Добрый день!
Небольшая каша в голове, прошу вашего совета.
Насколько я понял из обучающих материалов производитель настоятельно рекомендует включать порты в bridge, и уже поверх bridge создавать VLAN'ы.
Имеется роутер CCR1009. В него нужно завести провайдера, а также затерминировать несколько пользовательских VLAN'ов.
Правильно ли будет все интерфейсы сгруппировать в один bridge, в т.ч. интерфейс с подключенным провайдером? Или данная рекомендация производителя не относится к роутерам, а только к свичам Микротик? Ведь на роутере нет свич-платы, соответственно не будет никакой аппаратной разгрузки при передаче трафика между VLAN? И не отразится ли на безопасности включение в bridge канала провайдера?
VLAN поверх bridge?
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Если у вас на порту в сторону провайдера только один vlan, и никуда на другие порты он никогда не пойдет, даже теоретически, то необходимости добавлять этот порт в бридж нет.
С другой стороны никто не запрещает.
Можно вообще ещё один бридж с единственным этим портом создать (и уже на него вешать vlan-интерфейс, если надо): это удобно, потому что потом порты можно перекидывать между бриджами по необходимости, не изменяя остальной конфиг.
С другой стороны никто не запрещает.
Можно вообще ещё один бридж с единственным этим портом создать (и уже на него вешать vlan-интерфейс, если надо): это удобно, потому что потом порты можно перекидывать между бриджами по необходимости, не изменяя остальной конфиг.
Telegram: @thexvo
-
vsg21
- Сообщения: 3
- Зарегистрирован: 07 окт 2022, 11:28
-
KaNelam
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
c 1 по 4 порт свич чип имеется,если 4 портов достаточно можно на чип посадить вланы. хотя 9 ядер.......vsg21 писал(а): ↑07 окт 2022, 11:49 Добрый день!
Небольшая каша в голове, прошу вашего совета.
Насколько я понял из обучающих материалов производитель настоятельно рекомендует включать порты в bridge, и уже поверх bridge создавать VLAN'ы.
Имеется роутер CCR1009. В него нужно завести провайдера, а также затерминировать несколько пользовательских VLAN'ов.
Правильно ли будет все интерфейсы сгруппировать в один bridge, в т.ч. интерфейс с подключенным провайдером? Или данная рекомендация производителя не относится к роутерам, а только к свичам Микротик? Ведь на роутере нет свич-платы, соответственно не будет никакой аппаратной разгрузки при передаче трафика между VLAN? И не отразится ли на безопасности включение в bridge канала провайдера?
https://i.mt.lv/cdn/product_files/CCR10 ... 160135.png
https://wiki.mikrotik.com/wiki/Manual:S ... troduction
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
-
KaNelam
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
-
vsg21
- Сообщения: 3
- Зарегистрирован: 07 окт 2022, 11:28
Добрый день!
Прошу прощения, не указал модель: CCR1009-7G-1C. Без свич чипа.
Вопрос бы главным образом, не снижается ли безопасность при бриджевании аплинк-интерфейса с интерфейсами "смотрящих" в локальную сеть? Может, я не правильно понял рекомендацию производителя - бриджевать всё в кучу, а затем сегментировать на уровне L2?
Настроил по совету xvo: локальные интерфейсы в один bridge. Интерфейсы с низким уровнем доверия в другой bridge.
Прошу прощения, не указал модель: CCR1009-7G-1C. Без свич чипа.
Вопрос бы главным образом, не снижается ли безопасность при бриджевании аплинк-интерфейса с интерфейсами "смотрящих" в локальную сеть? Может, я не правильно понял рекомендацию производителя - бриджевать всё в кучу, а затем сегментировать на уровне L2?
Настроил по совету xvo: локальные интерфейсы в один bridge. Интерфейсы с низким уровнем доверия в другой bridge.
-
gmx
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Про какую безопасность речь?
Чего именно вы опасаетесь? Vlan в микротике - это такой же коммутатор l2 и нет особой разницы аппаратный он или софтовый.
Чего именно вы опасаетесь? Vlan в микротике - это такой же коммутатор l2 и нет особой разницы аппаратный он или софтовый.