How to become an author
Search
Write a publication
Pull to refresh

Настройка VLAN на MikroTik без лирики [ROS7]

Level of difficultyMedium
Reading time6 min
Views11K
Network technologies*
Tutorial
From sandbox


VLAN на MikroTik — одна из самых неоднозначных тем. Почему?

  • RouterOS предлагает минимум 3 способа настройки (через Bridge, Switch Chip, Ethernet), что вызывает путаницу.

  • Ошибки конфигурации приводят к падению трафика или проблемам с безопасностью.

В этой статье разберём официально рекомендуемый метод — Bridge VLAN Filtering на RouterOS 7. Это:

  • Наиболее удобный вариант для отладки.

  • Гибкий для L3-сценариев (маршрутизация между VLAN).

  • Совместим с большинством устройств на уровне софта (от hEX до CCR).

Важное уточнение: Bridge VLAN Filtering — универсальный, но не всегда оптимальный способ настройки VLAN на MikroTik. Его производительность зависит от модели устройства, а именно: от возможностей Switch Chip-а, вернемся к этому моменту ближе к завершению туториала.

Содержание

  • Введение

  • Схема сети

  • Конфигурация R1 (маршрутизатор)

  • Конфигурация S1 (коммутатор)

  • Тестирование и проверка

  • Особенности оборудования MikroTik

  • Критически важные настройки безопасности VLAN

  • Заключение

Уровень: CCNA+

Без пояснений, что такое VLAN, trunk и зачем всё это нужно. Сразу к конфигам.

Предполагается, что читатель знаком с базовыми концепциями VLAN и trunk-портов. Статья сосредоточена на практической реализации на MikroTik с RouterOS 7.

Цель: Реализовать классическую схему Router-on-a-Stick на MikroTik с помощью двух управляемых коммутаторов и одного маршрутизатора.

VLAN ID

Подсеть

Назначение

10

192.168.10.0/24

Сеть управления

20

192.168.20.0/24

Сеть касс и сканеров

30

192.168.30.0/24

Сеть бухгалтерии

  • R1 — маршрутизатор, выполняющий интер-VLAN маршрутизацию с использованием саб-интерфейсов (802.1Q).

  • S1 — центральный коммутатор, на котором сконфигурированы trunk-порты к маршрутизатору, второму коммутатору, edge-порты для конечных устройств.

  • S2 — удалённый коммутатор D-Link, обслуживающий бухгалтерию в VLAN 30.

    Топология сети
    Топология сети

    Принцип работы:

    • Устройства в каждой VLAN получают IP-адреса из своей подсети.

    • Доступ между VLAN возможен через маршрутизатор R1 (например, администратор из VLAN 10 может подключиться к кассовому устройству из VLAN 20).

    • Управление хостами осуществляется через VLAN 10.

    • Благодаря VLAN каждая группа устройств логически отделена от остальных, что повышает управляемость и упрощает контроль доступа. Важно: VLAN обеспечивает сегментацию, но не изоляцию. Для предотвращения межвлан-трафика на MikroTik следует применять firewall filter на L3 и bridge filter на L2. Это особенно важно в сетях с повышенными требованиями к безопасности.

Конфиг R1:

Создаем бридж, умеющий работать с VLAN:

/interface bridge add arp=reply-only arp-timeout=30s frame-types=admit-only-vlan-tagged name=bridge1 vlan-filtering=yes

WinBox: рис.1 и рис.2

Используем arp=reply-only, чтобы исключить ARP-спуфинг и явно управлять ARP через статические записи.

рис.1
рис.1
рис.2
рис.2

Добавляем в бридж ether5 как downlink в сторону S1:

/interface bridge port add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=ether5

WinBox: рис.3 и рис.4

рис.3
рис.3
рис.4
рис.4

После чего уже назначим VLAN-ы на сам бридж и ether5:

/interface bridge vlan

add bridge=bridge1 tagged=bridge1,ether5 vlan-ids=10

add bridge=bridge1 tagged=bridge1,ether5 vlan-ids=20

add bridge=bridge1 tagged=bridge1,ether5 vlan-ids=30

WinBox: рис.5, вланы 20 и 30 назначаются аналогично, настройка будет отличаться только на коммутаторе S1

рис.5
рис.5

Создадим VLAN интерфейсы, где vlan.10 - VLAN управления, назначим их на bridge1

/interface vlan

add interface=bridge1 name=vlan.10 vlan-id=10

add interface=bridge1 name=vlan.20 vlan-id=20

add interface=bridge1 name=vlan.30 vlan-id=30

WinBox: рис.6, интерфейсы для вланов 20 и 30 назначаются аналогично

рис.6
рис.6

Назначим ip-адреса на VLAN интерфейсы:

/ip address

add address=192.168.10.1/24 interface=vlan.10 network=192.168.10.0

add address=192.168.20.1/24 interface=vlan.20 network=192.168.20.0

add address=192.168.30.1/24 interface=vlan.30 network=192.168.30.0

WinBox: рис.7, ip-адреса для влан интерфейсов 20 и 30 назначаются аналогично

рис.7
рис.7

Разрешим управление R1 только из сети 192.168.10.0/24

/interface list add name=mgmt

/interface list member add interface=vlan.10 list=mgmt

/ip firewall filter

add action=accept chain=input comment="allow mgmt to router" connection-state=new dst-port=22,8291 in-interface-list=mgmt protocol=tcp

add action=reject chain=input comment="reject mgmt to router" connection-state=new dst-port=22,8291 in-interface-list=!mgmt log=yes log-prefix="unauthorized access blocked" protocol=tcp \ reject-with=tcp-reset

Конфиг S1:

Аналогично создадим бридж:

/interface bridge add arp=enabled arp-timeout=30s frame-types=admit-only-vlan-tagged name=bridge1 vlan-filtering=yes

WinBox: как на рис.1 и рис.2, но без arp arp=reply-only, оставляем по дефолту arp=enabled

Добавим в бридж порты, которые планируем использовать:

uplink в сторону R1: /interface bridge port add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=ether5

downlink в сторону S2: /interface bridge port add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=ether4

edge порт в сторону касс: /interface bridge port add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether2 pvid=20

edge порт в сторону admin-пк: /interface bridge port add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether1 pvid=10

WinBox: рис.3 и рис.4, на access портах требуется указать PVID, который соответствует vlan id и выставить Frame Types: admit-only-untagged-and-priority-tagged(рис.8)

рис.8
рис.8


Назначим VLAN-ы на бридж и порты, где ether5 - uplink в сторону R1, ether4 - downlink в сторону S2, а ether1,2 - клиентские устройства.

/interface bridge vlan

add bridge=bridge1 tagged=bridge1,ether5,ether4 untagged=ether1 vlan-ids=10

add bridge=bridge1 tagged=ether5 untagged=ether2 vlan-ids=20

add bridge=bridge1 tagged=ether5,ether4 vlan-ids=30

WinBox: возвращаемся к рис.5, настройки повторяются, но для вланов 20 и 30 bridge1 в tagged не добавляем, только для влана 10, с которого коммутатор будет управляться.

Создадим VLAN интерфейс для управления коммутатором

/interface vlan

add interface=bridge1 name=vlan.10 vlan-id=10

Winbox: как на рис.6

Назначим ip для управления коммутатором из сети 192.168.10.0/24

/ip address add address=192.168.10.254/24 interface=vlan.10 network=192.168.10.0

WinBox: как на рис.7, но, что очевидно, выбираем другой свободный адрес.

Пробуем пропинговать R1:

рис.9
рис.9

Также можно посмотреть появилась ли связность по макам: рис.10

/interface bridge host print

рис.10
рис.10

Разрешим управление только из сети 192.168.10.0/24

/ip service

set ssh address=192.168.10.0/24

set winbox address=192.168.10.0/24

Примечание:

Конфигурация S2 не рассматривается. Для текущей задачи достаточно передать теги VLAN 10 (управление) и VLAN 30 (бухгалтерия).

P.S. или важное НО…

На многих популярных устройствах MikroTik (например, RB2011, RB951) при включении VLAN Filtering на bridge поддержка аппаратного switch chip может быть ограничена, HW Offload отключится, повысится нагрузка на CPU, что повлияет на производительность. В таком случае необходимо использовать альтернативный вариант настройки через /interface ethernet switch (настройка через switch vlan и switch port). Но всё же для полной L2/L3/ACL-функциональности лучше использовать MikroTik серии CRS3xx.

  • Bridge VLAN Filtering — баланс между гибкостью и производительностью.

  • Для скоростных сетей проверьте возможности switch-чипа в вашей модели.

  • Подробности о аппаратном ускорении (hardware offloading) Bridge на рис.11 или более детально в официальной документации MikroTik.

    Bridge Hardware Offloading, рис.11
    Bridge Hardware Offloading, рис.11

Почему Bridge VLAN Filtering?

Метод

Плюсы

Минусы

Bridge VLAN Filtering

Удобная конфигурация, полноценный L3, отладка, документация

Многие модели не умеют в HW Offload, что повлияет на производительность

Switch Chip

Аппаратное ускорение

Неудобная отладка

Когда Bridge VLAN Filtering — не лучший выбор?

Ситуация

Проблема

Альтернатива

Высоконагруженная сеть (>500 Мбит/с)

Лаги, рост нагрузки на CPU

Switch Chip или апгрейд железа

Много VLAN (>20)

Задержки фильтрации

Упрощение схемы или L3-коммутатор

Устройства до 2015 года (RB2011,RB951)

Рост нагрузки на CPU, нестабильность

Отключить vlan-filtering, использовать старый метод

Тест скорости между двумя ПК, подключенных к S1: рис.12
S1 — RB2011UiAS-RM — уже не самая актуальная модель и настройка через bridge VLAN Filtering для него не является оптимальной, HW Offload в данном режиме не работает, во время тестирования растёт нагрузка на CPU до 80% и легко поднимется до 100%, если нагрузить этот коммутатор ещё и L3 функционалом.

рис.12
рис.12

Замечания по безопасности:

  • Не пропускайте «все VLAN» в trunk без необходимости — используйте строгое перечисление tagged= в /interface bridge vlan.

  • Контролируйте межвлановый трафик через firewall filter, особенно на устройствах с маршрутизацией.

  • В соответствии с лучшими практиками информационной безопасности не используйте VLAN как основной механизм защиты, а только как дополнительный элемент сетевой сегментации в сочетании с межсетевыми экранами и ACL.

  • Ограничьте L2-вещание, если это критично — например, через bridge filter или настройку изоляции портов.

Вывод

Настройка позволяет:

  • гибко сегментировать сеть,

  • централизованно управлять устройствами через VLAN.

FAQ

Общее описание VLAN в RouterOS: принципы работы, структура, рекомендации

Пример настройки VLAN-коммутации с bridge и switch-chip в RouterOS

Tags:
Hubs:
+8
Comments11
2
Karma
8
Rating
@default_gateway69

Администратор серверов, Сетевой инженер

Send message

Articles

Your account

Sections

Information

Services

Support
© 2006–2025, Habr