Mikrotik - конфигурирайте VLAN (Trunk, Access и Hybrid портове) и STP

Всяко RouterOS устройство с трафик, преминаващ през процесора, действа като рутер от слой 3 и препраща пакети между всички свързани мрежи по подразбиране. За да направите промени в процеса на препращане, трябва да използвате ACL или защитна стена.

VLAN (за да научите какво е виртуална частна мрежа, можете да следвате връзката) абстрахира идеята за локална мрежа (LAN), като предоставя възможност за подмрежи да се свързват с данни на организация. Мрежовите комутатори могат да поддържат множество независими виртуални мрежови сегменти чрез създаване на 2 слоя 2 (връзки за данни). VLAN е свързан с излъчващия домейн. Обикновено се състои от един или повече Ethernet комутатори.

Магистърският порт (trunk port / tagged) обикновено се използва за свързване към L2 комутатори. Рутерът получава и препраща пакети от различни VLAN. Маркираните рамки от няколко абоната пристигат на един порт.

Wealans ви позволяват да контролирате и сегментирате заявки за излъчване в мрежата. VPN трънкингът позволява на маркиран трафик да преминава между различни мрежови сегменти, конфигурирани с VLAN.

Трънковете осигуряват комуникация от точка до точка между две мрежови устройства, към които са свързани устройства от повече от един VLAN сегмент. С VLAN магистрални връзки можете да разпространите настройките за сегментиране в цялата мрежа. Повечето комутатори поддържат протокола IEEE 802.1Q.

Конфигуриране на VLAN - пример 1 - магистрални (trunk) портове и портове за достъп (достъп)

Рутербордите с превключващи чипове Atheros могат да се използват за 802.1Q Trunking. В този пример ether3, ether4 и ether5 са интерфейсите на порта за достъп, докато ether2 емагистрален порт (багажник). VLAN ID за всеки порт за достъп: ether3 - 200, ether4 - 300, ether5 - 400.tra

  • Нека създадем група превключващи портове, като изберете един главен порт и го присвоите на останалите:
  • Нека добавим записи към VLAN таблицата за превключване на рамки със специфични VLAN ID между портове:
  • Нека присвоим "vlan-mode" и "vlan-header" на всеки порт, както и "default-vlan-id" във входа за всеки порт за достъп:

Параметърът “vlan-mode=secure” гарантира, че VLAN таблицата се следва точно. Опцията „vlan-header=always-strip“ за портове за достъп премахва заглавката на VLAN от рамката, когато напусне чипа на комутатора. Опцията „vlan-header=add-if-missing“ за магистралния порт добавя VLAN хедър към немаркирани рамки. Параметърът “Default-vlan-id” определя кой VLAN ID се добавя към немаркирания входящ трафик за порта за достъп.

Конфигуриране на VLAN - пример 2 - магистрални (trunk) портове и хибридни портове за достъп (хибридни)

Хибридните VLAN портове, които могат да препращат както маркиран, така и немаркиран трафик, се поддържат само от някои гигабитови превключващи чипове (QCA8337, AR8327)

  • Създайте група с комутирани портове:
  • Нека добавим записи към VLAN таблицата, за да позволим превключване между портове на рамка със специфични VLAN ID:
  • В менюто за конфигурация на превключвателя задайте параметъра „vlan-mode“ на всички портове, за хибридни портове — „default-vlan-id“:

Параметърът “Vlan-mode=secure” ще наложи стриктно спазване на VLAN таблицата. Параметърът “Default-vlan-id” ще дефинира VLAN на порта за немаркиран входящ трафик. За гигабитови превключващи чипове използвайте параметъра „vlan-mode=secure“ви позволява да игнорирате параметъра "vlan-header". Записите в VLAN таблицата контролират процеса на изходящо маркиране и работят на всички портове като „vlan-header=leave-as-is“. Това означава, че входящият маркиран трафик също остава маркиран, само рамки с параметъра „default-vlan-id“ се демаркират при напускане на порта.

Управление на IP конфигурация

Протокол Spanning Tree

Започвайки с RouterOS v6.38, рутербордите поддържат протоколи Spanning Tree на портове, конфигурирани за хардуерно превключване. За да активирате тази функция, създайте мостов интерфейс и добавете главен порт към него.

  • Създайте група портове за превключване
  • Създайте мостов интерфейс и добавете главен порт към него
  • Подчинените портове се добавят динамично към моста само за да покажат състоянието на STP. Пренасочването на комутирани портове все още се управлява от хардуерния комутатор.