Настройка VLAN на Mikrotik

  Рет қаралды 19,624

bozza

bozza

Күн бұрын

Пікірлер: 48
@fedorpro2114
@fedorpro2114 2 жыл бұрын
Большое спасибо за видео, все четко и по делу, наконец навел порядок и развел по разным вланам виртуалки, как давно хотел.
@prezid9586
@prezid9586 3 ай бұрын
Крайне рекомендуется сначала настраивать все вланы, а только в самом конце включать на бридже птичку Vlan filtering, предварительно перед ней нажав Safe Mode. Особенно если вы работаете удаленно. Иначе вам выпадет сектор "дальняя дорога" на барабане с высокой степенью вероятности. Ну либо вызванивать поблизости с оборудованием дежурного сотрудника с зубочисткой, который ресетнёт для вас девайс. Кстати, сложность ресета может возрасти кратно, если вы счастливый обладатель, например, RB1100AH2, уже установленного в стойку, у которого кнопка Reset расположена на плате, но в корпусе нет отверстия под нее. Ну и не забывайте, что вам не удастся исправить потерю управления из-за косяков с вланами путем другого подключения, как, например, косяки с фаерволлом можно исправить, зайдя на маршрутизатор по L2 (MAC) ниже фаерволла. Вланы работают на L2, поэтому зайти по МАС также не получится.
@bozza8654
@bozza8654 3 ай бұрын
По этой причине, когда я настраиваю vlan, всегда тот интерфейс/порт, к которому подключен лично, исключаю из бриджа, в котором настраиваю vlan. Когда все настроено и проверено, можно просто добавить этот "порт последней надежды" в бридж. Но сначала все проверить!
@bozza8654
@bozza8654 Жыл бұрын
Для лучшего понимания процесса, рекомендую после просмотра видео ознакомится с коротким текстом на странице bozza.ru/art-349.html, где подводится итог. Это может снять часть вопросов.
@LShadow77
@LShadow77 9 ай бұрын
Спасибо за видео, очень толковое. Но можете ли снять (или дать ссыль на) видео по настройке именно аппаратных vlan на встроенном switch chip'е микротика. При этом интересует способ повесить на эти аппаратные vlan отдельные wlan. Чисто логически я вижу, что нужно организовать как бы два слоя настроек. Первый - это собственно настройки аппаратных влан на портах (включая trunk-порт). Второй слой- создание софтовых бриджей для каждого аппаратного vlan для того, чтобы объединить их с собственными wlan. Но как это сделать практически, ничего не нашёл. Гуглится инфа только по софтовым vlan...
@dmitriyd6437
@dmitriyd6437 3 жыл бұрын
бро, в пределах микрота на его портах vlan как таковой не нужен, там бриджа достаточно для изоляции
@bozza8654
@bozza8654 3 жыл бұрын
Да, не обязателен, так как бридж он сама по себе изолирует трафик. Но это в пределах одного микрота. Но в пределах одного микрота редко (ну, не часто) нужны vlan. Чаще всего vlan нужны в масштабах сети, и тогда многопортовые настройки начинают доставлять.
@ВиталийВиталий-ь9р
@ВиталийВиталий-ь9р 3 жыл бұрын
@@bozza8654 у меня микрот свитч 3 уровня. Надо на нем сделать 5 вланов с доступом в интернет. Можно это сделать через бриджи ? То есть 5 бриджей надо создавать ? Или один, не совсем понял. Спасибо // упд увидел ответ ниже.
@bozza8654
@bozza8654 3 жыл бұрын
@@ВиталийВиталий-ь9р vlan на 2 уровне, так что 3-его за глаза хватит. Можно сделать через бриджи, совершенно верно. И 1, и 5, и 10 vlan можно сделать, разницы нет.
@АлександрК-б6х
@АлександрК-б6х 3 жыл бұрын
Самое понятное объяснение вланов на микротике. А про транковые порты видео будет?
@bozza8654
@bozza8654 3 жыл бұрын
Да, будет. Честно говоря, не ожидал, что будет спрос на это, сделал бы сразу... ЗЫ: kzbin.info/www/bejne/moSxZaB_jspsd5I
@admaerable
@admaerable 3 жыл бұрын
Видео очень полезное - из их вики я понял только то, что документацию они писать не умеют. Но в начале видео сказано, что есть несколько способов настроить vlan Из вики следует, что некоторые варианты подходят только для тех устройств, в которых есть switch chip Есть ли принципиальная разница между этими способами? Влияет ли выбор варианта настройки на производительность или ещё на что-то?
@bozza8654
@bozza8654 3 жыл бұрын
Ну есть вариант, когда VLAN навешивают на один интерфейс, чаще всего это используют в схеме "роутер на палке", когда есть роутер и к нему подключен коммутатор. Это софтовый вариант. Есть описанный в видео вариант. Тоже софтовый. Есть разновидность, когда за коммутацию отвечает не основной процессор, а выделенный чип. Но для того, чтобы реализовать вариант с чипами, нужно конкретную железку брать и смотреть, что там за чипы. В простых моделях этого нет. Поэтому универсальный вариант - программный, который и представлен в видео. Что касается нагрузки и пропускной способности - тут лучше смотреть по факту. Если хватает простого варианта, то зачем усложнять?
@Олег-б3ц9б
@Олег-б3ц9б Жыл бұрын
то есть, один бридж на все порты и в нем уже влины создаем. Я так понял это для комутации вне проца, что б его не нагружать?
@bozza8654
@bozza8654 Жыл бұрын
Пробегитесь взглядом по тексту статьи bozza.ru/art-349.html Она короткая, суть изложена. Лучше, чем там написал, не отвечу :) Цитата с сайта: 1-й вариант (описан в видео, Bridge VLAN Filtering). Для лучшего понимания процесса кратко суть: сделать общий бридж (например, bridge1), на него "повесить" vlan-ы, добавлять в бридж bridge1 порты доступа (access ports или другими словами, untagged) или trunk-порты (или другими словами, tagged порты). Этот способ хорош тем, что он един по своей логике с настройкой bridge и vlan не только на роутере с одним trunk-портом, но также подходит к настройке коммутаторов mikrotik. Я очень рекомендовал бы вникнуть в суть этого подхода. На мой взгляд он логичен. Vlan здесь - сущность "над портами". Создали vlan и постепенно наполняете его нужными портами. А не отталкиваетесь от т.н. trunk-порта, куда подключен нижестоящий коммутатор (см. ниже;). Другими словами - есть bridge (коммутатор, короче), по нему бегает трафик. Трафик может приходить с любого порта и уходить на какой-то другой порт или порты. Это так и для роутера, и для коммутатора. Ок. Добавили какой-то vlan (например, 10-й). Ок. А потом спокойно думаем, какой порт должен принимать входящий из-вне трафик с этим "10-ым" номером vlan (trunk aka tagged порт), а какой порт будет помечать входящий трафик этим "10-м" vlan (access port aka untagged). И соответственно нашим мыслям будем добавлять порты. После этого трафик будет по-прежнему гулять по bridge, но трафик для 10 vlan попадет он только на те порты, которые имеют отношение к соотв. номеру vlan.
@prezid9586
@prezid9586 3 ай бұрын
Изучите свой девайс, в частности, его switch-chip. На сайте микрота есть все характеристики всех применяемых ими в маршрутизаторах свитч-чипов. Если вы задействуете функцию не поддерживаемую свитч-чипом, хардварь отключится вне зависимости от того какой механизм влана вы используете и весь трафик попрет через проц. В винбоксе в настройке Bridge - Ports напротив каждого порта показывается режим его работы. Если там не стоит буква H (Hardware Offload), то трафик этого порта идет через проц. Чип не работает.
@kurator911
@kurator911 3 жыл бұрын
Добрый день! Вопрос: при аналогичной ситуации необходимо к отдельному порту (допустим Ether6) подключить управляющий ПК (админа), который должен видеть все ПК во всех вланах (в Вашем случае - во VLAN1 и Vlan10 ), но остальные сегменты сети к нему доступа иметь не должны. Для этого на отдельном порту (Ether6) создал новый VLAN, присвоил ему свою сетку, DHCP и DNS. Но всех сегментов сети ПК на Ether6 не видит. Думаю, у его VLAN должны быть другие настройки (tagget - бридж1 untagget - все порты)? Спасибо за ответ
@bozza8654
@bozza8654 3 жыл бұрын
VLAN что админа, что буха - это отдельная сеть. Но можно на роутере, куда приходят vlan-ы, настроить правила firewall в forward, по которым new из vlan админа могут ходить куда угодно, а для остальных vlan forward new в vlan админа можно даже явно запретить. Established, related понятно, разрешены. Ещё вроде можно в маршрутах сделать, что для сети vlan-a "простых смертных" нет маршрута в сеть админа. На ходу пишу, сори, что сбивчиво. Суть такая.
@kurator911
@kurator911 3 жыл бұрын
@@bozza8654 спасибо за ответ. просто я думал, что доступ в остальные вланы настраивается в наборе портов влана админа. пока с настройками правил в firewall туговато...
@bozza8654
@bozza8654 3 жыл бұрын
@@kurator911 Не вы один с vlan так думали ;)
@overburndz
@overburndz 3 жыл бұрын
так и что, несколько сетей от одного интернета для mikrotik (типа 941или 951) как по ресурсозатратам выгоднее, изолировать по vlan или просто на каждый порт свой DHCP сервер? а хождение траффика между сетями правилами Firewall закрывается в любом случае?
@bozza8654
@bozza8654 3 жыл бұрын
До тех пор, пока изоляция возможна на уровне отдельных портов, делайте как вам удобнее. Vlan сделан для повышения гибкости и безопасности, а не просто для увеличения гемора сетевым админам.
@overburndz
@overburndz 3 жыл бұрын
@@bozza8654 понял, спасибо
@sergey1018
@sergey1018 3 жыл бұрын
Я создал 2 бриджа: Бридж1 - порты 2 и 4; Бридж2 - порты 3 и 5. DHCP для каждого бриджа, в файерволе запрет движения из одного бриджа в другой. И никаких вланов. Чем способ использования вланов лучше? Вот интереснее чем отличается использование вланы через свитч и без него?
@bozza8654
@bozza8654 3 жыл бұрын
Один физ. порт м.б. только в одном бридже. А если на один порт приходят разные сегменты? Бриджи и виланы, вообще-то, разные вещи - бридж - это объединение портов, а vlan - отдельная сеть. Если в рамках только одного роутера - вы можете сами рулить, как хотите, но чуть дальше - коммутатор за роутером, а в комутатор подключены разные сети. И еще wifi - один ssid - один vlan, второй - другой vlan и понеслось. Vlan в видео - сущность "над портами". Создали vlan и постепенно наполняете его нужными портами. А не отталкиваетесь от т.н. физических портов. Другими словами - вы не обязаны усложнять себе жизнь. Если вам достаточно bridge-й, то и ладно. Но вы упретесь в лимит этого при росте. Вот и все.
@sergey1018
@sergey1018 3 жыл бұрын
​@@bozza8654 Если есть тегированные порты, то понятно по поводу вланов. Я о том, что у вас все порты не тегированные. Какой тогда смысл во вланах?
@bozza8654
@bozza8654 3 жыл бұрын
@@sergey1018 В данном случае - это пример настройки, но в очень близком к примеру исполнении к untagged порту подключается отдельный компьютер, который потом уходит в vpn. Конкретное применение зависит от задачи.
@Trev0rReznik
@Trev0rReznik 3 жыл бұрын
@@bozza8654 простыми словами, бриджами города не свяжешь... Норм видео, особенно порадовала консоль
@bozza8654
@bozza8654 3 жыл бұрын
@@Trev0rReznik Так и есть, не свяжешь.
@Flanker351
@Flanker351 3 жыл бұрын
Какой смысл в вланах, если бриджи - это и есть виртуальные сети... Разве что потом в транк завернуть. А без транка - непонятно зачем.
@bozza8654
@bozza8654 3 жыл бұрын
Вы, похоже, ни разу не сталкивались с сетью больше одного устройства, когда приходилось бы хоть как-то ограничивать или разделять трафик. Бридж - в рамках одного устройства, а на VLAN можно сеть от двух устройств домашнего уровня до крупной сети расширять. И транк - не ручательство или выпендрёж. Просто кабель между двумя коммутаторами на разных этажах или комнатах одного офиса. И все, приехали, ваши бриджи вам уже не помогут. Представьте, вы строите поселок заранее ограниченный только одной поселковой площадью. Или строите с возможностью связать этот посёлок с другим, а потом ещё с одним, но при этом четко устанавливая правила, кто и куда может ездить по дорогам. Есть разница?
@Flanker351
@Flanker351 3 жыл бұрын
@@bozza8654 Вы похоже не вдумались в мой пост.
@bozza8654
@bozza8654 3 жыл бұрын
@@Flanker351 Тогда ещё больше неясно, что вам неясно :) Потому что «разве что в транк» и есть соль VLAN. Именно в транк :) а куда ещё?
@BeniSAV
@BeniSAV 3 жыл бұрын
Братан, запили видос с тэгироваными портами + так же разжовывая, спасибо :)
@bozza8654
@bozza8654 3 жыл бұрын
Запилил! kzbin.info/www/bejne/moSxZaB_jspsd5I
@dimatyurin09
@dimatyurin09 3 жыл бұрын
@@bozza8654 Добрый день. А можете рассказать про switch chip?
@bozza8654
@bozza8654 3 жыл бұрын
@@dimatyurin09 Прямо так, чтобы авторитетно - не смогу, так как я всегда избегал :) switch chip, по возможности. Причины: унификация настроек vlan, vpn, особенностей коммутаторов меньше. Вообще switch chip призван снизить нагрузку на cpu в части коммутации. Но я не сталкивался с ситуациями, когда нагрузка на cpu, которую можно снизить switch чипом, зашкаливала, а если и зашкаливала, то switch chip тут не помог бы. А ещё switch chip может привести к забавным неочевидным траблам, когда в коммутаторе два switch chip-а. В общем, я не фанат их, и потому не лучший про них рассказчик.
@AtanasLudnev
@AtanasLudnev 3 жыл бұрын
Спасибо Болшое
@bozza8654
@bozza8654 3 жыл бұрын
Пожалуйста! Если интересуют другие темы, пишите, не факт, конечно, что запилю видео, но если будет видна польза, будет доп. стимул.
@yungyeeze
@yungyeeze 2 жыл бұрын
автор в winbox через консоль пашет 😅 да и еще и про TAB забыл ...
@bozza8654
@bozza8654 2 жыл бұрын
Уж как говорится, как привык. Чем чаще юзаешь, тем больше табов и скриптов ;)
@bozza8654
@bozza8654 Жыл бұрын
Заодно тренируюсь. В 95% пользуюсь winbox, но иногда бывают случаи, когда нужна консоль. Чем больше повторений, тем в бою легче.
VLAN в Mikrotik
21:20
Mikrotik Training
Рет қаралды 65 М.
VLAN Mikrotik
37:02
Видео Шляпа
Рет қаралды 19 М.
Как Я Брата ОБМАНУЛ (смешное видео, прикол, юмор, поржать)
00:59
The Ultimate Sausage Prank! Watch Their Reactions 😂🌭 #Unexpected
00:17
La La Life Shorts
Рет қаралды 9 МЛН
Тема 15. Что такое VLAN 802.1Q?
1:01:41
Network is reachable
Рет қаралды 19 М.
Mikrotik : VLAN configuration | NETVN
10:11
NETVN82
Рет қаралды 199 М.
Intervlan routing. Design variations.
28:03
Networker Channel
Рет қаралды 93 М.
Как Я Брата ОБМАНУЛ (смешное видео, прикол, юмор, поржать)
00:59