Konfiguracja MikroTik — Część 58: MikroTik jako Przełącznik VLAN Layer 2 z Zaawansowaną Segmentacją Portów i Obsługą Bridge VLAN Filtering
Konfiguracja MikroTik — Część 58: MikroTik jako Przełącznik VLAN Layer 2 z Zaawansowaną Segmentacją Portów i Obsługą Bridge VLAN Filtering
Wstęp
Choć MikroTik kojarzony jest głównie z routerami, wiele modeli — zwłaszcza z serii CRS — świetnie sprawdza się jako zarządzalne przełączniki warstwy drugiej z rozbudowaną obsługą VLAN i bridge VLAN filtering. W tej części pokażę Ci, jak skonfigurować MikroTik w roli inteligentnego switcha do segmentacji ruchu w oparciu o VLAN-y, z wykorzystaniem najnowszych funkcji RouterOS, w tym hardware offload i Bridge VLAN Filtering.
Kiedy MikroTik jako przełącznik VLAN?
W scenariuszach, gdzie wymagamy:
- separacji ruchu w sieci LAN
- integracji z routerem core przez trunk
- zapewnienia VLAN-aware switching
- ochrony przed nieautoryzowanym dostępem (port isolation)
- optymalnej wydajności dzięki hardware offload
Krok 1 — Przygotowanie Bridge i Włączenie VLAN Filtering
Tworzymy główny bridge z obsługą VLAN filtering:
/interface bridge
add name=bridge_vlan vlan-filtering=yes frame-types=admit-only-vlan-tagged
/interface bridge port
add interface=ether1 bridge=bridge_vlan pvid=10
add interface=ether2 bridge=bridge_vlan pvid=20
add interface=ether3 bridge=bridge_vlan pvid=30
add interface=ether4 bridge=bridge_vlan pvid=1
Ważne: Trunk do routera core lub serwera zarządzającego powinien mieć wyłączone pvid i ustawione tagowanie wszystkich VLAN.
/interface bridge port
add interface=ether5 bridge=bridge_vlan frame-types=admit-only-vlan-tagged
Krok 2 — Konfiguracja VLAN Filtering
/interface bridge vlan
add bridge=bridge_vlan tagged=bridge_vlan,ether5 untagged=ether1 vlan-ids=10
add bridge=bridge_vlan tagged=bridge_vlan,ether5 untagged=ether2 vlan-ids=20
add bridge=bridge_vlan tagged=bridge_vlan,ether5 untagged=ether3 vlan-ids=30
Krok 3 — Optymalizacja Wydajności Hardware Offload
Sprawdź, czy wszystkie porty korzystają z hardware offload (H flag):
/interface bridge port print
Jeżeli nie, upewnij się, że masz włączony fastpath i że mostek ma ustawione odpowiednie opcje.
/interface bridge settings
set use-ip-firewall=no use-ip-firewall-for-vlan=no
Krok 4 — Port Isolation i Bezpieczeństwo
Dla portów dostępowych możesz zastosować isolation na poziomie portu, aby zapobiec komunikacji między hostami w tym samym VLAN bez użycia routera:
/interface bridge port
set ether1 isolate=yes
set ether2 isolate=yes
Krok 5 — Monitorowanie VLAN-ów i Ruchu
Możesz monitorować aktywność VLAN poprzez:
/interface bridge vlan print
/interface bridge port monitor ether1
/tool sniffer
Krok 6 — Praktyczne Scenariusze Wdrożenia
- Sieć biurowa z VLAN dla pracowników, gości i serwerów
- Segmentacja ruchu VoIP na osobnym VLAN z priorytetem
- Izolacja VLAN IoT od VLAN LAN
- Przełącznik dostępowy z podziałem na strefy
Krok 7 — Obsługa VLAN Management i Dostęp do RouterOS
Zadbaj o dostęp do RouterOS tylko z VLAN zarządzającego, np.:
/interface vlan
add interface=bridge_vlan name=mgmt_vlan vlan-id=99
/ip address
add address=192.168.99.2/24 interface=mgmt_vlan
/ip service
set www address=192.168.99.0/24
set winbox address=192.168.99.0/24
Podsumowanie
Dzięki zaawansowanej obsłudze Bridge VLAN Filtering, MikroTik staje się pełnoprawnym przełącznikiem L2, który możesz zintegrować w nawet bardzo złożonych topologiach sieciowych. To rozwiązanie łączy w sobie elastyczność konfiguracji z wysoką wydajnością sprzętową, przy zachowaniu pełnej kontroli bezpieczeństwa i segmentacji ruchu. Idealne dla administratorów potrzebujących budżetowych, ale profesjonalnych rozwiązań sieciowych.
Jak ustawić routing między sieciami na IPv6? IPv6 to nowoczesny protokół internetowy, który zastępuje IPv4, oferując większą przestrzeń adresową i Czytaj dalej
🧱 Wprowadzenie do infrastruktury jako kodu (Infrastructure as Code - IaC) w kontekście sieci Współczesne zarządzanie infrastrukturą sieciową przechodzi rewolucję Czytaj dalej
