Mikrotik – налаштовуємо VLAN (Trunk, Access та Hybrid порти) та STP

Будь-який пристрій RouterOS з трафіком, що проходить через центральний процесор, працює як маршрутизатор 3 рівня та за умовчанням пересилає пакети між усіма підключеними мережами. Щоб змінити процес пересилання, необхідно використовувати ACL або брандмауер.

VLAN (дізнатися, що таке віртуальна приватна мережа, ви можете перейшовши за посиланням) абстрагує ідею локальної мережі (LAN), надаючи можливість для підмережі підключення до даних організації. Мережеві комутатори можуть підтримувати кілька незалежних сегментів віртуальних мереж, створюючи 2 рівні 2 (каналу передачі). VLAN пов'язана з широкомовним доменом. Зазвичай складається з одного або кількох комутаторів Ethernet.

Магістральний порт (trunk port/tagged) зазвичай використовується для підключення до комутаторів L2. Маршрутизатор приймає та пересилає пакети з різних VLAN. Марковані кадри від кількох абонентів надходять на один порт.

Завдяки віланам можна контролювати та сегментувати широкомовні запити у мережі. Транкінг віртуальних приватних мереж дозволяє передавати маркований трафік між різними сегментами мережі, налаштованими за допомогою VLAN.

Завдяки транка забезпечується зв'язок точка-точка між двома мережевими пристроями, до яких підключені пристрої з більш ніж одного VLAN сегмента. За допомогою trunk з'єднань VLAN можна поширити налаштування сегментації по всій мережі. Більшість комутаторів підтримує протокол IEEE 802.1Q.

Налаштовуємо VLAN – приклад 1 – магістральні (trunk) порти та порти доступу (access)

Роутерборди з комутаційними чіпами Atheros можуть бути використані для 802.1Q Trunking. У цьому прикладі ether3, ether4 і ether5 інтерфейси портів доступу (access), тоді як ether2 ємагістральний порт (trunk). Ідентифікатори VLAN для кожного порту доступу: ether3 – 200, ether4 – 300, ether5 – 400.tra

  • Створимо групу портів комутації обравши один майстер-порт і призначаючи його іншим:
  • Додамо записи до таблиці VLAN для комутації кадрів із певними VLAN-ідентифікаторами між портами:
  • Призначимо "vlan-mode" та "vlan-header" для кожного порту, а також "default-vlan-id" на вході для кожного порту доступу:

Параметр “vlan-mode=secure” забезпечує точне дотримання таблиці VLAN. Параметр “vlan-header=always-strip” для портів доступу видаляє заголовок VLAN з кадру, коли він залишає чіп комутації. Параметр "vlan-header=add-if-missing" для магістрального порту додає заголовок VLAN до немаркованих кадрів. Параметр “Default-vlan-id” визначає, який VLAN ID додається до немаркованого вхідного трафіку для порту доступу.

Налаштовуємо VLAN – приклад 2 – магістральні (trunk) порти та гібридні порти доступу (hybrid)

Гібридні порти VLAN, які можуть пересилати як маркований, так і немаркований трафік, підтримуються лише деякими гігабітними чіпами комутації (QCA8337, AR8327)

  • Створити групу комутованих портів:
  • Додамо записи до таблиці VLAN для дозволу комутації між портами кадрів із певними VLAN ідентифікаторами:
  • У меню налаштування комутатора задайте параметр "vlan-mode" на всіх портах, для гібридних портів - "default-vlan-id":

Параметр "Vlan-mode=secure" забезпечить суворе дотримання таблиці VLAN. Параметр “Default-vlan-id” визначить VLAN на порту для немаркованого вхідного трафіку. Для гігабітних чіпів комутації використання параметра “vlan-mode=secure”дозволяє ігнорувати параметр "vlan-header". Елементи таблиці VLAN керують процесом маркування вихідного трафіку та працюють на всіх портах як "vlan-header=leave-as-is". Це означає, що маркований трафік, що приходить, йде також маркованим, тільки кадри з параметром “default-vlan-id” демаркуються на виході з порту.

Управління IP конфігурацією

Протокол Spanning Tree

Починаючи з RouterOS v6.38, Роутерборди підтримують протоколи Spanning Tree, на портах налаштованих для комутації за допомогою апаратної комутації. Щоб увімкнути цю функцію, створіть інтерфейс мосту і додайте майстер-порт до нього.

  • Створити групу комутованих портів
  • Створіть інтерфейс мосту та додайте майстер-порт до нього
  • Відомі порти динамічно додаються до мосту лише для відображення стану STP. Пересилання через порти, що комутуються, все ще обробляється за допомогою апаратного комутатора.