default_gateway69 Jun 15 at 07:12

Настройка VLAN на MikroTik без лирики [ROS7]

Medium

6 min

11K

Network technologies*

Tutorial

From sandbox

Comments 13

Nday001 Jun 15 at 13:25

Подчеркну, что может вызвать вопросы, зачем в bridge1 добавлять bridge1 как tagged порт.

/interface bridge vlan

add bridge=bridge1 tagged=bridge1,ether5 vlan-ids=10

Это нужно в том случае, если мы хотим на маршрутизаторе создать vlan интерфейс в этом vlan, например, чтобы получить доступ к управлению маршрутизатором через этот vlan, запустить на маршрутизаторе в этом vlan dhcp server итп.

default_gateway69 Jun 15 at 14:02

Спасибо, весьма точное дополнение.

Ещё уточню на примере статьи:
Так как S1 не участвует в VLAN 20 и 30 как L3, добавлять bridge1 в tagged= для этих VLAN-ов нет необходимости — достаточно указать физические интерфейсы.

/interface bridge vlan add bridge=bridge1 tagged=bridge1,ether5,ether4 untagged=ether1 vlan-ids=10

add bridge=bridge1 tagged=ether5 untagged=ether2 vlan-ids=20

add bridge=bridge1 tagged=ether5,ether4 vlan-ids=30

default_gateway69 Jun 15 at 16:43

Наглядный пример как это выглядит на практике: (i use arch BTW)

ip a, видим, что ПК живет в сети 192.168.20.0/24

пингуем шлюз R1 и коммутатор S1, видим, что связность есть — пингуем шлюз R1 и коммутатор **S1,** видим, что связность есть

проверяем управление до шлюза R1 и коммутатора S2, управление заблокировано, как и задумано т.к. ПК находится не в управленческой сети.

user0k Jun 15 at 17:07

А я не так настраивал. Я создал несколько bridge_vlan10 и bridge_vlan20. В них и добавлял порты, а также на бриджи прописывал ip. Таких бриждей почти с десяток. Нагрузки особо не замечал. Микротик hex S. Трафика ходит в 400мбит/с между вланами.

На днях поставил в ядро элтекс L3 с 10G портами и маршрутизацию на него перекину.

pred8or Jun 18 at 14:00

В микротиках только на одном бридже работает аппаратная разгрузка. На остальных пакеты будут пересылаться не свитч-чипом, а процессором

Upd: Ниже уже ответили подробно

falcon4fun Jun 16 at 01:55

Vlan сам по себе без ACLов или ZeroTrust ни членикса не изолтрует. Бродкаст и мультикаст не в счет. А эни-ту-эни изоляцией назвать трудно :D

Бтв, насколько подсказывает мне сетевая извилина - бест практис пропускать только те вланы, которые нужны, а не зачем-то весь транк, иначе в один день можно столкнуться с незавидными приколами кривых рук :D

default_gateway69 Jun 16 at 03:33

Спасибо, справедливые замечания.

Да, VLAN — это лишь сегментация. Для полноценной изоляции ограничить межвлан трафик на MikroTik можно через firewall filter на L3 и bridge filter на L2, в статье это сознательно не затрагивалось, чтобы не уводить в сторону от базовой настройки.

Касаемо транка — согласен: «только нужные VLAN» на trunk-портах — в уточняющих комментариях выше именно это и показано.

vladislav_balashov Jun 17 at 10:45

Спасибо за статью. Такой есть вопрос. Самый популярный (и самый неправильный) способ настройки VLAN на mikrotik - через множество bridge, в которых объединяют vlan-интерфейсы и обычные интерфейсы. Если сравнивать этот устаревший способ с BVF на устройствах, где нет аппаратной разгрузки с BVF (например, на обычном hEX), то какой способ выигрывает по производительности? Сравнивали ли вы это?

default_gateway69 Jun 17 at 11:28

Спасибо за интересный и уместный вопрос.

hEX (RB750Gr3) на RouterOS 7 поддерживает аппаратную разгрузку BVF.

По поводу производительности:

Подход с множеством бриджей наиболее активно задействует CPU, в особенности, если на железке реализован L3 фукнционал, а именно:

Межвлан трафик проходит через CPU трижды:
vlan-интерфейс → бридж→ роутинг → другой бридж

Сравнительных тестов: множество бриджей vs. BVF пока не проводил, да и практического смысла в этом не вижу, BVF во всем лучше: более удобный менеджмент, лучше масштабируемость, более логичен в плане обработки трафика и сетевой архитектуры.

В 2025 вариант с множеством бриджей имеет право на реализацию лишь в кейсах, где по каким-то причинам ~~админ не планирует~~ обновлять железку до RouterOS 7 и сама железка уже давно настроена и активно эксплуатируется в проде.

Ниже скрины hEX из тестовой лабы, работающий как L3 ядро через BVF
Нагрузка на роутер реализована тестом iperf между двумя ПК в разных вланах.

CPU загружен менее 50% при межвлан трафике более 800 мбит/с

vladislav_balashov Jun 17 at 14:31

Извиняюсь за ошибку. Действительно, у hEX свитч-чип MT7621, который должен поддерживать разгрузку c BVF на RouteOS7. Сам я тоже всегда настраиваю vlan на Mikrotik через BVF. Но часто встречаюсь со скепсисом в отношении BFV от людей, которые уже привыкли к старому способу с бридженванием всего и вся. Типа надо переучиваться, менять правила автоматизации и т.п. Аргумент про повышение производительности с BFV был бы для них наиболее весомым.

default_gateway69 Jun 17 at 16:04

Да, отлично понимаю вас. Унаследованная инфраструктура, шаблоны, скрипты, привычки - всё это не меняется быстро, даже если новый подход объективно лучше.

В таком случае запланирую сравнительный тест в лабе: BVF против конфига с несколькими бриджами на железке без аппаратной разгрузки BVF.

Как найду подходящий девайс - проведу замеры. Ожидайте.

werter_l yesterday at 08:50

> на железке без аппаратной разгрузки BVF.

Развернуть ВМ с CHR ?

default_gateway69 yesterday at 11:12

Большинству интересен контекст реального железа, а не виртуалки.