weedman Posted February 5 Posted February 5 (edited) Здравствуйте, друзья. На сколько мне известно, в интернете есть три подхода к настройке vlan на mikrotik: Первый - Настройка switch чипа через его меню (пробовал так только пару раз, матерился) Второй - Через vlan на интерфейсе. Далее, по необходимости - бриджевание его с нужным интерфейсом, получая access порт. (знаю что так не правильно, получаются больше одного бриджа и нагрузка идет через проц. Судя по всему, я не работал с такими конфигурациями, где это могло стать проблемой) Третий - рекомендуемый со времен csr3** - Создаю бридж, добавляю в него все нужные порты. в Bridge vlan, добавляю vlan. В свойствах добавляю untag=bridgeX+необходимые порты для access портов, в tagged - необходимые транки. Дальнейшие настройки в interface vlan Вопросы по третьему варианту, расставлению галочек и выбору опций Frame types. В мануале, после активации vlan filtering на бридже, нужно выбрать вариант frame types между admit all, admit only VLAN tagged и admit only untagged and priority tagged Для транковых портов выбираю admit only VLAN tagged, для эксес портов – admit only untagged and priority tagged. Какие минусы если оставить как есть – admit all? Что значит priority tagged в “admit only untagged and priority tagged”? Ну и дополнительный вопрос: Чтобы заработали access порты, нужно заменить PVID 1 на необходимый. Если просто заменить PVID на порту, без добавления его во всех действиях выше, он не заработает как access порт для этого PVID? Edited Saturday at 06:58 AM by weedman Вставить ник Quote
jffulcrum Posted February 5 Posted February 5 9 часов назад, weedman сказал: admit only untagged and priority tagged Это значит что у кадра есть заголовок DSCP, но нет VLAN. Трогать эти настройки стоит только когда порт к малодоверенному партнёру, и хочется исключить возможность поднасрать (хотя, эта возможность есть лишь при других ошибках в конфигурации) 9 часов назад, weedman сказал: Чтобы заработали access порты, нужно заменить PVID 1 на необходимый. Если просто заменить PVID на порту, без добавления его во всех действиях выше, он не заработает как access порт для этого PVID? It depends. Точнее, зависит от свойства порта ingress-filtering. Если оно не взведено - в большинстве случаев порт будет работать как access том VLAN, что в PVID задан. Но на CPU кадры из него не попадут, то есть L2 - да, L3 - нет. Но есть железки, на которых такой порт вообще ничего не будет принимать по факту, из-за особенностей свитча (CRS1xx вроде) Вставить ник Quote
seregaelcin Posted Friday at 07:36 PM Posted Friday at 07:36 PM Самый правильный подход - это один бридж и во вкладке вланы рулим. Если не понятно читаем официальные доки или смотрим курсы микротовода всея руси Козлова Романа. Он эти темы разжевывал не один раз. Вставить ник Quote
Saab95 Posted Friday at 08:09 PM Posted Friday at 08:09 PM 31 минуту назад, seregaelcin сказал: Самый правильный подход - это один бридж и во вкладке вланы рулим. Оно так и есть. На порту можно указать только один влан, например если это абонентский порт и на нем нужно снимать тэг. Если это транковый порт, тогда можно ничего не настраивать, данные и так через него пойдут, а можно в списке вланов добавлять правила с указаниями какие номера куда могут ходить. Достаточно стенд на столе собрать и "потыкать" - ничего сложного нет. Еще нужно mac-server отключить на не нужных портах, отображение списка соседей и т.п. Вставить ник Quote
weedman Posted Saturday at 06:45 AM Author Posted Saturday at 06:45 AM Спасибо я получил ответы на вопросы, но возникли другие. Прошу посмореть тему Влияние меток DCSP на работу беспроводной сети Вставить ник Quote
mafijs Posted Saturday at 08:22 AM Posted Saturday at 08:22 AM mac-server отключить НЕ нужно. После включения vlan-filtering на bridge клиенты, которые поддключены к access протами уже не видит по МАС ничего, кроме GW. И подключение по МАС не возможно. И транковые порты тоже настраивать нужно. Подключение по МАС или по ИР после включения vlan-filtering на bridge доступно только по MGMT vlan. В процессе настройки желательнрвывести один порт, допустим 24, из bridge и настраивать подключаясь по МАС через этот порт. Но сааб95 это неосилил. Выше уже написали смотреть официальную документацию и ролики Козлова Романа. Вставить ник Quote
Saab95 Posted Sunday at 06:24 PM Posted Sunday at 06:24 PM В 07.02.2026 в 11:22, mafijs сказал: Но сааб95 это неосилил. У нас IPoE на всей сети, куда уж там. В какой-нито дальней тупиковой ветки сети можно воткнуть хоть RB750 и на нем раздать услугу для 4-х клиентов. Или через сотовый модем подключить абонента со своим адресом где угодно. А тут вланы какие-то обсуждают=) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.