weedman Posted February 5 Posted February 5 (edited) Здравствуйте, друзья. На сколько мне известно, в интернете есть три подхода к настройке vlan на mikrotik: Первый - Настройка switch чипа через его меню (пробовал так только пару раз, матерился) Второй - Через vlan на интерфейсе. Далее, по необходимости - бриджевание его с нужным интерфейсом, получая access порт. (знаю что так не правильно, получаются больше одного бриджа и нагрузка идет через проц. Судя по всему, я не работал с такими конфигурациями, где это могло стать проблемой) Третий - рекомендуемый со времен csr3** - Создаю бридж, добавляю в него все нужные порты. в Bridge vlan, добавляю vlan. В свойствах добавляю untag=bridgeX+необходимые порты для access портов, в tagged - необходимые транки. Дальнейшие настройки в interface vlan Вопросы по третьему варианту, расставлению галочек и выбору опций Frame types. В мануале, после активации vlan filtering на бридже, нужно выбрать вариант frame types между admit all, admit only VLAN tagged и admit only untagged and priority tagged Для транковых портов выбираю admit only VLAN tagged, для эксес портов – admit only untagged and priority tagged. Какие минусы если оставить как есть – admit all? Что значит priority tagged в “admit only untagged and priority tagged”? Ну и дополнительный вопрос: Чтобы заработали access порты, нужно заменить PVID 1 на необходимый. Если просто заменить PVID на порту, без добавления его во всех действиях выше, он не заработает как access порт для этого PVID? Edited February 7 by weedman Вставить ник Quote
jffulcrum Posted February 5 Posted February 5 9 часов назад, weedman сказал: admit only untagged and priority tagged Это значит что у кадра есть заголовок DSCP, но нет VLAN. Трогать эти настройки стоит только когда порт к малодоверенному партнёру, и хочется исключить возможность поднасрать (хотя, эта возможность есть лишь при других ошибках в конфигурации) 9 часов назад, weedman сказал: Чтобы заработали access порты, нужно заменить PVID 1 на необходимый. Если просто заменить PVID на порту, без добавления его во всех действиях выше, он не заработает как access порт для этого PVID? It depends. Точнее, зависит от свойства порта ingress-filtering. Если оно не взведено - в большинстве случаев порт будет работать как access том VLAN, что в PVID задан. Но на CPU кадры из него не попадут, то есть L2 - да, L3 - нет. Но есть железки, на которых такой порт вообще ничего не будет принимать по факту, из-за особенностей свитча (CRS1xx вроде) Вставить ник Quote
seregaelcin Posted February 6 Posted February 6 Самый правильный подход - это один бридж и во вкладке вланы рулим. Если не понятно читаем официальные доки или смотрим курсы микротовода всея руси Козлова Романа. Он эти темы разжевывал не один раз. Вставить ник Quote
Saab95 Posted February 6 Posted February 6 31 минуту назад, seregaelcin сказал: Самый правильный подход - это один бридж и во вкладке вланы рулим. Оно так и есть. На порту можно указать только один влан, например если это абонентский порт и на нем нужно снимать тэг. Если это транковый порт, тогда можно ничего не настраивать, данные и так через него пойдут, а можно в списке вланов добавлять правила с указаниями какие номера куда могут ходить. Достаточно стенд на столе собрать и "потыкать" - ничего сложного нет. Еще нужно mac-server отключить на не нужных портах, отображение списка соседей и т.п. Вставить ник Quote
weedman Posted February 7 Author Posted February 7 Спасибо я получил ответы на вопросы, но возникли другие. Прошу посмореть тему Влияние меток DCSP на работу беспроводной сети Вставить ник Quote
mafijs Posted February 7 Posted February 7 mac-server отключить НЕ нужно. После включения vlan-filtering на bridge клиенты, которые поддключены к access протами уже не видит по МАС ничего, кроме GW. И подключение по МАС не возможно. И транковые порты тоже настраивать нужно. Подключение по МАС или по ИР после включения vlan-filtering на bridge доступно только по MGMT vlan. В процессе настройки желательнрвывести один порт, допустим 24, из bridge и настраивать подключаясь по МАС через этот порт. Но сааб95 это неосилил. Выше уже написали смотреть официальную документацию и ролики Козлова Романа. Вставить ник Quote
Saab95 Posted February 8 Posted February 8 В 07.02.2026 в 11:22, mafijs сказал: Но сааб95 это неосилил. У нас IPoE на всей сети, куда уж там. В какой-нито дальней тупиковой ветки сети можно воткнуть хоть RB750 и на нем раздать услугу для 4-х клиентов. Или через сотовый модем подключить абонента со своим адресом где угодно. А тут вланы какие-то обсуждают=) Вставить ник Quote
Fint Posted May 28 Posted May 28 (edited) Всех приветную. Помогите разобраться, лыжи не едут. имеется ccr2004 на порт sfp1 повешен вилан, по нему приходит интернет. на sfp2 повешены куча вланов, уходят в сеть. Понадобилось по sfp1 принять еще 1 вилан и отдать его с ether1 untagом. Повесил влиан на sfp1, добавил в брижд созданный вилан и ether1 - и ничего не произошло. ccr2004 на ROS7, попробовал через Bridge VLAN Filtering, вилан повесил на бридж - и опять ничего... что я делаю не так? /interface bridge print detail Flags: D - dynamic; X - disabled, R - running 0 R name="bridge_216" mtu=auto actual-mtu=1500 l2mtu=1596 arp=enabled arp-timeout=auto mac-address=04:F4:1C:00:99:E8 protocol-mode=rstp fast-forward=yes igmp-snooping=no auto-mac=yes ageing-time=5m priority=0x8000 max-message-age=20s forward-delay=15s transmit-hold-count=6 vlan-filtering=yes ether-type=0x8100 pvid=216 frame-types=admit-all ingress-filtering=yes dhcp-snooping=no port-cost-mode=long mvrp=no max-learned-entries=auto 1 R name="bridge_EoIP" mtu=auto actual-mtu=1458 l2mtu=1596 arp=enabled arp-timeout=auto mac-address=04:F4:1C:00:99:E9 protocol-mode=rstp fast-forward=yes igmp-snooping=no auto-mac=yes ageing-time=5m priority=0x9000 max-message-age=20s forward-delay=15s transmit-hold-count=6 vlan-filtering=no dhcp-snooping=no port-cost-mode=long mvrp=no max-learned-entries=auto /interface bridge port print Flags: H - HW-OFFLOAD Columns: INTERFACE, BRIDGE, HW, PVID, PRIORITY, HORIZON # INTERFACE BRIDGE HW PVID PRIORITY HORIZON 0 eoip-tunnel1 bridge_EoIP 1 0x80 none 1 Ypravlenie bridge_EoIP 1 0x80 none 2 H ether1 bridge_216 yes 216 0x80 none 3 sfp-sfpplus1 bridge_216 yes 216 0x80 none /interface bridge vlan print Columns: BRIDGE, VLAN-IDS, CURRENT-TAGGED, CURRENT-UNTAGGED # BRIDGE VLAN-IDS CURRENT-TAGGED CURRENT-UNTAGGED 0 bridge_216 216 bridge_216 ether1 sfp-sfpplus1 Edited May 28 by Fint Вставить ник Quote
jffulcrum Posted May 28 Posted May 28 Если Bridge VLAN Filtering, то Ether1 надо PVID 216 задать Вставить ник Quote
Fint Posted May 28 Posted May 28 (edited) 1 час назад, jffulcrum сказал: Если Bridge VLAN Filtering, то Ether1 надо PVID 216 задать PVID указан UP. Странные странности. Для проверки собрал стенд на том же роутере, использовал только медные порты эзер4 и эзер5. Успешно пробросил Vlan, которого на самом роутере нет, между портами, устройства на портах соединились.. Проверил обоими способами. 1 способ: повесил Vlan.73 на ether5. создал бридж, в него добавил порты: ether4 и Vlan.73. dhcp роутера1, находящийся во vlan73, за портом ccr ethet5, успешно выдал адрес роутеру2 за портом ccr ether4. 2 способ: создал бридж добавил в бридж ether4 и ether5, у ether4 указал PVID73 добавил vlan в бридже, ether5 tag, ether4 untag. Все заработало. Даже без добавления самого бриджа самого в себя тагом во вкладке vlan бриджда. И без навешивания vlan интерфейса на бридж. Это что то видимо для L3, в L2 без этого работает. Почему все тоже самое не работает между SFP+ и Ether1? Edited May 28 by Fint Вставить ник Quote
mafijs Posted May 28 Posted May 28 Quote Почему все тоже самое не работает между SFP+ и Ether1? Смотреть здесь. Вставить ник Quote
Fint Posted May 28 Posted May 28 49 минут назад, mafijs сказал: Смотреть здесь. Через проц же должно работать? Как заставить? 🙂 Вставить ник Quote
jffulcrum Posted May 28 Posted May 28 8 часов назад, Fint сказал: 3 sfp-sfpplus1 bridge_216 yes 216 0x80 none противоречит 8 часов назад, Fint сказал: 0 bridge_216 216 bridge_216 ether1 sfp-sfpplus1 216 должен быть или untagged, или же pvid для порта должен быть другим Вставить ник Quote
Saab95 Posted May 28 Posted May 28 5 часов назад, Fint сказал: Через проц же должно работать? Как заставить? Свиччипа там же нет, поэтому только программный режим через бридж. Вставить ник Quote
Fint Posted May 29 Posted May 29 9 часов назад, jffulcrum сказал: противоречит 216 должен быть или untagged, или же pvid для порта должен быть другим не понял. bridge_216 должен быть untagget в /interface bridge vlan? pvid ether1 в /interface bridge port должен быть не 216 а например 1? 7 часов назад, Saab95 сказал: Свиччипа там же нет, поэтому только программный режим через бридж. так, вопрос в том, как его заставить программно работать? Вставить ник Quote
jffulcrum Posted May 29 Posted May 29 У вас для sfp1 задан pvid 216, а в свойствах моста он как tagged член VLAN Вставить ник Quote
Fint Posted May 30 Posted May 30 (edited) 12 часов назад, jffulcrum сказал: У вас для sfp1 задан pvid 216, а в свойствах моста он как tagged член VLAN На sfp1 приходит тегированный трафик, значит в бридж портах у sfp1 изменить pvid? поставить 1? up сейчас оно так и есть, трафик не идет: /interface bridge port print Flags: H - HW-OFFLOAD Columns: INTERFACE, BRIDGE, HW, PVID, PRIORITY, HORIZON # INTERFACE BRIDGE HW PVID PRIORITY HORIZON 0 eoip-tunnel1 bridge_EoIP 1 0x80 none 1 Ypravlenie bridge_EoIP 1 0x80 none 2 H ether13 bridge_216 yes 216 0x80 none 3 sfp-sfpplus1 bridge_216 yes 1 0x80 none /interface bridge vlan print Flags: D - DYNAMIC Columns: BRIDGE, VLAN-IDS, CURRENT-TAGGED, CURRENT-UNTAGGED # BRIDGE VLAN-IDS CURRENT-TAGGED CURRENT-UNTAGGED 0 bridge_216 216 bridge_216 ether13 sfp-sfpplus1 ;;; added by pvid 1 D bridge_216 1 bridge_216 sfp-sfpplus1 Edited May 30 by Fint Вставить ник Quote
jffulcrum Posted May 30 Posted May 30 Если я правильно понял задачу, то: - В SFP1 приходил два VLAN с Интернет - Один из них используется самим роутером - Второй надо отдать в Ether1 нетегированным (пробросить на другое устройство) В итоге: SPF1 состоит tagged членом обеих VLAN. Его PVID условно 1 (любой, отсутствующий где-либо еще на роутере) Ether1 состоит untagged во втором VLAN. Его PVID равен номеру этого VLAN Сам мост состоит tagged в первом VLAN. Его PVID тоже условно 1 В Interfaces вы создаете VLAN интерфейс дочерним к мосту с номером первого VLAN. На него перебрасываете IP и правила FW Для второго VLAN интерфейса не создается - он транзитный, роутер его видит только по L2 Указанная задача должна решаться так. Ваша задача такова? Вставить ник Quote
Fint Posted June 1 Posted June 1 (edited) В 30.05.2026 в 11:45, jffulcrum сказал: Если я правильно понял задачу, то: - В SFP1 приходил два VLAN с Интернет - Один из них используется самим роутером - Второй надо отдать в Ether1 нетегированным (пробросить на другое устройство) В итоге: SPF1 состоит tagged членом обеих VLAN. Его PVID условно 1 (любой, отсутствующий где-либо еще на роутере) Ether1 состоит untagged во втором VLAN. Его PVID равен номеру этого VLAN Сам мост состоит tagged в первом VLAN. Его PVID тоже условно 1 В Interfaces вы создаете VLAN интерфейс дочерним к мосту с номером первого VLAN. На него перебрасываете IP и правила FW Для второго VLAN интерфейса не создается - он транзитный, роутер его видит только по L2 Указанная задача должна решаться так. Ваша задача такова? Да. Edited June 1 by Fint Вставить ник Quote
Fint Posted June 1 Posted June 1 (edited) В 30.05.2026 в 11:45, jffulcrum сказал: SPF1 состоит tagged членом обеих VLAN. Его PVID условно 1 (любой, отсутствующий где-либо еще на роутере) В Interfaces вы создаете VLAN интерфейс дочерним к мосту с номером первого VLAN. На него перебрасываете IP и правила FW 219 VLAN в бридже нет, он в Interfaces создан дочерним к SPF1. собрал первый vlan (219), как описано в сообщении, через бридж. Не работает. в /interface bridge hosts необходимые MAC появляются /interface bridge port print Flags: H - HW-OFFLOAD Columns: INTERFACE, BRIDGE, HW, PVID, PRIORITY, HORIZON # INTERFACE BRIDGE HW PVID PRIORITY HORIZON 2 H ether1 bridge_Sfp+1 yes 216 0x80 none 3 sfp-sfpplus1 bridge_Sfp+1 yes 1 0x80 none /interface bridge vlan print Flags: D - DYNAMIC Columns: BRIDGE, VLAN-IDS, CURRENT-TAGGED, CURRENT-UNTAGGED # BRIDGE VLAN-IDS CURRENT-TAGGED CURRENT-UNTAGGED 0 bridge_Sfp+1 216 bridge_Sfp+1 ether13 sfp-sfpplus1 ;;; added by pvid 1 D bridge_Sfp+1 1 bridge_Sfp+1 sfp-sfpplus1 2 bridge_Sfp+1 219 bridge_Sfp+1 sfp-sfpplus1 /interface vlan print Flags: R - RUNNING Columns: NAME, MTU, ARP, VLAN-ID, INTERFACE # NAME MTU ARP VLAN-ID INTERFACE 0 R 1UPLINK_Sfp+1 1500 enabled 219 bridge_Sfp+1 /interface bridge host print Flags: D - DYNAMIC; L - LOCAL; E - EXTERNAL Columns: MAC-ADDRESS, VID, ON-INTERFACE, BRIDGE # MAC-ADDRESS VID ON-INTERFACE BRIDGE 60 DL --:--:--:--:--:-- bridge_Sfp+1 bridge_Sfp+1 61 D --:--:--:--:--:-- 1 sfp-sfpplus1 bridge_Sfp+1 62 DL --:--:--:--:--:-- 1 bridge_Sfp+1 bridge_Sfp+1 63 D --:--:--:--:--:-- 1 sfp-sfpplus1 bridge_Sfp+1 64 DL --:--:--:--:--:-- 216 bridge_Sfp+1 bridge_Sfp+1 65 D E --:--:--:--:--:-- 216 ether13 bridge_Sfp+1 66 D --:--:--:--:--:-- 216 sfp-sfpplus1 bridge_Sfp+1 67 D E --:--:--:--:--:-- 216 ether13 bridge_Sfp+1 68 D --:--:--:--:--:-- 216 sfp-sfpplus1 bridge_Sfp+1 69 DL --:--:--:--:--:-- 219 bridge_Sfp+1 bridge_Sfp+1 70 D --:--:--:--:--:-- 219 sfp-sfpplus1 bridge_Sfp+1 Edited June 2 by Fint Вставить ник Quote
jffulcrum Posted June 2 Posted June 2 Какая точно версия ROS? Какое устройство за Ether13? У провайдера, который VLAN 216 поставляет, нет привязок к MAC? Вставить ник Quote
Fint Posted June 3 Posted June 3 (edited) В 02.06.2026 в 10:57, jffulcrum сказал: Какая точно версия ROS? ROS 7.18.2 на ней роутер не перезагружается. В 02.06.2026 в 10:57, jffulcrum сказал: Какое устройство за Ether13? У провайдера, который VLAN 216 поставляет, нет привязок к MAC? нет upd. Всё работает. Перезапустили соединение на той стороне... Edited June 3 by Fint Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.