Microtik как связать vlan аппаратного и программного уровня

Цель моей работы - предложение широкого ассортимента IT услуг на постоянно высоком качестве. Для этого я постоянно прохожу дополнительное обучение и совершенствую свои навыки на практике.
24 Ноября 2017

Привет всем! Тут недавно я узнал, что роутеры Mikrotik с switch микросхемой на борту может обрабатывать VLAN на уровне железа. Что мне может не радовать, так как скорость работы повышается до уровня работы порта. К тому же не затрагивается центральный процессор роутера. Не правда ли заманчиво? Я испытал это в боевых условиях и подтверждаю – это работает. На примере маршрутизатора Mikrotik hAP ac я расскажу как это настраивается. Условно я из маршрутизатора сделаю некое подобие умного L2 свичта с Wi-Fi.

Вот примерная схема. Есть три сети. Первая сеть vlan42 будет для пользователей. Вторая сеть vlan10 будет для серверов и оборудования. А сеть vlan20 пусть будет гостевой. Я её изолирую от других сетей и дам туда только Интернет, предварительно зарезав скорость до 5Мб/с. Гостям хватит :) .

На роутер, который я образно буду превращать в подобие умного свича L2, на ether5 будет приходить trunk с vlan-ами. Порт ether1 сделаем vlan42, порты с ether2 по ether4 сделаем vlan10.

Шаг 1 объеденение портов в свич.

Первым делом нужно объеденить все пять ether портов в switch. Мастер портом сделаю ether5, так как он будет trunk. Открываем Interfaces – interface - ether5 и в поле Name меняю имя интерфейса на ether5-master. Далее открывем остальные инерфейсы с ether1 по ether4 и в поле Master Port выбираем ether5-master.

Подключение порта в switch

В итоге должно получиться вот так. Здесь буква S напротив портов обозначает что порты объеденены в свич. Что нам и надо.

Порты объединённые в свич

Шаг 2 создание таблицы vlan на switch чипе.

Теперь надо будет создать таблицу с vlan на аппаратном уровне и связать их с портами. Идём в Switch – VLAN и нажимаем плюсик, чтобы создать vlan10. Появиться окно для создание vlan. В поле VLAN ID пишу 10, в после Ports я добавляю порты которые будут в этом vlan. Порт ether5-master и switch1 cpu надо будет указать во всех vlan-ах, так как эти порты транки. Кстати обратите внимание на порт switch1 cpu. Не буду вдаваться в подробности, скажу лишь что этот порт что-то типа проводка, который соеденяет микросхему switch с процессором маршрутизатора. Он нам понадобиться чтобы вывести vlan-ы с аппаратного уровня на программный. Это понадобиться что-бы нужные vlan-ы связать с Wi-Fi. Так-как интерфейс switch1 cpu тоже должен быть транковым, значит он так-же должен присутствоать на всех vlan-ах.

Создание vlan-ов на switch чипе

По аналогии создаю vlan20 и vlan42. Вот что получилось в итоге.

Vlan-ы на switch чипе Mikrotik

Здесь я для наглядности выделил в зелёном и красном квадрате транковые порты. После добавления всех vlan-ов надо настроить порты.

Шаг 3 настройка портов свича.

На этом шаге надо будет настроить порты свича, так чтобы всё работало как надо. Идём Switch – Port и начинаем с портов доступа. Тыкаем два раза по порту ether1 и приступаем к настройкам.

Настройка vlan на порту в switch чипе роутера Mikrotik

В поле VLAN Mode выбираем режим secure, что значит, что порт будет отбрасывать пакеты, содержащие vlan-теги, не представленные в vlan-таблице. В поле VLAN Header выбираем режим always-strip. Этот режим будет убирать заголовок VLAN из пакета, когда пакет будет выходить из порта. Что и нужно, ведь это порт доступа. Тогда как пункт Default VLAN ID как раз наоборот, будет приписывать заголовок с VLAN, когда пакет будет приходить на порт. Эту операцию надо проделать со всеми портами доступа. Далее переходим к trunk портам. Их два. Один на порту ether5, другой switch1 cpu. У обоих портов VLAN Mode ставим secure. 

Настройка trunk на порту в switch чипе роутера Mikrotik

На порту ether5 режим VLAN Header выбираем add-if-missing – что значит, если VLAN-заголовок отсутствует у пакета, он будет добавлен. А вот на порту switch1 cpu VLAN Header выбираем leave-as-is. Этот режим не изменяет пакеты на исходящем порте. Итого получилось.

Switch чип с настроенными vlan-ами и trunk-ками

На этом настройка switch чипа для работы с VLAN закончена. Теперь Транк и VLAN обрабатывает switch чип и делает это очень быстро, на скорости порта.

Шаг 4 выводим VLAN на программный уровень.

Но что делать если нам надо с vlan дополнительно работать? К примеру, VLAN20 и VLAN42 вывести на Wi-Fi, ведь как мы помним VLAN20 это гостевая сеть, а vlan42 полный доступ к нашей сети.

Как я писал выше, в switch чипе есть некий невидимый, виртуальный порт switch1 cpu, который соединяется с центральным процессором. И соединяется он хитро, через порт ether-master. Зная это, накидываем уже программные VLAN на наш ether-master, там самым соединяя vlan аппаратного уровня с switch чипа на vlan уже программного уровня.

Вывод vlan с аппаратного уровня на программный

Вот и всё, всё оказалось проще пареной репы! Теперь с программными vlan можно работать как душе угодно. Можно вешать на них ip адреса, можно их объединять в различные брижди.

К примеру, я создал бридж для Wi-Fi и объединил в него vlan42 и wlan1, а для гостевой Wi-Fi я сделал бридж и объединил vlan20 и wlan2. И теперь получилось, что vlan обрабатывается как на уровне switch чипа, то есть на скорости порта, не нагружая центральный процессор, работая с ether портами, так и на уровне процессора, работая с Wi-Fi.

Рекомендуемые услуги

Корпоративные сети
4 000 руб.
Корпоративные сети
2 400 р.
Вернуться к списку