UPD 2018.01.30: Добавлен синтаксис для RouterOS 6.41+
Сегодня мы ознакомимся с настройкой VLAN’ов на оборудовании MikroTik.
Дано:
— Коммутатор MikroTik RB260GSP;
— Маршрутизатор MikroTik RB951G-2HnD;
— Физическая схема сети:
Требуется:
Собрать схему сети, чтобы связь между ПК была на скорости wire-speed без утилизации ЦПУ оборудования.
Логическая схема сети будет иметь вид:
Настройка коммутатора MikroTik 260GSP
Адрес управления коммутатора по умолчанию – http://192.168.88.1
1) Сменим IP адрес коммутатора, отключим доступ к управлению на порту провайдера — Eth5, зададим пароль на управление, отключим SNMP. Сменим Identity для наглядности:
2) Вкладка VLANs определяет принадлежность портов VLAN’ам и правила обработки тэгов VLAN для ИСХОДЯЩИХ кадров.
Создадим VID 10 – для провайдера и VID 20 – под данные ЛВС.
На нашей схеме порт №1 коммутатора — порт для передачи тегированного трафика;
порты №№ 2,3,4 – порты доступа, принадлежащие VLAN20 (ЛВС);
порт №5 – порт доступа, принадлежащий VLAN10 (провайдер).
add if missing – добавлять тэг VLAN к кадру исходящему из порта коммутатора;
always strip – снимать тэг VLAN с исходящего кадра;
not a member — порт не участвует в передаче данного VID;
IVL — хранить таблицу MAC адресов отдельно для каждого VLAN.
3) Вкладка VLAN определяет правила обработки тегов VLAN для ВХОДЯЩЕГО трафика.
Для каждого порта укажем строгую (Strict/Secure) обработку тэгов VLAN, которая подразумевает проверки:
— наличия VID входящего кадра в таблице VLAN’ов;
— соответствия VID входящего кадра своему порту.
В общем, режим обработки VLAN’ов определяет насколько строго коммутатор соблюдает настройки на вкладке VLANs.
VLAN Receive — принимать на порт тегированный/нетегированный/гибридный трафик.
Default VLAN ID – определяет к какому VLAN’у будет отнесен входящий нетегированный кадр. Для транка значение Default VLAN ID оставляем по-умолчанию — «1».
Force VLAN ID – принудительная перебивка VLAN тегов входящего трафика на Default VLAN ID.
Настройки для исходящего (egress) трафика на данной вкладке игнорируются — пруф.
С настройкой коммутатора все.
Посмотрим в таблицу MAC адресов:
Обратите внимание на MAC в VLAN1, которого у нас нет в таблице VLANов. Это MAC адрес интерфейса управления коммутатора в Default VLAN. Так же этот MAC присутствует в VLAN10 и VLAN20 (т. к. включен IVL).
Настройка маршрутизатора Mikrotik 951G
Подключаться будем через Winbox по MAC адресу.
1) Сбрасываем заводские настройки. Ничего не сохраняем:
/system reset-configuration keep-users=no \ no-defaults=yes skip-backup=yes
По-умолчанию внутренняя схема маршрутизатора имеет вид:
Т.е. по-сути внутри одной коробки мы имеем два сетевых устройства: ЦПУ маршрутизатор и чип коммутации (читай коммутатор). В разных моделях маршрутизаторов MikroTik разные чипы коммутации с разными возможностями. Ознакомится можно в Wiki производителя.
2) Задействуем чип коммутации для всех портов маршрутизатора:
Для версии RouterOS 6.41+
Создаем бриджевый интерфейс и добавляем в него физические порты.
/interface bridge add name=BR protocol-mode=none /interface bridge port add bridge=BR interface=ether1 add bridge=BR interface=ether2 add bridge=BR interface=ether3 add bridge=BR interface=ether4 add bridge=BR interface=ether5
Теперь чип коммутации у нас задействован, и внутренняя схема маршрутизатора обрела вид:
Для версии RouterOS pre-6.41
/interface ethernet set numbers=0,1,2,3 master-port=ether5
Т.к. мы поменяли внутреннюю логику работы маршрутизатора, то возможно потребуется переподключение.
Теперь чип коммутации у нас задействован, и внутренняя схема маршрутизатора обрела вид:
Eth5 на CPU – он же Master port, это порт, через который ЦПУ передает трафик чипу коммутации.
3) Настраиваем принадлежность портов маршрутизатора VLAN10 и VLAN20 на чипе коммутации:
/interface ethernet switch vlan add vlan-id=10 ports=ether5,switch1-cpu switch=switch1 add vlan-id=20 ports=ether1,ether2,ether3,ether4,ether5,switch1-cpu switch=switch1
4) Настроим интерфейсы VLAN10 и VLAN20 на ЦПУ маршрутизатора чтобы он смог принять тегированный трафик.
Для версии RouterOS 6.41+
/interface vlan add interface=BR name=vlan10-wan vlan-id=10 add interface=BR name=vlan20-lan vlan-id=20
Для версии RouterOS pre-6.41
/interface vlan add vlan-id=10 interface=ether5 name=vlan10-wan add vlan-id=20 interface=ether5 name=vlan20-lan
5) Настраиваем правила обработки тегов VLAN для входящего и исходящего трафика на портах маршрутизатора:
/interface ethernet switch port set ether1 vlan-mode=secure vlan-header=always-strip default-vlan-id=20 set ether2 vlan-mode=secure vlan-header=always-strip default-vlan-id=20 set ether3 vlan-mode=secure vlan-header=always-strip default-vlan-id=20 set ether4 vlan-mode=secure vlan-header=always-strip default-vlan-id=20 set ether5 vlan-mode=secure vlan-header=add-if-missing set switch1-cpu vlan-mode=secure vlan-header=leave-as-is
vlan-mode=secure – строгая обработка VLAN тэгов входящего трафика. VID, которых нет в таблице VLAN будут отброшены.
Также проверяется соответствие портов VLAN’ам.
vlan-header=always-strip – снимать теги VLAN для исходящего трафика.
default-vlan-id=20 – VID, которым будет протегирован входящий нетегированный кадр.
vlan-header=add-if-missing – добавляем к исходящему трафику теги VLAN.
vlan-header=leave-as-is — не модифицировать теги VLAN.
Возможно потребуется переподключение.
В итоге схема хождения трафика внутри маршрутизатора получиться следующая:
Для версии RouterOS 6.41+
[admin@MikroTik] > /interface vlan print Flags: X - disabled, R - running # NAME MTU ARP VLAN-ID INTERFACE 0 R vlan10-wan 1500 enabled 10 BR 1 R vlan20-lan 1500 enabled 20 BR
Для версии RouterOS pre-6.41
[admin@MikroTik] > /interface vlan print Flags: X - disabled, R - running # NAME MTU ARP VLAN-ID INTERFACE 0 R vlan10-wan 1500 enabled 10 ether5 1 R vlan20-lan 1500 enabled 20 ether5
Для всех версий RouterOS
[admin@MikroTik] > /interface ethernet switch vlan print
Flags: X - disabled, I - invalid
# SWITCH VLAN-ID PORTS
0 switch1 10 ether5
switch1-cpu
1 switch1 20 ether1
ether2
ether3
ether4
ether5
switch1-cpu
[admin@MikroTik] > /interface ethernet switch port print Flags: I - invalid # NAME SWITCH VLAN-MODE VLAN-HEADER DEFAULT-VLAN-ID 0 ether1 switch1 secure always-strip 20 1 ether2 switch1 secure always-strip 20 2 ether3 switch1 secure always-strip 20 3 ether4 switch1 secure always-strip 20 4 ether5 switch1 secure add-if-missing auto 5 switch1-cpu switch1 secure leave-as-is auto
6) Настраиваем интерфейсы vlan10-wan и vlan20-lan на ЦПУ в качестве внешнего и локального интерфейсов маршрутизатора для остальных IP сервисов (DHCP Server/Client, Firewall, PPPoE Client/Server, NAT, etc.), но это уже другая история…
Добрый день.
Как настраивать VLAN если например с порта №1 все остальные порты должны брать трафик интернета. но порты 2-3-4-5 имеют свой VID?
Возможно ли настроить MikroTik SwOS таким образом чтобы если например на 3 порту идёт скачка с торента, то это бы не глушило 2-4-5 порты. Сейчас вланы не настроены и если кто-то включает закачку то все остальные сидят и сосут лапу. Как этого избежать?
Если я Вас правильно понял, торренты забирают всю полосу интернет канала. Естественно, что другим пользователям этой полосы уже не хватает. Т.е. дело не в настройке SwOS. Вам надо настраивать Ваш шлюз (роутер), а именно QoS. Трафик торрентов делать менее приоритетным.
Ну или в крайнем случае ограничьте скорость на торрент-клиенте.
Дело в том что когда у меня стоял D-link таких проблем не было. Вот я и подумал что проблема в настройках микротика…
Добрый день. RB951G-2HnD с чипом Atheros 8327 при передаче файла с одного vlana на другой lan грузит CPU почти на 100 и скорость режет. Так и должно быть?
Добрый день. Да. Это нормально. ЦПУ Вашей модели хватит прокачать 700-800 Мб/с максимум, при условии отсутствия каких-либо других дополнительных обработок трафика. Чип коммутации только разбирает теги VLAN, а перекладывает кадры между VLAN — это ЦПУ. На данный момент так у ВСЕГО оборудования MikroTik.