Технологию VLAN используют для изоляции клиентского трафика или трафика разных беспроводных базовых станций. Это позволяет уменьшить широковещательный трафик в сети и увеличить пропускную способность.
Принцип настройки VLAN в роутерах MikroTik отличается от того, как это делается в управляемых коммутаторах. В данной статье рассмотрим пример, как разделить трафик клиентских устройств и трафик для управления роутером MikroTik.
Виртуальный интерфейс VLAN работает точно также как и физический интерфейс. VLAN интерфейс можно привязать к физическому Ethernet порту, Bridge интерфейсу и даже EoIP туннелю.
Допустим, на первый порт роутера MikroTik приходит пять вланов со следующими номерами:
- 10 — предназначен для управления маршрутизатором;
- 20 — трафик для 2-го LAN порта;
- 30 — трафик для 3-го LAN порта;
- 40 — трафик для 4-го LAN порта;
- 50 — трафик для 5-го LAN порта.
Наша задача настроить роутер и решить следующие задачи:
- Чтобы повысить безопасность сети, управление маршрутизатором должно выполняться только через VLAN с номером 10.
- Трафик из VLAN с номерами 20, 30, 40, 50 должен выдаваться без тегирования в соответствующие сетевые порты.
Приступим к выполнению поставленных задач. Зайдите в настройки MikroTik и откройте меню Interface. Здесь отображаются пять сетевых портов ether1–ether5.
Перейдите на вкладку VLAN и добавьте пять VLAN интерфейсов:
- vlan_10 с VLAN ID:10 на порту ether1
- vlan_20 с VLAN ID:20 на порту ether1
- vlan_30 с VLAN ID:30 на порту ether1
- vlan_40 с VLAN ID:40 на порту ether1
- vlan_50 с VLAN ID:50 на порту ether1
На вкладке Interface в списке появились новые вланы, которые привязаны к интерфейсу ether1.
Для управления роутером через VLAN 10, нужно присвоить влану IP-адрес:
- Откройте меню IP→Address и нажмите красный плюсик;
- В поле Address введите IP-адрес, например 10.10.10.10/24;
- В списке Interface выберите интерфейс vlan_10.
- Нажмите кнопку OK.
Чтобы на IP-адрес управления 10.10.10.10/24 можно было попасть из любого места сети, настроим маршрутизацию:
- Откройте меню IP→Route и нажмите красный плюсик;
- В поле Dst. Address введите адрес 0.0.0.0/0;
- В поле Gateway укажите IP-адрес шлюза — это адрес центрального маршрутизатора в вашей сети, например 10.10.10.1;
- Нажмите OK.
На этом первую задачу управления роутером только через VLAN с номером 10 мы решили. Приступим к решению второй задачи.
Чтобы трафик из VLAN интерфейсов с номерами 20, 30, 40, 50 выдавался в соответствующие LAN порты без тегирования, нужно создать бридж интерфейсы и объединить в них соответствующие вланы и сетевые порты.
Сначала создадим четыре бридж интерфейса:
- Откройте меню Bridge и нажмите красный плюсик;
- В поле Name укажите название бридж интерфейса, например bridge_50 — это бридж для влана 50;
- Нажмите кнопку OK;
- Добавьте по аналогии интерфейсы bridge_20, bridge_30 и bridge_40.
Теперь нужно добавить в каждый бридж, соответствующий сетевой порт и VLAN интерфейс:
- В интерфейс bridge_20 добавляем порты ether2 и vlan_20
- В интерфейс bridge_30 добавляем порты ether3 и vlan_30
- В интерфейс bridge_40 добавляем порты ether4 и vlan_40
- В интерфейс bridge_50 добавляем порты ether5 и vlan_50
Добавление портов в бриджи выполняется следующим образом:
- Перейдите на вкладку Ports и нажмите красный плюсик;
- В списке Bridge выберите имя бридж интерфейса bridge_50;
- В списке Interface выберите соответствующий сетевой порт ether5;
- Нажмите OK;
- Нажмите еще раз красный плюсик для добавления VLAN интерфейса в bridge_50;
- В списке Bridge выберите имя бридж интерфейса bridge_50;
- В списке Interface выберите соответствующий VLAN интерфейс vlan_50;
- Нажмите OK.
Добавьте по аналогии порты в бриджи bridge_20, bridge_30 и bridge_40.
На этом мы решили вторую задачу, и трафик из каждого VLAN интерфейса будет выдаваться без тегирования в соответствующий сетевой порт маршрутизатора.
Усложним задачу. Теперь нам нужно в каждый сетевой порт выдавать VLAN с номером 10 для управления устройством. Для этого создаем на каждом бридже VLAN с номером 10:
- Bridge_20 — vlan2_10
- Bridge_30 — vlan3_10
- Bridge_40 — vlan4_10
- Bridge_50 — vlan5_10
В разделе Bridge создадим еще один интерфейс и назовем его bridge1_10.
Перейдите на вкладку Ports и добавьте в интерфейс bridge1_10 следующие порты:
- Vlan_10
- Vlan2_10
- Vlan3_10
- Vlan4_10
- Vlan5_10
Теперь VLAN с номером 10 будет доступен на всех сетевых портах маршрутизатора MikroTik.
Когда у вас есть любой интерфейс с установленным IP-адресом, и вы добавляете этот интерфейс в бридж, то на нем перестает работать IP-адрес. Поэтому для управления микротиком через IP-адрес 10.10.10.10/24 нужно его перенести с интерфейса vlan_10 на bridge1_10:
- Перейдите в меню IP -Address и откройте настройки интерфейса vlan_10;
- В списке Interface укажите интерфейс bridge1_10.
- Нажмите кнопку OK.
Теперь со всех портов через VLAN 10 можно получить доступ к настройке маршрутизатора по IP-адресу 10.10.10.10/24.
В заключении добавим, что MikroTik поддерживает создание вложенных вланов Q-in-Q, т.е. можно создавать влан во влане. Поддерживается 10 и более вложенных VLAN, однако с каждым вложением размер MTU уменьшается на 4 байта. Поэтому не рекомендуем делать более 2-4 вложений.
Источник http://www.technotrade.com.ua/Articles/vlan_traffic_isolation_on_mikrotik_2013-11-04.php