Меню

Как настроить trunk mikrotik

Mikrotik – настраиваем VLAN (Trunk, Access и Hybrid порты) и STP

Научиться настройке MikroTik можно на онлайн курсе по оборудованию этого производителя. Автор курса является сертифицированным тренером MikroTik. Подробней Вы можете прочитать в конце статьи.

Любое устройство RouterOS с трафиком, проходящим через центральный процессор, работает как маршрутизатор 3 уровня и по умолчанию пересылает пакеты между всеми подключенными сетями. Чтобы внести изменения в процесс пересылки необходимо использовать ACL или брандмауэр.

VLAN (узнать, что такое виртуальная частная сеть, вы можете перейдя по ссылке) абстрагирует идею локальной сети (LAN), предоставляя возможность для подсетей подключения к данным организации. Сетевые коммутаторы могут поддерживать несколько независимых сегментов виртуальных сетей, создавая 2 уровня 2 (канала передачи данных). VLAN связана с широковещательным доменом. Обычно он состоит из одного или нескольких коммутаторов Ethernet.

Порт доступа (access port / untagged) предназначен для приема/передачи пакетов без маркировки. Обычно это порт, к которому вы подключаете такие устройства, как серверы, клиентские компьютеры, принтеры и телефоны.

Магистральный порт (trunk port / tagged) обычно используется для подключения к L2 коммутаторам. Маршрутизатор принимает и пересылает пакеты из разных VLAN. Маркированные кадры от нескольких абонентов приходят на один порт.

Гибридный порт (hybrid port) будет разрешать как нетегированные, так и маркированные пакеты на одном и том же порту. Это может быть использовано для клиента, которому нужны как обычные нетегированные интернет-данные, так и отдельная защищенная сеть VLAN. Например, настольный телефон с подключенным компьютером через встроенный switch.

Благодаря виланам можно контролировать и сегментировать широковещательные запросы в сети. Транкинг виртуальных частных сетей позволяет передавать маркированный трафик между разными сегментами сети, сконфигурированными с помощью VLAN.

Благодаря транкам обеспечивается связь точка-точка между двумя сетевыми устройствами, к которых подключены устройства из более, чем одного VLAN сегмента. С помощью trunk соединений VLAN вы можете распространить настройки сегментации по всей сети. Большинство коммутаторов поддерживают протокол IEEE 802.1Q.

Настраиваем VLAN – пример 1 – магистральные (trunk) порты и порты доступа (access)

Роутерборды компании Микротик с чипами коммутации Atheros могут быть использованы для 802.1Q Trunking.
В данном примере ether3, ether4 и ether5 интерфейсы портов доступа (access), в то время как ether2 является магистральным портом (trunk). Идентификаторы VLAN для каждого порта доступа: ether3 – 200, ether4 – 300, ether5 – 400.tra

  • Создадим группу портов коммутации выбрав один мастер-порт и назначая его остальным:
  • Добавим записи в таблицу VLAN для коммутации кадров с определенными VLAN-идентификаторами между портами:
  • Назначим “vlan-mode” и “vlan-header” для каждого порта, а также “default-vlan-id” на входе для каждого порта доступа:

Параметр “vlan-mode=secure” обеспечивает точное следование таблице VLAN.
Параметр “vlan-header=always-strip” для портов доступа убирает заголовок VLAN из кадра когда он покидает чип коммутации.
Параметр “vlan-header=add-if-missing” для магистрального порта добавляет заголовок VLAN к немаркированным кадрам.
Параметр “Default-vlan-id” определяет какой VLAN ID добавляется к немаркированному входящему трафику для порта доступа.

Настраиваем VLAN – пример 2 – магистральные (trunk) порты и гибридные порты доступа (hybrid)

Гибридные порты VLAN, которые могут пересылать как маркированный, так и немаркированный трафик поддерживаются только некоторыми гигабитными чипами коммутации (QCA8337, AR8327)

  • Создать группу коммутируемых портов:
  • Добавим записи в таблицу VLAN для разрешения коммутации между портами кадров с определенными VLAN идентификаторами:
  • В меню настройки коммутатора задайте параметр “vlan-mode” на всех портах, для гибридных портов — “default-vlan-id”:

Параметр “Vlan-mode=secure” обеспечит строгое следование таблице VLAN.
Параметр “Default-vlan-id” определит VLAN на порту для немаркированного входящего трафика.
Для гигабитных чипов коммутации использование параметра “vlan-mode=secure” позволяет игнорировать параметр “vlan-header”. Элементы таблицы VLAN управляют процессом маркирования исходящего трафика и работают на всех портах как “vlan-header=leave-as-is”.
Это означает, что приходящий маркированный трафик уходит также маркированным, только кадры с параметром “default-vlan-id” демаркируются на выходе из порта.

Управление IP конфигурацией

В этом примере мы разберем одну из возможных конфигураций управляющего IP-адреса. Управляющий IP будет доступен только через магистральный порт, и он будет иметь отдельный VLAN с идентификатором 99.

  • Добавьте запись в таблицу VLAN для разрешения управляющего трафика через порт процессор-коммутатор (switch-cpu) и магистрального порта (trunk):
  • Настройте порт, который соединяет коммутатор-чип с CPU, установите параметр “vlan-header=leave-as-is”, потому что трафик управления уже должен быть маркирован.
  • Добавьте VLAN 99 и присвойте ему IP-адрес. Так как мастер-порт получает весь трафик, поступающий от switch-cpu порта, VLAN должен быть настроен для мастер-порта, в данном случае “ether2”.
Читайте также:  Как настроить стиль шрифта

Протокол Spanning Tree

Начиная с RouterOS v6.38 Роутерборды поддерживают протоколы Spanning Tree, на портах сконфигурированных для коммутации с помощью аппаратной коммутации. Чтобы включить эту функцию создайте интерфейс моста и добавьте мастер-порт к нему.

  • Создать группу коммутируемых портов
  • Создайте интерфейс моста и добавьте мастер-порт к нему
  • Ведомые порты динамически добавляются к мосту только для отображения состояния STP. Пересылка через коммутируемые порты все еще обрабатывается с помощью аппаратного коммутатора.

Видеоинструкция

MikroTik: куда нажать, чтобы заработало?
При всех своих достоинствах, есть у продукции компании MikroTik один минус – много разобщенной и далеко не всегда достоверной информации о ее настройке. Рекомендуем проверенный источник на русском языке, где все собрано, логично и структурировано – видеокурс « Настройка оборудования MikroTik ». В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект. Все материалы остаются у вас бессрочно. Начало курса можно посмотреть бесплатно, оставив заявку на странице курса. Автор курса является сертифицированным тренером MikroTik.

Источник



Mikrotik настройка trunk на нескольких портах

Приветствую всех! Хотел поделится простой настройкой, как сделать несколько trunk портов на роутере Mikrotik. Пусть это будет ещё одним из способов, среди остальных описанных в Интернете, который поможет вспомнить, как это сделать. Итак начнём!

Давайте придумаем сеть, в которой будут следующие vlan-ы:

  • vlan 150: сеть для роутеров и серверов
  • vlan 151: сеть для пользователей
  • vlan 152: сеть для бухгалтерии
  • vlan 153: гостевая сеть

Для экспериментов можно взять образ RouterOS — VirtualBox, который можно скачать на официальном сайте, под названием Cloud Hosted Router. Далее создаём виртуальную машину для роутера, выделаем ей 128 Мб ОЗУ и для примера 5 сетевых портов. Запускаем виртуальную машину и подключившись WinBox-ом к роутеру начинаем конфигурацию. Порты можно распределить так:

  • ether1 – будет access портом для vlan 151
  • ether2 – будет access портом для vlan 152
  • ether3 – будет access портом для vlan 153
  • ether4 – trunk
  • ether5 – trunk

Теперь объединим порты для trunk мостом. Создаём мост и обзываем его, к примеру bridge-trunk.

После в созданный мост добавляем порты

Так же добавляем ether5 в мост.

Теперь можно на только что созданный мост повестить требуемые нам vlan-ы, которые надо передавать по trunk портам.

Таким же способом добавляем остальные vlan-ы.

Собственно и всё. Остаётся только раскидать vlan-ы по access портам. Для этого создаём мосты для каждого vlan-а.

И так для vlan 152, 153

И теперь добавляем в эти мосты vlan-ы и нужные ether порты. Получается так:

Готово. Схема которые мы придумали реализована.

Источник

Базовые основы настройки VLAN в RouterOS на оборудовании Mikrotik: «VLAN для чайников», сегментация сети предприятия

Начинающий администратор, обслуживающий малую сеть, как правило, даже не задумывается о таком понятии как VLAN. В то же время, сложно представить современный средний бизнес, не говоря уже о большом, который бы не использовал при построении своей сети технологию VLAN.

Как правило, все инструкции по VLAN достаточно сложные для понимания новичком и, уж тем более, человеком, у которого отсутствует специальное образование по данному направлению.

Для нативного понимания технологии VLAN требуется наличие определенного понимания базовых процессов, происходящих в локальных сетях. И именно такого материала в подавляющем большинстве инструкций нет вообще как таковых. Если же они и имеются, уровень их описания может оказаться слишком сложным для новичка. Именно по этой причине многие начинающие администраторы обходят эту тему стороной, не уделяя ей должного внимания.

Со своей стороны мы подготовили для читателей публикацию, с помощью которой базовые принципы настройки VLAN сможет освоить даже человек без специального образования.

Читайте также:  Как настроить часы vitek 120 projection vt 3508

Некоторые термины и тонкости мы заведомо опустили, для того, чтобы материал был понятен наиболее широкому кругу читателей.

Базовые понятия принципов работы локальных сетей

Подробно рассматривать модель OSI мы не будем, т.к. это отнимет достаточно большое количество времени и усложнит понимание материала. Но в общих чертах понимать модель OSI все же требуется.

Ниже предлагаем вашему вниманию наиболее простую и понятную схему модели OSI.

Первый уровень OSI – физический. Как несложно догадаться, на нем происходит физическая передача данных в виде импульсов. Иными словами это передача битов 0 и 1, независимо от того, какая среда передачи данных используется, будь то витая пара, оптика или даже коаксиал (например, в сетях DOCSIS).

Второй уровень OSI – канальный. На канальном уровне уже появляется такой термин как MAC-адрес.

Вы, наверное, часто встречаете на сайтах производителей сетевого оборудования в описаниях коммутаторов пометку «Layer 2». Это как раз и обозначает то, что коммутатор работает на втором уровне модели OSI.

С понятием MAC-адреса вы сталкиваетесь постоянно, это не что иное, как уникальный физический адрес оборудования, представленный в формате CC:2D:E0:B4:ED:AD. Первые символы МАС-адреса содержат информацию о производителе, именно по этой причине в комплексных мерах повышения безопасности многие администраторы практикуют подмену внешних МАС-адресов на WAN-портах, как один из механизмов маскировки производителя оборудования и усложнения его идентификации. Во избежание конфликтов, МАС-адреса делают уникальными.

Мы сейчас не будем рассматривать хабы (Hub, концентраторы), как устройства, которые окончательно устарели. В то же время вы должны знать, что такие устройства ранее повсеместно использовались. Отличие хаба от коммутатора в том, что хаб всегда дублирует все пакеты на все порты.

На сегодня современные сети строятся с использованием коммутаторов второго уровня (или третьего). Коммутаторы также называют свичами, от английского Switch.

В отличие от хабов, у коммутатора имеется таблица MAC-адресов (MAC-table). В характеристиках коммутатора всегда указан размер данной таблицы, например 2К, 4К или 8К записей. Для более высокоуровневых решений размер таблиц еще больше.

Зачем нужна данная таблица? Во время работы коммутатор анализирует заголовки фреймов (MAC Header) и проверяет, с какого МАС поступил фрейм. После этого МАС отправителя динамически привязывается к конкретному порту.

Если коммутатор получил фрейм с неизвестным ему конечным МАС, он разошлет его на все порты. По сути, это «режим обучения». Затем, после получения ответа от получателя о приеме фрейма, коммутатор привяжет к конкретному порту и МАС получателя. В дальнейшем коммутатор будет слать фреймы только на конкретный порт.

Этим достигается сразу несколько вещей. Во-первых, становится возможным одновременная независимая передача данных на всех портах, она будет ограничена только скоростью порта и возможностями коммутационной матрицы. Во-вторых, повышается безопасность передаваемых данных, т.к. данные будут передаваться только на требуемый порт.

Современные коммутаторы зачастую работают по принципу «Store-and-forward», это так называемая передача с промежуточным хранением. Зачем это нужно и как это работает? Во время получения данных, коммутатор проверяет контрольную сумму, что позволяет избежать передачи поврежденных данных.

Третий уровень OSI – сетевой. Для лучшего понимания, необходимо знать, что на третьем уровне добавляется IP header – заголовок пакета с информацией об IP-адресах. Коммутаторы Layer 2 не обрабатывают IP-заголовки и работают только с «внешним» MAC-заголовком. Для обработки IP header применяются маршрутизаторы Layer 3, которые способны управлять траффиком на основе IP-заголовков.

Существуют также коммутаторы Layer 2 с функциями Layer 3. К примеру, это может быть коммутатор с возможностью статической маршрутизации.

Четвертый уровень OSI – транспортный. На 4-м уровне появляется протоколы TCP и UDP, которые определяют метод доставки информации. Для TCP это доставка пакетов с подтверждением о получении, для UDP – доставка без подтверждения.

Последующие уровни OSI сегодня мы рассматривать не будем, они нам сейчас не интересны. Возвращаемся к Layer 2.

Следующая вещь, которую необходимо знать о коммутаторах это работа с широковещательными пакетами.

Всего в локальной сети существует 3 варианта доставки информации:

Данные термины вы неоднократно встречали, коротко пройдемся по всем.

Unicast это обычная передача данных от устройства А к устройству Б.

Читайте также:  Cmake clion как настроить

Multicast – передача данных нескольким выборочным устройствам, например от устройства А к устройствам Б и Г.

Broadcast – передача данных всем участникам сети, например от устройства А на устройства Б, В и Г. Бродкаст еще называют широковещательными запросами. Отправляются они с использованием адреса FF:FF:FF:FF:FF:FF, такие фреймы принимаются всеми устройствами, входящими в локальную сеть.

Если рассматривать хаб, в нем присутствует 1 широковещательный домен (broadcast domain) и 1 домен коллизий (collision domain). Что это значит? Это значит, что в пределах хаба, широковещательный запрос (FF:FF:FF:FF:FF:FF) передается всем портам, а одновременная передача данных возможна только по одному интерфейсу.

В коммутаторах также 1 широковещательный домен, а вот доменов коллизий столько, сколько портов. Иными словами, широковещательный запрос передается на все порты, но передача данных возможна по всем портам одновременно.

Вот мы плавно и подошли к VLAN. В случае с применением VLAN, бродкастовых доменов будет столько, сколько создано вланов. Это значит, что устройства, находящиеся в разных VLAN смогут отправлять broadcast FF:FF:FF:FF:FF:FF только в пределах своей виртуальной сети.

Что такое VLAN и как это работает

VLAN является сокращением от английского Virtual Local Area Network, обозначающего виртуальную локальную сеть.

Технология VLAN подробно описана в стандарте IEEE 802.1Q и предоставляет возможность объединения устройств в разные логические сети при использовании единой физической среды передачи данных и единого оборудования. По сути, влан эмулирует несколько каналов передачи данных и несколько физических коммутаторов. Собственно для конечных клиентов это так и выглядит.

За счет использования вланов, предприятия и операторы связи могут экономить ресурсы на прокладку сетей, покупку дополнительного оборудования и сетевое администрирование. К тому же влан позволяет обеспечивать повышенную безопасность передаваемых данных, а также обеспечить удаленное управление по защищенному каналу.

VLAN предоставляет огромные преимущества:

виртуализация и деление сети без покупки/установки дополнительного оборудования и линий связи. Вы можете создать 2, 3, 5, 20, сколько угодно подсетей на существующем оборудовании, без прокладки новых кабелей.

изоляция подсетей, изоляция подключенных клиентов;

Стандартом предусмотрено до 4096 VLAN’ов, иногда этого может оказаться мало или недостаточно для реализации сложной сети. Оборудование Mikrotik (под управлением RouterOS) поддерживает технологию вложенных VLAN’ов – QinQ.

Следует четко понимать, что QinQ уменьшает размер MTU (размер пакетов), что чревато фрагментацией пакетов. По этой причине QinQ следует использовать только в случае невозможности реализации иного механизма.

Зачем нужен QinQ и где он используется?

QinQ иногда используется интернет-провайдерами для подключения клиентов, при котором может и не хватить 4+ тысяч VLAN’ов.

Также QinQ может быть использован провайдером для транзита клиентских VLAN через свою сеть. К примеру, у провайдера есть клиент с несколькими подключениями, на каждом из которых есть свои VLAN, при этом заказчик не желает менять VLAN ID на своей стороне, но сам провайдер указанные идентификаторы уже использует.

В этом плане QinQ чем-то напоминает проброс портов, только в данном случае пробрасываются VLAN’ы, обеспечивая для клиента «логический транк».

Принцип работы VLAN

При использовании VLAN, в Ethernet-фреймы внедряется дополнительный заголовок-метка, размером 4 байта:

После добавления метки, коммутатор удаляет из фрейма старую контрольную сумму FCS (Frame check sequence), рассчитывает и добавляет новую.

Последующая обработка фреймов осуществляется на основе «меток», именуемых в VLAN тэгами. С метками VLAN работают коммутаторы и маршрутизаторы, для конечных клиентов они остаются незамеченными, потому как на «портах доступа» тег снимается.

VLAN на Mikrotik: варианты реализации

«Микротик микротику рознь», это необходимо всегда помнить, знать и понимать, при реализации VLAN. У Mikrotik, как и у любого другого производителя сетевого оборудования, свое собственное видение реализации настроек VLAN.

На базе оборудования Mikrotik возможна реализация как программных (софтовых) VLAN, так и аппаратных (hardware).

Аппаратный VLAN, как следует из названия, реализуется непосредственно на базе switch-chip. Возможность реализации аппаратного влана зависит от того, какой именно чип коммутации применяется в вашем устройстве.

По этому поводу рекомендуем ознакомиться с официальным руководством Switch Chip Features. Если коротко, аппаратный VLAN (Hardware VLAN) поддерживается следующими чипами:

Источник