Всем доброго времени суток. Подскажите, если не сложно, по бриджам и vlan-ам.
Собсна, немного упражняюсь с vlan-ми, курил всяко разные туториалы в инете и вот в чем вопрос.
1. Обязательно создавать бриджи под каждый vlan или можно на один бридж, вешать vlan-ы?
2. Как грамотно, через один физический, пустить два vlan-а? Для теста, сделал один vlan, повесил на него вифи. И тут, подумал, а как вторую вифи, в другом vlan-е, но в этом же физическом, прокинуть?
3. Допустим, есть ноут, на шнурке, например в vlan5. Как его, затолкать в свой vlan, если он например, подключиться через вифи? По маку?
Спасибо что не прошли мимо и поможете, чем сможете.
VLAN
-
karton
- Сообщения: 91
- Зарегистрирован: 21 мар 2025, 06:34
https://help.mikrotik.com/docs/spaces/R ... +switching Вот тут есть примеры под разное оборудование, последний пример подходит под всё с RouterOS, там также можно включить Hardware Offload, не знаю правда есть ли вообще разница между настройкой с hardware offload через один бридж, или с использованием вкладки switch. Второй вопрос не понял, посмотрите пример и возможно станет яснее. 3 вопрос - не уверен что пихать устройства в разные VLAN по маку хорошая идея + не думаю что это возможно. Посмотрите в сторону создания нескольких пулов адресов, создав ещё сеть в DHCP, в Lease можно вручную выбрать маки которых нужно кидать именно в эту подсеть, ну а далее фильтровать через IP Firewall
-
rauol
- Сообщения: 8
- Зарегистрирован: 27 авг 2025, 18:16
Допустим, есть вифи точка, с двумя сетями, типа домашняя VLAN10 и гостевая VLAN11. Точка подключена через 5-й физический порт микрота. VLAN10 работает.
Как на этот же 5-й физический порт микрота, сделать еще VLAN11, который в гостевую вифи, точнее, клиенты с гостевой получали настройки VLAN11.
Постарался максимально изложить суть.
-
karton
- Сообщения: 91
- Зарегистрирован: 21 мар 2025, 06:34
С точки доступа уже выходят кадры с метками вланов? Если да, то создаём в Interfaces - VLAN два сабинтерфейса где в поле Interface выбираем один и тот же 5 порт, если 5 порт в бридже то VLAN интерфейсы вешаем на bridge. Ну и тогда на VLAN10 и VLAN11 создаём два разных DHCP ну и далее понятно думаю
-
rauol
- Сообщения: 8
- Зарегистрирован: 27 авг 2025, 18:16
Что то не получается. При таких настройкахkarton писал(а): ↑28 авг 2025, 14:16 С точки доступа уже выходят кадры с метками вланов? Если да, то создаём в Interfaces - VLAN два сабинтерфейса где в поле Interface выбираем один и тот же 5 порт, если 5 порт в бридже то VLAN интерфейсы вешаем на bridge. Ну и тогда на VLAN10 и VLAN11 создаём два разных DHCP ну и далее понятно думаю
Код: Выделить всё
/interface vlan
add interface=bridge name=vlan10 vlan-id=10
add interface=bridge name=vlan11 vlan-id=11
/ip pool
add name=dhcp ranges=172.16.1.10-172.16.1.254
add name=dhcp_pool_vlan10 ranges=172.16.10.2-172.16.10.254
add name=dhcp_pool_vlan11 ranges=172.16.11.10-172.16.11.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
add address-pool=dhcp_pool_vlan10 interface=vlan10 name=dhcp_vlan10
add address-pool=dhcp_pool_vlan11 interface=vlan11 name=dhcp_vlan11
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/interface bridge vlan
add bridge=bridge tagged=bridge,ether4 vlan-ids=10
add bridge=bridge tagged=bridge,ether4 vlan-ids=11
/ip address
add address=172.16.1.1/24 comment=defconf interface=bridge network=172.16.1.0
add address=172.16.10.1/24 interface=vlan10 network=172.16.10.0
add address=172.16.11.1/24 interface=vlan11 network=172.16.11.0
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
/ip dhcp-server network
add address=172.16.1.0/24 comment=defconf dns-server=172.16.1.1 gateway=\
172.16.1.1 netmask=24
add address=172.16.10.0/24 gateway=172.16.10.1
add address=172.16.11.0/24 gateway=172.16.11.1Но, если порту, укажу PVID 10, в VLANs, ether4 в untagged, то получаю ипшник нужный мне.
Все делаю на 4-м физическом порту.
-
karton
- Сообщения: 91
- Зарегистрирован: 21 мар 2025, 06:34
У вас по конфигурации на бридже существует три подсети, одна для нетегированного трафика, и две для vlan10 и 11. PVID обозначает как пометить кадры которые без маркировки (т.е. если там "1" то будет 172.16.1.0/24, "10" - 172.16.10.0/24, "11" - 172.16.11.0/24). Смотрите на настройку точки доступа. Вам же нужно чтоб она пометила кадры из разных wifi разными метками vlan и передала их микротику, сейчас судя по всему она вообще никак их не помечает, не знаю что у вас за точка доступа, но возможно она это и не умеет как вы хотите, или ищите там настройки vlan.
-
rauol
- Сообщения: 8
- Зарегистрирован: 27 авг 2025, 18:16
Спасибо. Гляну. Получается, на микроте все верно настроил. Точка unifi.karton писал(а): ↑28 авг 2025, 18:17 У вас по конфигурации на бридже существует три подсети, одна для нетегированного трафика, и две для vlan10 и 11. PVID обозначает как пометить кадры которые без маркировки (т.е. если там "1" то будет 172.16.1.0/24, "10" - 172.16.10.0/24, "11" - 172.16.11.0/24). Смотрите на настройку точки доступа. Вам же нужно чтоб она пометила кадры из разных wifi разными метками vlan и передала их микротику, сейчас судя по всему она вообще никак их не помечает, не знаю что у вас за точка доступа, но возможно она это и не умеет как вы хотите, или ищите там настройки vlan.
В ней создал ssid, указал им vlan10 и vlan11.
Сейчас глянул, по моему в ней надо создать пулы ипшников для желаемых vlan-овх
-
karton
- Сообщения: 91
- Зарегистрирован: 21 мар 2025, 06:34
Нет, никаких пулов там точно не нужно, этим всем микротик рулит. Если у SSID заданы vlan то должно работать, сам с этим точками не работал. Надо смотреть что от точки приходит на микротик, Tools - Torch в помощь, ну или Packet Sniffer, но его настроить надо что в Wireshark на пк стримил все пакеты. Нужно увидеть что через один ssid кадры идут с один вланом, а на другом ssid с другим, тогда поймём что на микротике что-то не так, а если все кадры без меток то нужно смотреть на точку доступа. P.S. Вешайте Torch на Bridge или ether4, а не на vlan интерфейсы, иначе будете кадры ловить уже с убранными метками.
-
rauol
- Сообщения: 8
- Зарегистрирован: 27 авг 2025, 18:16
Спасибо.karton писал(а): ↑28 авг 2025, 18:27 Нет, никаких пулов там точно не нужно, этим всем микротик рулит. Если у SSID заданы vlan то должно работать, сам с этим точками не работал. Надо смотреть что от точки приходит на микротик, Tools - Torch в помощь, ну или Packet Sniffer, но его настроить надо что в Wireshark на пк стримил все пакеты. Нужно увидеть что через один ssid кадры идут с один вланом, а на другом ssid с другим, тогда поймём что на микротике что-то не так, а если все кадры без меток то нужно смотреть на точку доступа. P.S. Вешайте Torch на Bridge или ether4, а не на vlan интерфейсы, иначе будете кадры ловить уже с убранными метками.
Также еще попробую, вообще vlan настроен ли, отдает ли микрот ноуту с этого порта, нужные настройки
-
rauol
- Сообщения: 8
- Зарегистрирован: 27 авг 2025, 18:16
Не, где то в конфиге микрота, что то не доделал. По шнурку, получаю ip из 172.16.1.1/24 сетки