Czym są vlany?
W tej część kursu podzielimy sieć na vlany, zanim przejdziemy do konfiguracji Mikrotika, kilka słów wstępu o samych vlanach. Lepsze zrozumienie zasady działania vlanów, ułatwi Ci późniejszą konfigurację nie tylko Mikrotika ale każdego innego sprzętu sieciowego. Wirtualna sieć lokalna(VLAN) dzieli jedną fizyczną sieć w kilka logicznych sieci. Technologię vlanów opisuje standard 802.1Q. Vlany działają w drugiej warstwie modelu OSI, tak więc konfiguracją odbywa się na przełącznikach sieciowych. Każdy vlan tworzy oddzielną domenę „Broadcast”, czyli bez routera nie jest możliwych ruch między sieciami w poszczególnych vlanach. Wyróżniamy dwa typy vlanów tagowane i nietagowane. W przypadku vlanów tagowanych do ramki ethernet dodawany jest TAG, czyli numer vlanu. Vlany taggowane najczęściej nazywa są TRUNKiem i służą głównie do połączeń między switchami. W połączeniu typu trunk możemy dodać wiele vlanów. Odwrotnie działa vlan nietagowany, który potocznie nazywany jest Accessowym. Można do niego przypisać tylko jeden vlan. Nazewnictwo pochodzi od sprzętu Cisco, dlatego u innych producentów może się lekko różnić.
Dlaczego warto używać vlanów?
- Separacja portów, każdy port albo grupa portów mogą należeć do innego vlanu
- Łatwiejsze zarządzanie ACL – listy kontroli dostępu
- Podział sieci w zależności od pracujących usług. Możemy przygotować dedykowany vlan na potrzeby telefonii VOIP
- Bezpieczeństwo, użytkownicy o różnych dostępach mogą być od siebie odseparowani(inna sieć dla kadr, zarządu, wifi)
- logiczny podział sieci, możemy kilka różnych przełączników połączyć w logiczną sieć. Wykorzystując do tego tylko jeden port połączeniowy.
Założenia i schemat połączeń
Znając już teorie i różnie między vlanem tagowanym i nietagowanych przechodzimy do konfiguracji routerów Mikrotika. Naszym zadaniem jest konfiguracja 4 vlanów, z czego trzy jako access i jeden trunk służący do komunikacji między routerami. Porty i nazewnictwo jak na schemacie poniżej
Konfiguracja Mikrotika – Router 1
Zaczynamy od przygotowania konfiguracji na routerze 1, w moim przypadku Mikrotik hAP AC Lite. Z bocznego mu wybieramy Interafce i przechodzimy na zakładkę VLAN. Znakiem plusa dodajemy nowy wpis.
- Name: podajemy dowolnie
- VLAN ID: numer vlanu od 1-4095
- Interface: wskazujemy interfejs wykorzystywany jako Trunk
W analogiczny sposób tworzymy pozostałe vlany. Wszystkie muszą być przypisane do portu trunkowego, czyli ether5.
Konfiguracja Adresacji dla vlanów
W następnym kroku przygotujemy adresację IP dla poszczególnych vlanów. Z bocznego menu wybieramy IP->Addresses i znakiem plusa dodajemy nowy wpis.
- Address: podajemy bramę dla nowej adresacji. Bardzo ważne, aby wpis zakończyć użytą maską podsieci np. /24
- Network: uzupełni się automatycznie po kliknięciu w OK bądź Apply
- Interface: wskazujemy docelowy vlan
Konfiguracja serwerów DHCP
Wszystkie vlany, oprócz vlanów zarządzającego mają adresacje przypisywać automatycznie. Do tego celu stworzymy oddzielne serwery dhcp dla każdego z vlanów. Podobnie jak w poprzedniej części skorzystamy z wbudowanego kreatora. Jeżeli nie do końca rozumiesz jak działa kreator to zapraszam do wcześniejsze lekcji. Z bocznego menu wybieramy IP->DHCP Server, a następnie klikamy w DHCP Setup.
Konfiguracja Bridge
Vlany w RouterOS, możemy skonfigurować na kilka sposobów w zależności od posiadanego sprzętu. W przypadku modelu CRS, vlan pracują z wykorzystaniem switch chip’a, i tam konfigurujemy vlany. W Mikrotik od Zera wykorzystujemy Hap AC Lite bądź Hap AC2, dlatego vlany skonfigurujemy za pomocą bridge’a i vlan filtering. Zaczynamy od utworzenia nowego bridge. Następnie przechodzimy na zakładkę VLAN i tworzymy vlany jak na schemacie powyżej.
Znakiem plusa dodajemy nowy vlan.
- Bridge: wskazujemy nazwę bridge’a który będzie obsługiwał vlany
- VLAN IDs: podajemy numer vlanu. Jeżeli mam vlany, które będą przypisane do tych samych portów, możemy je wszystkie dodać w jednym wpisie
- Tagged / Untagged: w zależności od rodzaju vlanu, wskazujemy odpowiedni port. W przypadku vlanu tagowanego, zawsze musimy wskazać bridge i docelowy port.
Klikamy w zakładkę Ports i dodajemy porty do Bridge. Konfiguracja przebiega podobnie jak w przypadku zwykłej konfiguracji, z tą małą różnicą, iż musimy uzupełnić pole PVID w zakładce VLAN. Numer PVID jest numerem vlanu nietagowanego, który chcemy przypisać do portu.
Bardzo ważne jest, aby przed włączeniem opcji Bridge VLAN Filtering przygotować vlan managmentowy, czyli dedykowany do zarządzania urządzeniami.
W sposób analogiczny konfigurujemy drugi router. Pamiętając, że w przypadku drugiego routera interfejsem Trunkowym jest ether1.
Polecany sprzęt
Z własnego doświadczenia mogę wam polecić poniższy sprzęt, z podziałem na ewentualne przeznaczenie routera.
Do domu i małej firmy(SOHO): hAP AX Lite , hAP AC3, RB4011, RB260GS, RB2011
hAP AC3 LTE, hAP AX2, hAP AX3, L009UiGS-2HaxD-IN, RB5009UG+S+IN, Audience
LTE: SXT LTE kit, SXT LTE6 kit, LHG 5, LHG LTE kit, Audience LTE, Chateau LTE6 ax, LTAP LTE6
Access Pointy: mAP lite, mAP, cAP AX, cAP XL AC
POE: hEX PoE
LAB: hEX lite
Średnia/Duża firma: CCR1036-12G-4S, CCR2004-16G-2S+
W jaki sposób, przy takiej konfiguracji można przekazać pakiet z jednego VLAN’a do drugiego? Na w jednym chciałbym mieć serwery a w drugim pracowników itp.
Domyślnie routing intervlanowy jest włączony, także przy poprawnej adresacji IP, powinno wszystko działać.
Robie to juz drugi raz i nie dostaje adresow na zadnym porcie MT gdzie mam vlany accessowe ani nie moge ich odebrac na switchu.
Pokaż kawałem configu, zwłaszcza z trunkiem i bridgem.
A jeżeli mam mikrotika wraz ze switchem np RB2011. I chciałbym aby porty 2-5 były odseparowane od 6-9 poprzez vlan-y. To wtedy potrzebuje „tranka” na porcie WAN aby obie podsieci miały dostęp do Internetu?
Jeżeli ma iść kilka vlanów, to musi być trunk, i wtedy port WAN będzie trunkiem.
Witam, chciałbym na swoim RB4011 skonfigurować dodawanie urządzeń do VLAN po adresie MAC. Czy jest to możliwe?
Obawiam się, że na RB4011 tego nie da się zrobić. Standardowo vlany po mac-addressie przypisujemy w opcji switch.
Witam, Mam pytanie odnośnie routera-1 dlaczego po konfiguracji na nim vlanow i przypieciu ich do bridgea’a nie włączono bridge vlan filtering?
Dlaczego Bridge vlan filtering został włączony tylko na routerze2?
VLAN Filtering najlepiej włączyć na routerze, który odbiera vlany. W tym przypadku takim routerem jest właśnie router-2
Dziękuję za odpowiedź 🙂 w końcu zaczynam rozumieć ten bridge vlan filtering i jest to super rozwiązanie jak się chce mieć router on the stick + dodatkowe porty access na mikrotiku 🙂
Czasem widzę też, że ludzie nadają adres IP na bridge’a, w którym są vlany i nie wiem czemu to ma służyć.
Teraz czekam z niecierpliwością na film z konfiguracją CAPsMAN z VLAN firmie. Fajnie jak by był podział VLANów na management, goście, firma itp. Zastanawiam się czy do takiego CAPa musi iść managament vlan tagowany czy nie.
PS
Jednak na routerze-1 bridge filter jest włączony (ale nie jest to 'powiedziane’ w filmie)
Przeklikałem taką samą konfigurację i bez włączenia brifge filterning na routerze-1 PC nie dostaje adresu IP z odpowiedniego VLANu na portach ether3, ether4
Jak chciałbym do kolejnego portu podpiąć tolinka ap 901n ze skonfigurowanymi vlanami id10 id20 id30 to jak ustawić port dla niego?
Dzień dobry.Niestety nadal coś robię źle. Mikrotik odrzuca możliwość utworzenia tych ustawień twierdząc, że interfejs jest slave, a ja nie potrafię usunąć interfejsu z bridge. Niby raz się to udało za pomocą usunięcia interfejsu na interface list, ale po kilku chwilach on tam się znowu pojawia i uniemożliwia uruchomienie DHCP dla VLANów.
Będę wdzięczny za pomoc.
Jaka wersja RouterOS’a??
Dzień dobry.
Posiadam model hAP lite (ale bez AC) i próbuję stworzyć konfiguracje z VLAN.
Interfaces -> VLAN tworzę – jest OK
IP -> Addresses osobna adresacja dla każdego VLANA – OK
IP -> DHCP Server – zawsze na czerwono z informacją I (Invalid)
Próbowałem wiele razy więc wykluczam głupi błąd. W czym rzecz? Stary RouterOS (6.48)? Zbyt prosty model routera? Bardzo proszę o podpowiedź. W razie zainteresowania przekażę dokładniejsze informacje.
Przy DHCP Server co wskazujesz jako interface?
Dziękuję za tak szybką reakcję. Jako interface wskazuję utworzone VLAN-y.
To jest tak w ogóle zadanie z egzaminu. Na routerze należy stworzyć 3 VLAN-y na porcie ether2 o ID 10, 20, 30 przypisać każdemu osobną adresację a dla VLAN-a 30 dodatkowo uruchomić DHCP Server. No i właśnie tu zaczyna się problem.
Witam… A jak zrobić, żeby router nr 2 miał sam w sobie internet??
Krótkie pytanie, jak ustawić maskaradę, żeby te VLANy miały internet?
Jeżeli w głównej regule maskarady nie wskazywałeś src. address, to każdy z vlanów będzie miał dostęp do Internetu. W innym przypadku musisz właśnie wskazać podsieci w src.address, bądź zrobić address list, i w niej dodać wszystkie podsieci, które mają mieć dostęp do Internetu.
Tego mi brakowało – dzięki żeby zrozumieć
Cześć. Mam do Ciebie pytanie czy się da, a jak się da to jak to najlepiej rozwiązać: Mam taką sytuację: w jednej lokalizacji kiedyś są switche i AP do nich podłączone i teraz tam jest modem operatora (adres otrzymywany po dhcp) z tej lokalizacji idzie niestety jeden RJ do kolejnej w której mam router i kolejną sieć. Teraz chcę aby ten router zarządzał tymi 2 sieciami ale mam tylko jeden kabel. Czy da się tak zrobić aby jednym kablem mieć internet od operatora i tym samym wrócić z siecią lan do switchy? Schemat jest taki: Modem Operatora -> switch -> jeden kabel -> router -> switch, a chcę mieć tak: Modem Operatora -> switch jeden kabel router -> switch.
Poprawiłem, bo poprzedni post miał błędy.
Cześć. Mam do Ciebie pytanie czy się da, a jak się da to jak to najlepiej rozwiązać: Mam taką sytuację: w jednej lokalizacji są switche i AP do nich podłączone i obecnie jest tam modem operatora (adres otrzymywany po dhcp) z tej lokalizacji idzie niestety jeden RJ do kolejnej w której mam router i kolejną sieć. Teraz chcę aby ten router zarządzał tymi 2 sieciami ale mam tylko jeden kabel. Czy da się tak zrobić aby jednym kablem mieć internet od operatora i tym samym wrócić z siecią lan do switchy? Schemat jest taki: Modem Operatora -> switch -> jeden kabel -> router -> switch, a chcę mieć tak: Modem Operatora -> switch jeden kabel router -> switch.
Tak, musisz tylko dobrze oznaczyć vlany i mieć dobry router. Załóżmy, że ISP to vlan10, LAN to vlan20. Ustawiasz jeden port na switchu na vlan10 jako nietagowany. Port w switchu np. numer 20, to połączeniówka między urządzeniami, dodajesz do tego portu vlan10 jako tagowany. Jeżeli masz router MT, to tworzysz vlan10 i ustawiasz na nim dhcp-clienta, powinieneś dostać adres z modemu. W podobny sposób ustawiasz vlan20. Tagujesz na routerze, a na switchu untagged.
Cześć,
mam taką samą sytuację, tylko u mnie nie jest to spowodowane jednym kablem (mam urządzenia obok siebie) tylko zasilaniem PoE dla anteny od ISP (RB1100 nie ma portów PoE). Chciałem jeszcze rozwinąć Twoją myśl, bo działa super i bardzo mi pomogło, ale zastanawiam się nad kwestią bezpieczeństwa – czy jak sygnał od ISP mam wrzucony na switchu w bridge razem z innymi pakietami z mojej sieci to nie ma ryzyka, że z WANu jest jakiś dostęp do tego co jest w pozostałych VLANach na switchu jeśli to wszystko jest w bridgu? A może powinienem sam eth1 w switchu (sygnał od ISP) wyjąć z brigda, a w VLANie jako interfejs wskazać eth1?
Bardzo mnie to zastanawia, nie rozumiem jeszcze na tyle VLANów, żeby znać szczególwe zasady działania, a to że działa to jedna sprawa, a na ile to bezpieczne to zupełnie inny wątek 🙂 Bardzo proszę w myśl orginalnego wątku na rozwinięcie jeszcze tej kwestii.
Dziękuję i pozdrawiam 🙂
Sam ISP powinien już mieć zrobią separacje, ale bezpieczniej jest oddzielić ISP od lokalnej sieci.
Nam MT951 ustawiłem:
ether3 – vlan30
ether4 – vlan40
eter5 – trunk 20,30,40 – tutaj jest podpięty switch zarządzany – wszystko działa.
Mam pytanie jak z vlan port ether3, 4 wejsc do winbox?
Powinieneś przygotować dedykowany vlan pod zarządzanie, i łączyć się po IP do winboxa, właśnie na adres z mgmt.
Czy kabel skrętka łączący dwa switche jako trunk można wymienić podczas pracy switchy czy trzeba wyłączyć aba switche?
W sensie jak dwa lub trzy switche są połączone w Stacku, czy można wymienić kable na nowe podczas pracy switchy jak są w Stack.
cześć, zrobiłem wszystko jak w filmie capsman w firmie 2 ale jednak nadal mi nie działa. nie dostaję adresów z vlanów na sieci dla gosci i pracowników. Mam rozumieć ze bez vlan filtering nie może działac?
Możesz dodatkowo ustawić PVID na numer vlanu(ustawnienia Bridge) przy portach Ethernet.
Hej, w momencie, kiedy jest włączony Vlan filtering, a przykładowo chcę skomunikować się między Vlanemi to robię regułę na FW forward (do danego Vlan/IP) ?
jeszcze jedno: czy włączając vlan filtering na danym bridge „odcinam” tylko ten vlan od całej reszty, czy działa to globalne na wszystkie pozostałe vlany (również miedzy sobą)
Routing intervlanowy jest domyślnie odblokowany. Samo włączenie bridge vlan filtering sprawia, że danych bridge zaczyna rozpoznawać vlany. Po włączeniu tej opcji musisz mieć już skonfigurowane vlany, a przynajmniej jeden do zarządzania, bo inaczej nie dostaniesz się na urządzenie.
Teraz rozumiem. Dziękuję za wyjaśnienie. proszę jeszcze o jedną wskazówkę:
przykładowo mam radiolinię (most) z obcym dhcp server w lokalizacji „A”, gdzie jest kilka urządzeń do których chciałbym uzyskać dostęp z lok. „B”…
W lokalizacji „B” na switchu utworzyłem vlan8 który ma ustawione dhcp client (z mostu otrzymuje ip 192.168.8.100).
Dalej mam utworzony vlan20 ze swoim dhcp serverem gdzie otrzymuję 192.168.20.2. W jaki sposób mogę zrobić komunikację między 192.168.20.2 a 192.168.8.123? Aktualnie mogę pingować jedynie adres, który dostaję z obcego dhcp klienta.
Zobacz mój materiał o routingu statycznym https://grzegorzkowalik.com/mikrotik-od-zera-routing-statyczny/ to powinno rozwiązać problem.
Czytałem ten artykuł i próbowałem się zastosować ale chyba coś robię źle :/
Próbuje z vlanu100 (przechodząc poprzez vlan10) dostać się do urządzenia 192.168.75.123 z drugiego routera.
Zapora na R1 testowo wyłączona. Nie jestem pewien czy trasy powinny być na obu routerach czy tylko na R1?
Będę bardzo wdzięczny za rozpisanie tras dla poniższego przykładu.
schemat: https://we.tl/t-WX9ZD3SYdj
Ma pytanie do mądrych głów.
Testuje cAP AC, utworzyłem na nim bridge, przypisałem do niego porty ether1 i wlan1, utworzyłem 2 VLANY (VLAN_9-zarządzanie przypisany do bridge i tagowany to ether1 oraz VLAN_11 również przypisany do bridge i tagowany na ether 1 oraz wlan1. W Bridge w zakładce VLAN zaznaczyłem [v] VLAN Filtering i wpisałem PVID jako 9. W Wireless->Security Profiles utworzyłem hasło do wifi. W WiFi Interfaces wlan1 w zakładce Wireless wybrałem: tryb na: ap bridge, nazwę rozgłoszeniową sieci bezprzewodowej, profil zabezpieczeń ,
tryb vlan na „use tag” , tag 11 .
Po wpięciu AP w switcha gdzie na wyjściu mam 2 VLANY tagowane, mam:
Laptop łączy się po wifi z AP i uzyskuje adres IP z VLAN 11
nie mogę się zalogować na AP nawet z WinBox-a
Gdy wepnę laptopa do switcha w port oczywiście nie tagowany ale VLANu 9 przy użyciu WinBox wyszukam AP i mogę się na niego zalogować po MAC bo IP jest 0.0.0.0
Co powinienem zrobić na tym cAPie aby pobierał z DHCP IP z VLAN 9 do zarządzania?