Настройка VLAN на Mikrotik 

По этой причине, когда я настраиваю vlan, всегда тот интерфейс/порт, к которому подключен лично, исключаю из бриджа, в котором настраиваю vlan. Когда все настроено и проверено, можно просто добавить этот "порт последней надежды" в бридж. Но сначала все проверить!

Да, не обязателен, так как бридж он сама по себе изолирует трафик. Но это в пределах одного микрота. Но в пределах одного микрота редко (ну, не часто) нужны vlan. Чаще всего vlan нужны в масштабах сети, и тогда многопортовые настройки начинают доставлять.

@@bozza8654 у меня микрот свитч 3 уровня. Надо на нем сделать 5 вланов с доступом в интернет. Можно это сделать через бриджи ? То есть 5 бриджей надо создавать ? Или один, не совсем понял. Спасибо // упд увидел ответ ниже.

@@ВиталийВиталий-ь9р vlan на 2 уровне, так что 3-его за глаза хватит. Можно сделать через бриджи, совершенно верно. И 1, и 5, и 10 vlan можно сделать, разницы нет.

Ну есть вариант, когда VLAN навешивают на один интерфейс, чаще всего это используют в схеме "роутер на палке", когда есть роутер и к нему подключен коммутатор. Это софтовый вариант. Есть описанный в видео вариант. Тоже софтовый. Есть разновидность, когда за коммутацию отвечает не основной процессор, а выделенный чип. Но для того, чтобы реализовать вариант с чипами, нужно конкретную железку брать и смотреть, что там за чипы. В простых моделях этого нет. Поэтому универсальный вариант - программный, который и представлен в видео. Что касается нагрузки и пропускной способности - тут лучше смотреть по факту. Если хватает простого варианта, то зачем усложнять?

Вы, похоже, ни разу не сталкивались с сетью больше одного устройства, когда приходилось бы хоть как-то ограничивать или разделять трафик. Бридж - в рамках одного устройства, а на VLAN можно сеть от двух устройств домашнего уровня до крупной сети расширять. И транк - не ручательство или выпендрёж. Просто кабель между двумя коммутаторами на разных этажах или комнатах одного офиса. И все, приехали, ваши бриджи вам уже не помогут. Представьте, вы строите поселок заранее ограниченный только одной поселковой площадью. Или строите с возможностью связать этот посёлок с другим, а потом ещё с одним, но при этом четко устанавливая правила, кто и куда может ездить по дорогам. Есть разница?

@@bozza8654 Вы похоже не вдумались в мой пост.

@@Flanker351 Тогда ещё больше неясно, что вам неясно :) Потому что «разве что в транк» и есть соль VLAN. Именно в транк :) а куда ещё?

Да, будет. Честно говоря, не ожидал, что будет спрос на это, сделал бы сразу... ЗЫ: ru-vid.com/video/%D0%B2%D0%B8%D0%B4%D0%B5%D0%BE-dSN4mIYe9A0.html

До тех пор, пока изоляция возможна на уровне отдельных портов, делайте как вам удобнее. Vlan сделан для повышения гибкости и безопасности, а не просто для увеличения гемора сетевым админам.

@@bozza8654 понял, спасибо

Пробегитесь взглядом по тексту статьи bozza.ru/art-349.html Она короткая, суть изложена. Лучше, чем там написал, не отвечу :) Цитата с сайта: 1-й вариант (описан в видео, Bridge VLAN Filtering). Для лучшего понимания процесса кратко суть: сделать общий бридж (например, bridge1), на него "повесить" vlan-ы, добавлять в бридж bridge1 порты доступа (access ports или другими словами, untagged) или trunk-порты (или другими словами, tagged порты). Этот способ хорош тем, что он един по своей логике с настройкой bridge и vlan не только на роутере с одним trunk-портом, но также подходит к настройке коммутаторов mikrotik. Я очень рекомендовал бы вникнуть в суть этого подхода. На мой взгляд он логичен. Vlan здесь - сущность "над портами". Создали vlan и постепенно наполняете его нужными портами. А не отталкиваетесь от т.н. trunk-порта, куда подключен нижестоящий коммутатор (см. ниже;). Другими словами - есть bridge (коммутатор, короче), по нему бегает трафик. Трафик может приходить с любого порта и уходить на какой-то другой порт или порты. Это так и для роутера, и для коммутатора. Ок. Добавили какой-то vlan (например, 10-й). Ок. А потом спокойно думаем, какой порт должен принимать входящий из-вне трафик с этим "10-ым" номером vlan (trunk aka tagged порт), а какой порт будет помечать входящий трафик этим "10-м" vlan (access port aka untagged). И соответственно нашим мыслям будем добавлять порты. После этого трафик будет по-прежнему гулять по bridge, но трафик для 10 vlan попадет он только на те порты, которые имеют отношение к соотв. номеру vlan.

Изучите свой девайс, в частности, его switch-chip. На сайте микрота есть все характеристики всех применяемых ими в маршрутизаторах свитч-чипов. Если вы задействуете функцию не поддерживаемую свитч-чипом, хардварь отключится вне зависимости от того какой механизм влана вы используете и весь трафик попрет через проц. В винбоксе в настройке Bridge - Ports напротив каждого порта показывается режим его работы. Если там не стоит буква H (Hardware Offload), то трафик этого порта идет через проц. Чип не работает.

VLAN что админа, что буха - это отдельная сеть. Но можно на роутере, куда приходят vlan-ы, настроить правила firewall в forward, по которым new из vlan админа могут ходить куда угодно, а для остальных vlan forward new в vlan админа можно даже явно запретить. Established, related понятно, разрешены. Ещё вроде можно в маршрутах сделать, что для сети vlan-a "простых смертных" нет маршрута в сеть админа. На ходу пишу, сори, что сбивчиво. Суть такая.

@@bozza8654 спасибо за ответ. просто я думал, что доступ в остальные вланы настраивается в наборе портов влана админа. пока с настройками правил в firewall туговато...

@@kurator911 Не вы один с vlan так думали ;)

Запилил! ru-vid.com/video/%D0%B2%D0%B8%D0%B4%D0%B5%D0%BE-dSN4mIYe9A0.html

@@bozza8654 Добрый день. А можете рассказать про switch chip?

@@dimatyurin09 Прямо так, чтобы авторитетно - не смогу, так как я всегда избегал :) switch chip, по возможности. Причины: унификация настроек vlan, vpn, особенностей коммутаторов меньше. Вообще switch chip призван снизить нагрузку на cpu в части коммутации. Но я не сталкивался с ситуациями, когда нагрузка на cpu, которую можно снизить switch чипом, зашкаливала, а если и зашкаливала, то switch chip тут не помог бы. А ещё switch chip может привести к забавным неочевидным траблам, когда в коммутаторе два switch chip-а. В общем, я не фанат их, и потому не лучший про них рассказчик.

Пожалуйста! Если интересуют другие темы, пишите, не факт, конечно, что запилю видео, но если будет видна польза, будет доп. стимул.

Уж как говорится, как привык. Чем чаще юзаешь, тем больше табов и скриптов ;)

Заодно тренируюсь. В 95% пользуюсь winbox, но иногда бывают случаи, когда нужна консоль. Чем больше повторений, тем в бою легче.

Один физ. порт м.б. только в одном бридже. А если на один порт приходят разные сегменты? Бриджи и виланы, вообще-то, разные вещи - бридж - это объединение портов, а vlan - отдельная сеть. Если в рамках только одного роутера - вы можете сами рулить, как хотите, но чуть дальше - коммутатор за роутером, а в комутатор подключены разные сети. И еще wifi - один ssid - один vlan, второй - другой vlan и понеслось. Vlan в видео - сущность "над портами". Создали vlan и постепенно наполняете его нужными портами. А не отталкиваетесь от т.н. физических портов. Другими словами - вы не обязаны усложнять себе жизнь. Если вам достаточно bridge-й, то и ладно. Но вы упретесь в лимит этого при росте. Вот и все.

​@@bozza8654 Если есть тегированные порты, то понятно по поводу вланов. Я о том, что у вас все порты не тегированные. Какой тогда смысл во вланах?

@@sergey1018 В данном случае - это пример настройки, но в очень близком к примеру исполнении к untagged порту подключается отдельный компьютер, который потом уходит в vpn. Конкретное применение зависит от задачи.

@@bozza8654 простыми словами, бриджами города не свяжешь... Норм видео, особенно порадовала консоль

@@Trev0rReznik Так и есть, не свяжешь.