Спасибо за мануал. Смотрел и читал других, но по вашему мануалу получилось. Вариантов настройки Вланов на микротике определенно поражает. В циске все намного проще.
Много лет администрирую микротики, сколько не пытался разобрать тему вланов, это просто дремучий лес. В Интерфейсах вланы, на вкладке Интерфейсов отдельно вкладка вланов, в бридже вланы, в разделе свитч - вланы, в этих разделах еще есть позиции....В голове каша, сейчас попытался понять, опять каша в голове, опять закину на неопределенный срок это дело...
топчик, за 5 минут наглядно понял аксес и тагед, интерестно было бы рассмотреть вариант с приходом n каналов белых адресов через аксес и транк их на crs по разным портам и бриджам...
Да, кстати, в видео не сообразил что-то, надо было проверять работу сети пингуя с vm1 (192.168.10.100) свой ноут (192.168.10.102). Это значило бы что через транк KVM -> mikrotik1 -> mikrotik2 трафик идет как положено. И я это проверил уже после создания видео, все норм :) Но исправлять видео уже как-то сил не хватило.
после объединения портов в бридж, правила firewall, примененные непосредственно к портам распространяются на траффик по ним? что я не понял - объединение портов в бридж как-то влияет непосредственно на сами порты или это тоже "сущность" над портами как vlan, но с другими свойствами?
Я бы сказал, не очень академично, если порт не назначен ни в какой бридж, то firewall правила применяются к порту (дальше порта - только процессор микротика, роутинг), если порты в бридже - к бриджу. Выше бриджа - процессор. ЗЫ: bridge -> firewall посмотрите, там можно. Но там свои приколы.
@@overburndz В такой постановке вопроса нет правильного ответа. Если у вас один интрефейс внешний, то он сам по себе, а остальные интерфейсы можно в бридж. Но это не обязательно! Может, у вас роутер соединяет 4 разные сети - внешний, локалка1, dmz (почта), тестовый nextcloud. И вы просто настраиваете маршрутизацию между интерфейсами? Кто знает, как вам надо. А может быть так, что все порты в бридже, но на один порт надо ограничить какую-то железку, например, по mac-адресу. Когда порт в бридже, filter может сказать, что фильтровать по отдельному интерфейсу он не будет. И тогда уже останется фильтровать в bridge. Или перестроить схему подключения. Или.... "Или" тут миллион, и каждый раз индивидуально.
А как правильно пропустить Voice VLAN если в сети в отдельном VLAN-е находится IP-телефон? Т.е., схема такая - ПК соединен через второй порт на телефоне, а первый порт телефона соединен сразу в Mikrotik (без свитча). При этом подсеть телефона в одном VLAN-е, а подсеть ПК в другом VLAN-е. Соот-но, чтобы можно было говорить по телефону и одновременно выходить в Интернет через ПК.
То есть: ПК в одном влане, а телефон - в другом, но они физически подключены к одному порту микротика? Если порт микротика - untagged (то есть не trunk, а access), то при выходе с порта микротик удалит информацию о vlan, и что дальше будет? IP-телефон получит нетегированный трафик для себя или для компьютера. Но если порт микротика будет в т.н. hybrid режиме (например, tagged для vlan 100, но untagged для vlan 200), то может получиться. Например, если IP-телефонный адаптер позволяет разделять трафик - например, трафик с тегом 200 адаптер отправит на порт, к которому подключен компьютер, а трафик без тега будет считать своим трафиком (т.е. ip-телефонии). Вы это имели в виду?
@@bozza8654 "Вы это имели в виду?" - да, именно этот вариант. Микротик в гибридном режиме. VLAN 100 с адресацией 192.168.100.x для SIP-телефона, VLAN 200 с адресацией 192.168.200.x для ПК. Я правильно понимаю, что кроме настройки в гибридном режиме в микротике , нужно подбирать какую-то специфическую модель SIP-телефона ? У меня модель такая www.fanvil-russia.ru/fanvil_x1sp Я настроил в гибридном режиме, но проходит просто интернет-трафик для ПК, но телефон не работает. Он не может зарегиться на SIp-сервере. Если же подключить телефон и ПК через отдельные патч-корды на выделенные два порта с каждым своим VLAN-ом, то оба девайса работают нормально.
@@osada96 Решил дополнить теории. В cisco свичах существует понятие смарт порт. Где как раз есть правило указывающее, что порт свича смотрит на конечный хост (телефона) и есть возможность выбрать влан для пк. По микроту нужно почитать.... интересная задачка.
Я не помню, сейчас негде это проверить. Я бы сделал так: не заработает, поставьте :) Главное - не потерять линк со своего компа к миротику. Один порт по возможности всегда держите как management, не включайте его в фильтрующие схемы.
Видео полезное, но в терминологии плаваешь. Путаешь интерфейсы и порты. Я тебе спокойно езернет1 на 5 порт настрою. И влан это тоже интерфейс, только виртуальный)
Для интереса - где я перепутал интерфейс и порт? Это не очень принципиально, если честно, но для саморазвития. И второе - зачем ethernet1 настраивать на 5 порт?! И не стоит с ходу на «ты», это невежливо.
@@bozza8654 Это не принципиально? После подобных роликов на собесы приходят Джуны, которые на простейшие вопросы несут лютую ересь. Сорян, я уже не буду больше пересматривать твоё видео. Тем более, раз это не принципиально.
1. Странная привычка называть виртуальный интерфейс (SVI) VLAN бриджом. Дикость какая-то. Как после этого кто-то будет документы разбирать или настройки. Рука-лицо.жпг 2. Ни слова про настройку портов PVID. А без указания PVID работать вообще не будет.
А по поводу бриджа - это с какой стороны смотреть, мне, например, виртуальный интерфейс при коммутации пакетов так же не ложится, как и вам - бридж. Берется офиц. документация, пара мануалов в сети и формулировки уже не имеют большого значения.
Чтец был точно трезв :) Я раньше был уверен, что качественная речь в видео - не так и сложно. Оказалось, что показалось. Чем больше материал сидит в голове, тем свободнее речь, но это прямо пропорционально затраченному времени на подготовку к созданию видео. В общем, с тех пор, как стал делать контент сам, по другому смотрю, как кто-то что-то объясняет, неважно, на какую тему. Спасибо за отзыв!
