Настройка VLAN на MikroTik без лирики [ROS7]

обновлено: 08.08.2025 — добавил альтернативный вариант настройки транка на маршрутизаторе по аналогии с Cisco саб-интерфейсами + пояснения, когда это применимо.

VLAN на MikroTik — одна из самых неоднозначных тем. Почему?

• RouterOS предлагает минимум 3 способа настройки (через Bridge, Switch Chip, Ethernet), что вызывает путаницу.

• Ошибки конфигурации приводят к падению трафика, проблемам с безопасностью, снижению уровня производительности сети.

В этой статье разберём официально рекомендуемый метод — Bridge VLAN Filtering на RouterOS 7. Это:

• Наиболее удобный вариант для отладки.

• Гибкий для L3-сценариев (маршрутизация между VLAN).

• Совместим с большинством устройств на уровне софта (от hEX до CCR).

Важное уточнение: Bridge VLAN Filtering — универсальный, но не всегда оптимальный способ настройки VLAN на MikroTik. Его производительность зависит от модели устройства, а именно: от возможностей Switch Chip-а, вернемся к этому моменту ближе к завершению туториала.

Содержание

• Введение

• Схема сети

• Конфигурация R1 (маршрутизатор)

• Конфигурация S1 (коммутатор)

• Тестирование и проверка

• Особенности оборудования MikroTik

• Критически важные настройки безопасности VLAN

• Заключение

Уровень CCNA+

Без пояснений, что такое VLAN, trunk и зачем всё это нужно. Сразу к конфигам.

Предполагается, что читатель знаком с базовыми концепциями VLAN и trunk-портов. Статья сосредоточена на практической реализации на MikroTik с RouterOS 7.

Цель: Реализовать классическую схему Router-on-a-Stick на MikroTik с помощью двух управляемых коммутаторов и одного маршрутизатора.

VLAN ID	Подсеть	Назначение
10	192.168.10.0/24	Сеть управления
20	192.168.20.0/24	Сеть касс и сканеров
30	192.168.30.0/24	Сеть бухгалтерии

• R1 — точка терминации вланов, делает межвлан-маршрутизацию.

• S1 — центральный коммутатор, на котором сконфигурированы trunk-порты к маршрутизатору, второму коммутатору, access порты для клиетских устройств.

• S2 — удалённый коммутатор D-Link, обслуживающий бухгалтерию в VLAN 30.

  

  Топология сети

  Принцип работы:

  • Устройства в каждой VLAN получают IP-адреса из своей подсети.

  • Доступ между VLAN возможен через маршрутизатор R1 (например, администратор из VLAN 10 может подключиться к кассовому устройству из VLAN 20).

  • Управление хостами осуществляется через VLAN 10.

  • Благодаря VLAN каждая группа устройств логически отделена от остальных, что повышает управляемость и упрощает контроль доступа. Важно: VLAN обеспечивает сегментацию, но не изоляцию. Для предотвращения межвлан-трафика на MikroTik следует применять firewall filter на L3 и bridge filter на L2. Это особенно важно в сетях с повышенными требованиями к безопасности.

Конфиг R1:

Создаем бридж, умеющий работать с VLAN:

/interface bridge add arp=reply-only arp-timeout=30s frame-types=admit-only-vlan-tagged name=bridge1 vlan-filtering=yes

WinBox: рис.1 и рис.2

Используем arp=reply-only, чтобы исключить ARP-спуфинг и явно управлять ARP через статические записи.

рис.1

рис.2

Добавляем в бридж ether5 как downlink в сторону S1:

/interface bridge port add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=ether5

WinBox: рис.3 и рис.4

рис.3

рис.4

После чего уже назначим VLAN-ы на сам бридж и ether5:

/interface bridge vlan

add bridge=bridge1 tagged=bridge1,ether5 vlan-ids=10

add bridge=bridge1 tagged=bridge1,ether5 vlan-ids=20

add bridge=bridge1 tagged=bridge1,ether5 vlan-ids=30

WinBox: рис.5, вланы 20 и 30 назначаются аналогично, настройка будет отличаться только на коммутаторе S1

рис.5

Создадим VLAN интерфейсы, где vlan.10 - VLAN управления, назначим их на bridge1

/interface vlan

add interface=bridge1 name=vlan.10 vlan-id=10

add interface=bridge1 name=vlan.20 vlan-id=20

add interface=bridge1 name=vlan.30 vlan-id=30

WinBox: рис.6, интерфейсы для вланов 20 и 30 назначаются аналогично

рис.6

Назначим ip-адреса на VLAN интерфейсы:

/ip address

add address=192.168.10.1/24 interface=vlan.10 network=192.168.10.0

add address=192.168.20.1/24 interface=vlan.20 network=192.168.20.0

add address=192.168.30.1/24 interface=vlan.30 network=192.168.30.0

WinBox: рис.7, ip-адреса для влан интерфейсов 20 и 30 назначаются аналогично

рис.7

Разрешим управление R1 только из сети 192.168.10.0/24

/interface list add name=mgmt

/interface list member add interface=vlan.10 list=mgmt

/ip firewall filter

add action=accept chain=input comment="allow mgmt to router" connection-state=new dst-port=22,8291 in-interface-list=mgmt protocol=tcp

add action=reject chain=input comment="reject mgmt to router" connection-state=new dst-port=22,8291 in-interface-list=!mgmt log=yes log-prefix="unauthorized access blocked" protocol=tcp \ reject-with=tcp-reset

Альтернативная настройка VLAN на R1 без бриджа:

Аналогично создаем интерфейсы VLAN, но вместо бриджа назначаем VLAN-ы на порт downlink в сторону S1, на примере будет ether5, сам bridge в данном варианте не создается, что полностью соответствует router-on-a-stick подходу.

/interface vlan
add interface=ether5 name=vlan.10 vlan-id=10
add interface=ether5 name=vlan.20 vlan-id=20
add interface=ether5 name=vlan.30 vlan-id=30

— это аналог саб-интерфейсов (subinterfaces) на Cisco ISR

Когда это подходит:

• Когда MikroTik работает только как маршрутизатор между VLAN, и не нужно свитчить трафик между портами, не нужен STP.

Конфиг S1:

Аналогично создадим бридж:

/interface bridge add arp=enabled arp-timeout=30s frame-types=admit-only-vlan-tagged name=bridge1 vlan-filtering=yes

WinBox: как на рис.1 и рис.2, но без arp arp=reply-only, оставляем по дефолту arp=enabled

Добавим в бридж порты, которые планируем использовать:

uplink в сторону R1: /interface bridge port add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=ether5

downlink в сторону S2: /interface bridge port add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=ether4

edge порт в сторону касс: /interface bridge port add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether2 pvid=20

edge порт в сторону admin-пк: /interface bridge port add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether1 pvid=10

WinBox: рис.3 и рис.4, на access портах требуется указать PVID, который соответствует vlan id и выставить Frame Types: admit-only-untagged-and-priority-tagged(рис.8)

рис.8

Назначим VLAN-ы на бридж и порты, где ether5 - uplink в сторону R1, ether4 - downlink в сторону S2, а ether1,2 - клиентские устройства.

/interface bridge vlan

add bridge=bridge1 tagged=bridge1,ether5,ether4 untagged=ether1 vlan-ids=10

add bridge=bridge1 tagged=ether5 untagged=ether2 vlan-ids=20

add bridge=bridge1 tagged=ether5,ether4 vlan-ids=30

WinBox: возвращаемся к рис.5, настройки повторяются, но для вланов 20 и 30 bridge1 в tagged не добавляем, только для влана 10, с которого коммутатор будет управляться.

Создадим VLAN интерфейс для управления коммутатором

/interface vlan

add interface=bridge1 name=vlan.10 vlan-id=10

Winbox: как на рис.6

Назначим ip для управления коммутатором из сети 192.168.10.0/24

/ip address add address=192.168.10.254/24 interface=vlan.10 network=192.168.10.0

WinBox: как на рис.7, но, что очевидно, выбираем другой свободный адрес.

Пробуем пропинговать R1:

рис.9

Также можно посмотреть появилась ли связность по макам: рис.10

/interface bridge host print

рис.10

Разрешим управление только из сети 192.168.10.0/24

/ip service

set ssh address=192.168.10.0/24

set winbox address=192.168.10.0/24

Примечание:

Конфигурация S2 не рассматривается. Для текущей задачи достаточно передать теги VLAN 10 (управление) и VLAN 30 (бухгалтерия).

P.S. или важное НО…

На многих популярных устройствах MikroTik (например, RB2011, RB951) при включении VLAN Filtering на bridge поддержка аппаратного switch chip может быть ограничена, HW Offload отключится, повысится нагрузка на CPU, что повлияет на производительность. В таком случае необходимо использовать альтернативный вариант настройки через /interface ethernet switch (настройка через switch vlan и switch port). Но всё же для полной L2/L3/ACL-функциональности лучше использовать MikroTik серии CRS3xx.

• Bridge VLAN Filtering — баланс между гибкостью и производительностью.

• Для скоростных сетей проверьте возможности switch-чипа в вашей модели.

• Подробности о аппаратном ускорении (hardware offloading) Bridge на рис.11 или более детально в официальной документации MikroTik.
  

  

  Bridge Hardware Offloading, рис.11

Почему Bridge VLAN Filtering?

Метод	Плюсы	Минусы
Bridge VLAN Filtering	Удобная конфигурация, отладка, документация, полноценный L2 с STP, можно прикрутить L3, добавив влан интерфейсы на бридж	Популярные SOHO/SMB модели не умеют в HW Offload, что повлияет на производительность при высокой нагрузке
Множество бриджей	Для многих наиболее привычный, но и наиболее неправильный метод, ломающий L2 логику, по факту сплошные минусы	С HW Offload работает лишь 1 бридж, что сломает сеть, когда коммутатор не сможет прожевать нагрузку, из-за загрузки CPU каким-то из бриджей. Не связанные между собой STP домены с разными STP рутами = петля
Switch VLAN	HW Offload на поддерживаемых моделях	Только L2, неудобная отладка, на актуальных моделях не имеет смысла

Когда Bridge VLAN Filtering — не лучший выбор?

Ситуация	Проблема	Альтернатива
Устройства до 2015 года (RB2011,RB951,CRS 1-й и 2-й серии).	Рост нагрузки на CPU, нестабильность, снижение производительности	Отключить vlan-filtering, использовать Switch VLAN для L2 и ethernet.subinterface для L3

Тест скорости между двумя ПК, подключенных к S1: рис.12
S1 — RB2011UiAS — уже не самая актуальная модель и настройка через bridge VLAN Filtering для него не является оптимальной, HW Offload в данном режиме не работает, поэтому во время тестирования растёт нагрузка на CPU до 80% и легко поднимется до 100%, если нагрузить этот коммутатор ещё и L3 функционалом.

рис.12

Замечания по безопасности:

• Не пропускайте «все VLAN» в trunk без необходимости — используйте строгое перечисление tagged= в /interface bridge vlan.

• Контролируйте межвлановый трафик через firewall filter, особенно на устройствах с маршрутизацией, см.ниже

• В соответствии с лучшими практиками информационной безопасности не используйте VLAN как основной механизм защиты, а только как дополнительный элемент сетевой сегментации в сочетании с межсетевыми экранами и ACL.

• Ограничьте L2-вещание, если это критично — например, через bridge filter или настройку изоляции портов.
  

  ВАЖНО: MikroTik по умолчанию разрешает весь межвлановый трафик, если требуется его ограничить  — делайте это на L3, создав по порядку цепочку правил в /ip firewall filter, например:

  1. Блокируем доступ ко всем хостам VLAN10 с любых других VLAN —
     
     add action=drop chain=forward comment="block access to VLAN10 from other VLANs" dst-address=192.168.10.0/24 log-prefix="DROPPED access to VLAN10" src-address=!192.168.10.0/24

  2. Запрещаем трафик из VLAN20 в VLAN30 —
     
     add action=drop chain=forward comment="block VLAN20 to VLAN30" dst-address=192.168.30.0/24 src-address=192.168.20.0/24

  3. Запрещаем трафик из VLAN30 в VLAN20 —
     
     add action=drop chain=forward comment="block VLAN30 to VLAN20" dst-address=192.168.20.0/24 src-address=192.168.30.0/24

  4. Разрешаем остальной трафик (опционально) —
     
     add action=accept chain=forward comment="allow other forwarding"

Настройка позволяет:

• гибко сегментировать сеть

• повысить безопасность, если настроить firewall и ограничить трафик между сегментами

• централизованно управлять устройствами через VLAN

• снизить влияние широковещательного домена

FAQ

Общее описание VLAN в RouterOS: принципы работы, структура, рекомендации

Пример настройки VLAN-коммутации с bridge и switch-chip в RouterOS