Mikrotik – настраиваем VLAN (Trunk, Access и Hybrid порты) и STP

Mikrotik – настраиваем VLAN (Trunk, Access и Hybrid порты) и STP

Любое устройство RouterOS с трафиком, проходящим через центральный процессор, работает как маршрутизатор 3 уровня и по умолчанию пересылает пакеты между всеми подключенными сетями. Чтобы внести изменения в процесс пересылки необходимо использовать ACL или брандмауэр.

VLAN (узнать, что такое виртуальная частная сеть, вы можете перейдя по ссылке) абстрагирует идею локальной сети (LAN), предоставляя возможность для подсетей подключения к данным организации. Сетевые коммутаторы могут поддерживать несколько независимых сегментов виртуальных сетей, создавая 2 уровня 2 (канала передачи данных). VLAN связана с широковещательным доменом. Обычно он состоит из одного или нескольких коммутаторов Ethernet.

Порт доступа (access port / untagged) предназначен для приема/передачи пакетов без маркировки. Обычно это порт, к которому вы подключаете такие устройства, как серверы, клиентские компьютеры, принтеры и телефоны.

Магистральный порт (trunk port / tagged) обычно используется для подключения к L2 коммутаторам. Маршрутизатор принимает и пересылает пакеты из разных VLAN. Маркированные кадры от нескольких абонентов приходят на один порт.

Гибридный порт (hybrid port)  будет разрешать как нетегированные, так и маркированные пакеты на одном и том же порту. Это может быть использовано для клиента, которому нужны как обычные нетегированные интернет-данные, так и отдельная защищенная сеть VLAN. Например, настольный телефон с подключенным компьютером через встроенный switch.

Благодаря виланам можно контролировать и сегментировать широковещательные запросы в сети. Транкинг виртуальных частных сетей позволяет передавать маркированный трафик между разными сегментами сети, сконфигурированными с помощью VLAN.

Благодаря транкам обеспечивается связь точка-точка между двумя сетевыми устройствами, к которых подключены устройства из более, чем одного VLAN сегмента. С помощью trunk соединений VLAN вы можете распространить настройки сегментации по всей сети. Большинство коммутаторов поддерживают протокол IEEE 802.1Q.

Настраиваем VLAN – пример 1 – магистральные (trunk) порты и порты доступа (access)

Роутерборды с чипами коммутации Atheros могут быть использованы для 802.1Q Trunking.
В данном примере ether3, ether4 и ether5 интерфейсы портов доступа (access), в то время как ether2 является магистральным портом (trunk). Идентификаторы VLAN для каждого порта доступа: ether3 – 200, ether4 – 300, ether5 – 400.tra
Mikrotik – настраиваем VLAN (Trunk, Access и Hybrid порты) и STP

  • Создадим группу портов коммутации выбрав один мастер-порт и назначая его остальным:
/interface ethernet
set ether3 master-port=ether2
set ether4 master-port=ether2
set ether5 master-port=ether2
  • Добавим записи в таблицу VLAN для коммутации кадров с определенными VLAN-идентификаторами между портами:
/interface ethernet switch vlan
add ports=ether2,ether3 switch=switch1 vlan-id=200
add ports=ether2,ether4 switch=switch1 vlan-id=300
add ports=ether2,ether5 switch=switch1 vlan-id=400
  • Назначим “vlan-mode” и “vlan-header” для каждого порта, а также “default-vlan-id” на входе для каждого порта доступа:

Параметр “vlan-mode=secure” обеспечивает точное следование таблице VLAN.
Параметр “vlan-header=always-strip” для портов доступа убирает заголовок VLAN из кадра когда он покидает чип коммутации.
Параметр “vlan-header=add-if-missing” для магистрального порта добавляет заголовок VLAN к немаркированным кадрам.
Параметр “Default-vlan-id” определяет какой VLAN ID добавляется к немаркированному входящему трафику для порта доступа.

/interface ethernet switch port
set ether2 vlan-mode=secure vlan-header=add-if-missing
set ether3 vlan-mode=secure vlan-header=always-strip default-vlan-id=200
set ether4 vlan-mode=secure vlan-header=always-strip default-vlan-id=300
set ether5 vlan-mode=secure vlan-header=always-strip default-vlan-id=400

Настраиваем VLAN – пример 2 – магистральные (trunk) порты и гибридные порты доступа (hybrid)

Гибридные порты VLAN, которые могут пересылать как маркированный, так и немаркированный трафик поддерживаются только некоторыми гигабитными чипами коммутации (QCA8337, AR8327)

MikroTik VLAN

  • Создать группу коммутируемых портов:
/interface ethernet
set ether3 master-port=ether2
set ether4 master-port=ether2
set ether5 master-port=ether2
  • Добавим записи в таблицу VLAN для разрешения коммутации между портами кадров с определенными VLAN идентификаторами:
/interface ethernet switch vlan
add ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=200
add ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=300
add ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=400
  • В меню настройки коммутатора задайте параметр “vlan-mode” на всех портах, для гибридных портов — “default-vlan-id”:

Параметр “Vlan-mode=secure” обеспечит строгое следование таблице VLAN.
Параметр “Default-vlan-id” определит VLAN на порту для немаркированного входящего трафика.
Для гигабитных чипов коммутации использование параметра “vlan-mode=secure” позволяет игнорировать параметр “vlan-header”. Элементы таблицы VLAN  управляют процессом маркирования исходящего трафика и работают на всех портах как “vlan-header=leave-as-is”.
Это означает, что приходящий маркированный трафик уходит также маркированным, только кадры с параметром “default-vlan-id” демаркируются на выходе из порта.

/interface ethernet switch port
set ether2 vlan-mode=secure
set ether3 vlan-mode=secure default-vlan-id=200
set ether4 vlan-mode=secure default-vlan-id=300
set ether5 vlan-mode=secure default-vlan-id=400

Управление IP конфигурацией

В этом примере мы разберем одну из возможных конфигураций управляющего IP-адреса. Управляющий IP будет доступен только через магистральный порт, и он будет иметь отдельный VLAN с идентификатором 99.

  • Добавьте запись в таблицу VLAN для разрешения управляющего трафика через порт процессор-коммутатор (switch-cpu) и магистрального порта (trunk):
/interface ethernet switch vlan
add ports=ether2,switch1-cpu switch=switch1 vlan-id=99
  • Настройте порт, который соединяет коммутатор-чип с CPU, установите параметр “vlan-header=leave-as-is”, потому что трафик управления уже должен быть маркирован.
/interface ethernet switch port
set switch1-cpu vlan-mode=secure vlan-header=leave-as-is
  • Добавьте VLAN 99 и присвойте ему IP-адрес. Так как мастер-порт получает весь трафик, поступающий от switch-cpu порта, VLAN должен быть настроен для мастер-порта, в данном случае “ether2”.
/interface vlan
add name=vlan99 vlan-id=99 interface=ether2
/ip address
add address=192.168.88.1/24 interface=vlan99 network=192.168.88.0

 

Протокол Spanning Tree

Начиная с RouterOS v6.38 Роутерборды поддерживают протоколы Spanning Tree, на портах сконфигурированных для коммутации с помощью аппаратной коммутации. Чтобы включить эту функцию создайте интерфейс моста и добавьте мастер-порт к нему.

  • Создать группу коммутируемых портов
/interface ethernet
set ether2 master-port=ether1
set ether3 master-port=ether1
set ether4 master-port=ether1
  • Создайте интерфейс моста и добавьте мастер-порт к нему
/interface bridge add name=bridge1 protocol=rstp

/interface bridge port add bridge=bridge1 interface=ether1
  • Ведомые порты динамически добавляются к мосту только для отображения состояния STP. Пересылка через коммутируемые порты все еще обрабатывается с помощью аппаратного коммутатора.
[rimskiy@14bytes.ru_] > /interface bridge port print 
Flags: X - disabled, I - inactive, D - dynamic 
 #    INTERFACE           BRIDGE           PRIORITY  PATH-COST    HORIZON
 0    ether1              bridge1              0x80         10       none
 1 ID ether2              bridge1              0x80         10       none
 2  D ether3              bridge1              0x80         10       none
 3  D ether4              bridge1              0x80         10       none

Видеоинструкция

Читать далее

1 комментарий к “Mikrotik – настраиваем VLAN (Trunk, Access и Hybrid порты) и STP”

  1. Хорошая статья , но вот соединить VLAN и Bounding не получается . либо одно не работает либо другое …

Оставьте комментарий

Adblock detector