Konfiguracja MikroTik — Część 78: MikroTik z wirtualnymi interfejsami VLAN i Bridge — Zaawansowane projektowanie segmentacji sieci
Konfiguracja MikroTik — Część 78: MikroTik z wirtualnymi interfejsami VLAN i Bridge — Zaawansowane projektowanie segmentacji sieci
Wprowadzenie
Segmentacja sieci jest jednym z kluczowych aspektów projektowania nowoczesnych, bezpiecznych i skalowalnych środowisk sieciowych. MikroTik RouterOS, dzięki rozbudowanej obsłudze VLAN oraz mechanizmowi Bridge, pozwala na budowę elastycznych i logicznie wydzielonych sieci w obrębie jednej fizycznej infrastruktury.
W tej części serii pokażemy, jak wykorzystać wirtualne interfejsy VLAN, Bridge oraz filtrowanie ruchu między VLAN-ami w oparciu o MikroTik RouterOS. Przedstawimy nie tylko konfigurację, ale również praktyczne zastosowania w firmowych i operatorskich sieciach.
Co to jest VLAN i Bridge w MikroTik?
- VLAN (Virtual Local Area Network) — wirtualne segmenty sieci logicznie wydzielające ruch w warstwie 2
- Bridge — wirtualny przełącznik łączący interfejsy fizyczne i logiczne w jednej domenie broadcastowej
Krok 1 — Tworzenie VLAN na MikroTik
Przykład utworzenia interfejsu VLAN na porcie ether2 z ID 10:
/interface vlan add name=vlan10 interface=ether2 vlan-id=10
Analogicznie dla kolejnych VLAN-ów, np. VLAN 20:
/interface vlan add name=vlan20 interface=ether2 vlan-id=20
Krok 2 — Tworzenie Bridge i dodawanie interfejsów VLAN
/interface bridge add name=bridge_vlan
/interface bridge port add bridge=bridge_vlan interface=vlan10
/interface bridge port add bridge=bridge_vlan interface=vlan20
Krok 3 — Przypisanie adresacji IP dla interfejsów VLAN
/ip address add address=192.168.10.1/24 interface=vlan10
/ip address add address=192.168.20.1/24 interface=vlan20
Krok 4 — Konfiguracja trunku i access portów
- Trunk — port przekazujący ruch z wielu VLAN-ów
- Access — port przekazujący ruch z jednego VLAN-u
Przykład dla trunku:
/interface bridge vlan add bridge=bridge_vlan tagged=ether2 vlan-ids=10,20
Przykład dla access portu VLAN 10:
/interface bridge vlan add bridge=bridge_vlan untagged=ether3 vlan-ids=10
Krok 5 — Filtrowanie ruchu między VLAN-ami (Inter-VLAN Routing)
Jeżeli chcesz, by VLAN-y nie komunikowały się bezpośrednio:
/ip firewall filter add chain=forward action=drop in-interface=vlan10 out-interface=vlan20
/ip firewall filter add chain=forward action=drop in-interface=vlan20 out-interface=vlan10
Krok 6 — Praktyczne scenariusze użycia
- Segmentacja działów w firmie — np. administracja, księgowość, produkcja
- Separacja sieci IoT od sieci biurowej
- Podział klientów w usługach ISP
- Odseparowanie gości w sieci WiFi od sieci lokalnej
Krok 7 — Monitorowanie i zarządzanie VLAN-ami
/interface bridge vlan print
/interface bridge port print
/interface vlan print
Krok 8 — VLAN Filtering — Bezpieczna konfiguracja Bridge
Włączenie VLAN Filtering wymusza restrykcyjne zarządzanie ruchem VLAN w obrębie Bridge:
/interface bridge set bridge_vlan vlan-filtering=yes
Krok 9 — Rekomendacje projektowe
✅ Zawsze stosuj VLAN Filtering na Bridge
✅ Stosuj zasady bezpieczeństwa — Drop między VLAN-ami jeśli nie ma potrzeby komunikacji
✅ Monitoruj ruch VLAN za pomocą Torch lub Traffic Monitor
✅ Dokumentuj przypisania VLAN i portów
Krok 10 — Najczęstsze błędy i jak ich unikać
❌ Brak włączenia VLAN Filtering
❌ Dodawanie VLAN jako access i trunk jednocześnie na jednym porcie
❌ Zapomnienie o przypisaniu adresu IP do VLAN Interface
❌ Niewłaściwa konfiguracja firewall między VLAN-ami
Podsumowanie
Wykorzystanie VLAN i Bridge na MikroTik RouterOS to jeden z najważniejszych aspektów nowoczesnego projektowania sieci LAN, zarówno w środowiskach firmowych, jak i operatorskich. Odpowiednia konfiguracja pozwala nie tylko na logiczną separację ruchu, ale także na zwiększenie poziomu bezpieczeństwa oraz efektywne zarządzanie infrastrukturą sieciową.
Zaawansowane scenariusze segmentacji VLAN z użyciem MikroTik to fundament profesjonalnych wdrożeń, dlatego warto dokładnie poznać mechanizmy i dobre praktyki ich konfiguracji.
Jak włączyć i skonfigurować IPv6 na routerach, przełącznikach i innych urządzeniach sieciowych IPv6 (Internet Protocol Version 6) jest nowoczesnym protokołem, Czytaj dalej
Podsieci, maska podsieci i jej struktura – Systemy operacyjne i sieci komputerowe Podział sieci na podsieci Wraz z rozwojem sieci Czytaj dalej
