[alibek]

Есть Микротик RB2011 и управляемый коммутатор. Используется 4 VLAN: VLAN9 (управление), VLAN10 (офисная сеть) и еще два.

На коммутаторе порт, подключенный к маршрутизатору, настроен как trunk, в нем разрешены vlan9-vlan12. В vlan9 создан интерфейс управления 192.168.9.201/24. Порты с 1 по 24 настроены как access, задан vlan10.

Микротик настроен так.

1. Создаю мост bridge1, в мост добавляю порты с 1 по 10.

2. Настраиваю свитч и порты (Switch - Port). Порты с 1 по 5 настраиваю так: VLAN Mode: check, VLAN Header: leave as is, Default VLAN ID: не задан. Порты с 6 по 10 настраиваю так: VLAN Mode: disabled, VLAN Header: always strip, Default VLAN ID: 10. В порт 1 включен коммутатор, в порт 10 включен тестовый компьютер.

3. Создаю VLAN (Interfaces - VLAN), с vlan9 по vlan12. Интерфейсом указываю bridge1.

5. Добавляю созданные vlan-интерфейсы в bridge1 (Bridge - Ports).

6. Создаю SVI (IP - Address), для интерфейсов vlan9-vlan12 создаю IP-адреса 192.168.9.250/24, 192.168.10.250/24, 192.168.11.250/24, 192.168.12.250/24.

5. Настраиваю DHCP для локальной сети (IP - DHCP Server), на интерфейсе bridge1 для сети 192.168.10.0/24.

 

Здесь на тестовом компьютере появляется сеть и доступ в интернет. С компьютера я пингую 192.168.10.250 и 192.168.9.250.

Но на коммутатор зайти не могу. И с коммутатора 192.168.9.250 не пингуется. На транковом порту MAC-адреса вижу почему-то в vlan1 и в vlan9, vlan10 там не присутствует.

Если тестовый компьютер подключаю в коммутатор, то сети нет.

 

Что этому микротику нужно?

[Saab95]

Понимание того, что хотите получить. Если используете свиччип, то забудьте про бридж. Если бридж, то используйте его.

 

Напишите или нарисуйте схему, откуда приходят вланы и на какие порты с микротика что должно уйти.

[alibek]

Ничего не понял.

 

Схема такая.

Нужно организовать сеть, в сети должно быть четыре VLAN:

VLAN 9 - управление сетевым оборудованием, подсеть 192.168.9.0/24, шлюз 192.168.9.250.

VLAN 10 - офисная сеть, подсеть 192.168.10.0/24, шлюз 192.168.10.250.

VLAN 11 - IP-телефоны, подсеть 192.168.11.0/24, шлюз 192.168.11.250.

VLAN 12 - что-нибудь еще, подсеть 192.168.12.0/24, шлюз 192.168.12.250.

 

Есть четыре управляемых коммутатора L2+, есть маршрутизатор Mikrotik.

 

На коммутаторах я настраиваю порты доступа (режим access, vlan в соответствии с задачей 9, 10 или 11).

Все коммутаторы включаются в Микротик, порт аплинка (порт 25) настроен как trank, разрешены vlan 9,10,11,12.

На коммутаторах доступа настроен интерфейс управления в VLAN 9, IP-адреса коммутаторов 192.168.9.201/24, 192.168.9.202/24, 192.168.9.203/24 и 192.168.9.204/24. Шлюзом указан 192.168.9.250.

 

На Микротике интернет приходит в sfp1, порты с 1 по 4 используются для подключения коммутаторов (должны быть транковые, пропускать vlan 9-12). Порты с 6 по 10 настроены под подключение офисной сети (vlan 10).

 

Если используете свиччип, то забудьте про бридж.

К какому интерфейсу тогда привязать vlan? У меня они могут приходить с любого порта.

[alibek]

Непонятен один момент.

 

[admin@border] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic
#   ADDRESS            NETWORK         INTERFACE
1   192.168.10.250/24  192.168.10.0    vlan-office
2   192.168.11.250/24  192.168.11.0    vlan-voip
3   192.168.12.250/24  192.168.12.0    vlan-ipcam
4   192.168.9.250/24   192.168.9.0     vlan-mgmt
5 D AA.AA.109.134/32   AA.AA.111.254   internet

 

[admin@border] > /ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 ADS  0.0.0.0/0                          AA.AA.111.254             1
2 ADC  AA.AA.111.254/32   AA.AA.109.134   internet                  0
3 ADC  192.168.9.0/24     192.168.9.250   bridge1                   0
4 ADC  192.168.10.0/24    192.168.10.250  bridge1                   0
5 ADC  192.168.11.0/24    192.168.11.250  bridge1                   0
6 ADC  192.168.12.0/24    192.168.12.250  bridge1                   0

 

Почему IP-адреса созданы на vlan-интерфейсах, а в таблице маршрутизации интерфейс бриджа?

[NikAlexAn]

Схема такая.

Насколько я понял Вам нужно организовать маршрутизацию вланов на RouterOS.

Я не эксперт по микротику но мне кажется что в этом случае Вам надо:

1. вернуть настройки Свич и Свич-Порт в дефолт

2. Создать бриджи по количеству вланов(параметры STP задаются в настройках бриджа)

3. На тех портах где будет тэгированный трафик создать интерфейсы типа PortX-VlanY с необходимыми VID

4. В соответствующие бриджи(для каждого VID - отдельный бридж) добавить интерфейсы PortX-VlanY(это для транковых портов) и EthernetZ(для нетэгированных портов)

5. Бриджам присвоить соответствующие IP

 

Вроде так.

[Saab95]

На Микротике интернет приходит в sfp1, порты с 1 по 4 используются для подключения коммутаторов (должны быть транковые, пропускать vlan 9-12). Порты с 6 по 10 настроены под подключение офисной сети (vlan 10).

 

Тогда вам надо создать бридж и объединить в него порты sfp1, 1, 2, 3 и 4.

Далее создаете влан с номером 10 на этом бридже.

Создаете второй бридж и добавляете в него порты 6-10, а так же интерфейс vlan10.

 

Все настройки свиччипов удаляете.

Если нужно управлять самим микротиком по какому-то влану, то на первом бридже создаете влан управления и вешаете IP адрес на него.

[NikAlexAn]

 

Тогда вам надо создать бридж и объединить в него порты sfp1, 1, 2, 3 и 4.

Далее создаете влан с номером 10 на этом бридже.

Создаете второй бридж и добавляете в него порты 6-10, а так же интерфейс vlan10.

 

Во как ещё оказывается можно.

[alibek]

объединить в него порты sfp1

А sfp зачем? sfp это интернет, к локальной сети он не относится.

И логики я все-равно не понял.

Я хочу сделать четыре виртуальные сетки, которые будут общаться между собой через маршрутизатор.

Почему нужно делать два бриджа, а не один общий?

[Saab95]

Почитайте вот тут про работу с вланами на микротике - http://www.lanmart.ru/blogs/how-to-become-isp-3/

 

Вы можете либо объединить порты в бридж, тогда они пропустят все вланы через себя. Если у вас идет нативным интернет, тогда создаете общий бридж, но убираете из него порты 1-4, на первом бридже создаете нужные вланы, которые бриджуете во второй бридж и туда же 1-4 порты. Если не хотите, что бы вланы ходили в абонентские порты, создайте на бридже фильтр, который заблокирует пропуск вланов по нему.

[alibek]

Тогда вам надо создать бридж и объединить в него порты sfp1, 1, 2, 3 и 4.

Далее создаете влан с номером 10 на этом бридже.

Создаете второй бридж и добавляете в него порты 6-10, а так же интерфейс vlan10.

Сделал так.

Создал bridge-core, добавил в него порты 1-5, создал в нем vlan9-vlan12.

Создал bridge-office, добавил в него порты 6-10, добавил vlan10.

Создал DHCP-сервер на bridge-office.

Интернет пока не настраивал, вроде бы вся локальная сеть работает как надо.

Но у разработчиков Mikrotik явно в головном мозгу аскариды живут.

[Saab95]

Сделал так.

Создал bridge-core, добавил в него порты 1-5, создал в нем vlan9-vlan12.

Создал bridge-office, добавил в него порты 6-10, добавил vlan10.

Создал DHCP-сервер на bridge-office.

Интернет пока не настраивал, вроде бы вся локальная сеть работает как надо.

Но у разработчиков Mikrotik явно в головном мозгу аскариды живут.

 

Просто в данном случае подход к настройке другой, если приводить аналогию с коммутаторами.