Вы здесь

ГлавнаяСтатьи_Mikrotik_

Mikrotik и VLAN

Сообщение об ошибке

  • Notice: Undefined index: DraggableCaptchaAnswer в функции draggable_captcha_generate_refresh() (строка 197 в файле /usr/local/www/drupal7/sites/all/modules/draggable_captcha/draggable_captcha.module).
  • Notice: Undefined index: DraggableCaptchaCodes в функции draggable_captcha_generate_refresh() (строка 197 в файле /usr/local/www/drupal7/sites/all/modules/draggable_captcha/draggable_captcha.module).
пн, 10/03/2025 - 16:37 — vs

Работая с различным сетевым оборудованием, периодически имеешь дело с Mikrotik.
Но каждый раз, касаясь темы VLAN и коммутации, невольно поражаешься: как же в микроте усложнили (если не извратили), казалось бы, элементарные вещи: VLAN и trunk.
Здесь будут приведены настройки, успешно внедрённые в эксплуатацию.
Названия методов выглядят странно, но каковы методы, таковы и названия.

Микрот исторически растет от бриджей, которые к VLAN никакого отношения не имеют, хотя и являются броадкастным доменом. Совмещать VLAN и Bridge они начали с RouterOS v6.41.
Также, при создании VLAN, этот VLAN почему-то нужно ассоциировать с каким-то интерфейсом, например Bridge или Trunk.
Бридж никуда не девается, и живёт своей жизнью, но с прикрученным подобно костылю вланом.
Видимо из-за этих причин всё это и выглядит так, как выглядит.

"Настройка VLAN в bridge"

Такой тип настройки подойдёт для устройств Hap Lite, hAP AC lite и т.д.
Такой тип настройки подойдёт для случаев, когда необходимо создавать trunk до соседних коммутаторов, а также локальные порты access в нужном VLAN.
mikrotik_i_vlan_01_ciscomaster.ru.jpg

  1. Обнуление конфигурации кнопкой RESET
    В случае потери связи с миктротом в удалённом месте его можно ресетнуть до дефолтной конфигурации:
    1. Выключаем питание, нажимаем кнопку RES и держим её нажатой. Включаем питание и ждём пока USR LED начнёт мигать. Отпускаем кнопку RES.
    2. В дефолтной конфигурации будет создан switch для портов 2-5, поэтому в них можно подключить ISP + компьютер с IP адресом ISP. Таким образом можно получить доступ через интернет к компьютеру и Микроту.

    Конфигурация в этом случае будет дефолтной.
    Подключаемся к роутеру и обнуляем конфиг.

    system reset-configuration no-defaults=yes
  2. Учетка админа
    Первое что нужно сделать - создать своего админа и удалить дефолтного. 
    user add name=myadmin password=my_pass group=full

    Проверка:

    user print

    Удаление стандартного админа:

    user remove X

    где x-идентификатор юзера.

  3. Имена интерфейсов
    В конфигурации у микротика всё привязано к имени интерфейса.
    Поэтому вначале нам следует правильно раздать имена.
    На этой модели hAPac2
    Будем следовать схеме:
    1 - ether1-isp1
    2 - ether2-isp2
    3 - ether3-LAN
    4 – ether4-LAN
    5 – ether5-LAN 
    interface print
interface set name=ether1-isp1 numbers=0
interface set name=ether2-isp2 numbers=1
interface set name=ether3-LAN numbers=2
interface set name=ether4-LAN numbers=3
interface set name=ether5-LAN numbers=4

interface print
  4. Выставляем IP на интерфейс провайдера 
    ip address add address=85.11.18.186/30 comment=isp1 interface=ether1-isp1
ip route add distance=1 gateway=85.11.18.185

    ЛИБО, как в нашем примере, когда микрот получает серый динамический адрес - выставляем клиента DHCP:

    ip dhcp-client add disabled=no interface=ether1-isp1 use-peer-dns=yes use-peer-ntp=yes
  5. Кеширующий DNS Server 
    ip dns set allow-remote-requests=yes
ip dns set servers=8.8.8.8

    Проверка:

    ip dns print
ip dns export
  6. Настройка времени (NTP)
    Точное время на роутере необходимо для правильной работы всех протоколов и служб, где используются временные метки: сертификатов, IPSec, анализ логов и т.д.
    Проверяем доступность сервера NTP: 
    ping ru.pool.ntp.org
    /system clock
set time-zone-name=Europe/Moscow
/system identity
set name=mik_10_5_111_1
/system ntp client
set enabled=yes server-dns-names=ru.pool.ntp.org

    На 7-ой версии:

    /system clock
set time-zone-name=Europe/Moscow
/system identity
set name=mik_10_5_111_1
/system ntp client
set enabled=yes
/system ntp client servers
add address=ru.pool.ntp.org

    Проверка:

    system ntp client print
system clock print
  7. Настраиваем MNDP
    MNDP - это то, что позволяет видеть winbox соседние микроты по L2.
    Рекомендуется MNDP включить только по внутренним интерфейсам.
    В нашем случае внутренние интерфейсы: ether3-LAN, ether4-LAN, ether5-LAN 
    /interface list
add include=static name=MNDP
/interface list member
add interface=ether3-LAN list=MNDP
add interface=ether4-LAN list=MNDP
add interface=ether5-LAN list=MNDP

/ip neighbor discovery-settings
set discover-interface-list=MNDP
  8. Обновление прошивки
  9. Настройка SNMP
    /snmp community
add addresses=10.2.2.4/32 name=my_community
/snmp
set contact=Vladimir enabled=yes location=Moscow
  10. Настройка Bridge
    Настройка Bridge и VLAN осуществляется на внутренних портах, поэтому для настройки рекомендуется подключиться через внешний интерфейс.
    Согласно схеме, на порты вешаем ВЛАНЫ. Это аксесные порты, порт5 транковый, поэтому его здесь нет. 
    interface bridge add name=lan-bridge
interface bridge port add bridge=lan-bridge interface=ether3 pvid=10
interface bridge port add bridge=lan-bridge interface=ether4 pvid=5

    Создаём VLAN в Bridge
    Здесь lan-bridge должен быть отмечен для каждого VLAN как tagged.
    Также транковый порт5 отмечен как tagged.

    /interface bridge vlan
add bridge=lan-bridge comment=LAN tagged=lan-bridge,ether5-LAN untagged=ether3-LAN vlan-ids=10
add bridge=lan-bridge comment="wifi guest" tagged=lan-bridge,ether5-LAN untagged=ether4-LAN vlan-ids=5
  11. Далее создадим VLAN интерфейсы и укажем на них адреса 
    /interface vlan
add comment="wifi guest" interface=lan-bridge name=vlan5 vlan-id=5
add comment=LAN interface=lan-bridge name=vlan10 vlan-id=10
    /ip address
add address=10.5.111.1/24 interface=vlan10 network=10.5.111.0
add address=192.168.5.1/24 interface=vlan5 network=192.168.5.0
  12. Включаем VLAN Filtering
    Эта хрень по факту ничего не фильтрует, но без неё Bridge будет игнорировать VLAN tags 
    [mik_10_5_111_1] /interface/bridge/vlan> /interface/bridge/
[mik_10_5_111_1] /interface/bridge> print
Flags: D - dynamic; X - disabled, R - running 
 0  R name="lan-bridge" mtu=auto actual-mtu=1500 l2mtu=1598 arp=enabled arp-timeout=auto mac-address=48:8F:5A:62:14:F0 protocol-mode=rstp fast-forward=yes igmp-snooping=no auto-mac=yes ageing-time=5m priority=0x8000 max-message-age=20s 
      forward-delay=15s transmit-hold-count=6 ether-type=0x8100 pvid=1 frame-types=admit-all ingress-filtering=no dhcp-snooping=no port-cost-mode=long mvrp=no max-learned-entries=auto 

[mik_10_5_111_1] /interface/bridge> 
[mik_10_5_111_1] /interface/bridge> set vlan-filtering=yes numbers=0

    mikrotik_i_vlan_02_ciscomaster.ru.jpg

  13. DHCP Server
    Добавляем pool. Пулы можно создавать для разных целей, сейчас мы создаём для DHCP: 
    /ip pool
add name=lan-DHCP-pool10 ranges=10.5.111.30-10.5.111.100

    Создаём DHCP Server. В общем случае, при работе с несколькими броадкастными доменами, можно создавать несколько DHCP серверов.
    DHCP сервер привязывается к интерфейсу, который он "слушает", а также к пулу.

    /ip dhcp-server
add address-pool=lan-DHCP-pool10 disabled=no interface=vlan10 lease-time=1d name=lan-DHCP-server

    Создаём DHCP Server network. Этот элемент задаёт параметры сети, типа маски, шлюза, dns, NTP и т.д.

    /ip dhcp-server network
add address=10.5.111.0/24 comment=lan dns-server=10.25.251.37,10.5.14.36 domain=bau.local gateway=10.5.111.1 netmask=24

    Аналогично для второй сети:

    /ip pool
add name=lan-DHCP-pool5 ranges=192.168.5.30-192.168.5.100
/ip dhcp-server
add address-pool=lan-DHCP-pool5 disabled=no interface=vlan5 lease-time=1d name=guest-DHCP-server
/ip dhcp-server network
add address=192.168.5.0/24 comment=lan dns-server=8.8.8.8 gateway=192.168.5.1 netmask=24

    Проверка:

    ip address print
ip pool print
ip pool used print
ip dhcp-server network print
ip dhcp-server print
ip dhcp-server lease print

"Настройка VLAN в trunk"

Метод Настройка VLAN в trunk интуитивно более понятен, т.к. не содержит такой массы настроек.
Такой метод подходит для случаев, когда мы не планируем подключаться к VLAN через порты микрота.

Mikrotik. EtherChannel + Trunk + VLAN и Cisco
http://ciscomaster.ru/content/mikrotik-etherchannel-trunk-vlan-i-cisco

Источники

https://mikrotiklab.ru/nastrojka/artga-vlan.html
https://mikrotik-training.ru/kb/vlan-v-mikrotik/
https://bozza.ru/art-349.html

Добавить комментарий

Более подробная информация о текстовых форматах

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image
Fatal error: Call to undefined function drupal_file_scan_write_cache() in /usr/local/www/drupal7/includes/common.inc on line 2797