Настройка VLAN в trunk"

Метод Настройка VLAN в trunk интуитивно более понятен, т.к. не содержит такой массы настроек.
Такой метод подходит для случаев, когда мы не планируем подключаться к VLAN через порты микрота.

Mikrotik. EtherChannel + Trunk + VLAN и Cisco
http://ciscomaster.ru/content/mikrotik-etherchannel-trunk-vlan-i-cisco

Источники

https://mikrotiklab.ru/nastrojka/artga-vlan.html
https://mikrotik-training.ru/kb/vlan-v-mikrotik/
https://bozza.ru/art-349.html

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image