Russian Users MikroTik | Форум пользователей MikroTik

Добрый день!
С микротиками сталкивался давно, нечасто и на простейших задачах. Сейчас задачи становятся сложнее и некоторые "приколы" микротиков не понятны или не укладываются в стройную систему, в основном из-за бриджей, а так же из-за того что ВЛАНы встречаются и в бриджах, и в интерфейсах.

Есть небольшой офис шлюзом в котором является RB750r3. Имеется несколько сегментов, которые должны быть разграничены: локалка, Wi-Fi, видеонаблюдение и т.д. Эти сегменты разделил по ВЛАНам.
В начале я начал делать бриджи, выделять им подсети, разграничивать файрволом. Потом ввёл ВЛАНы, т.к. стало необходимо использовать один пачкорд для передачи разных подсетей (к другому коммутатору или гипервизору с виртуалками). На данный момент "накостылил" и у меня работает почти как надо, а вот что-то перенастроить уже не получается: путаюсь, одно за другое цепляется и конечный результат не достигается... Посоветуйте как лучше работать с ВЛАНами в микротике? (прошу пояснить логику создания и связки)
1) Делать несколько бриджей и привязывать их каким-то образом к ВЛАНам?
2) Сделать один бридж с ВЛАНами и потом линковать с интерфейсами? На этот вариант меня натолкнула статья https://mikrotiklab.ru/nastrojka/artga-vlan.html, где очень красиво расписана схема.

Буду благодарен разъяснениям логики работы или ссылки на толковые статьи.
Надеюсь описал понятно.

Попытался изобразить настройку VLAN так как понял их я, буду рад если кто-то поправит.
Левая верхняя схема это маршрутизатор без бриджей, ниже просто создан бридж без настроек, ну а справа бридж с вланами.

karton писал(а): ↑28 апр 2025, 17:31
Попытался изобразить настройку VLAN так как понял их я, буду рад если кто-то поправит.
Левая верхняя схема это маршрутизатор без бриджей, ниже просто создан бридж без настроек, ну а справа бридж с вланами.

Для меня этого уже мало.
Например такая ситуация: у меня стоит сервер как гипервизор, на него через одну сетевуху заходит несколько ВЛАН, которые распределяются между ВМ. Но гипервизором тоже как-то надо управлять и в случае когда он управляется по отдельному "служебному" ВЛАНу он становится недоступен, если вышел из строя сетевой коммутатор к которому он подключен. Поэтому я сделал что он управляется нетегированным трафиком входящим в сервер. Вкратце: нетегированный трафик для управления гипервизором, тегированный - распределяется между виртуалок.
На данный момент виртуалки получают свои сети, а управлять гипервизором я не могу.

Как я понял вам нужен native VLAN, нашёл вот такую инструкцию - https://yurix.ch/blog/mikrotik-hybrid-vlan-port.html, у меня по ней всё получилось.

В общем, да, оно.
Я искал что такое PVID и вышел на подобные статьи.
Одна настройка (frame-types) мне не понятна в этой статье: Если применять только к тегированному трафику, то что будет с нетегированным? Отбрасываться? Или можно оставить admit-all?
Это мне надо для понимания что я делаю

Можно оставить admit-all, как я понял это правило на фреймы внутри самого бриджа, а внутри него всё с тэгами

Сегодня пытался правильно и удобно организовать сеть в офисе, что-то получалось, но потом встал в тупик.
Опишу часть задачи, которую хочу осуществить и что пытался осуществить с VLAN (в скобках - то что в планах добавить):
eth2 - trunk.2 (+ access.99, trunk.3, trunk.4)
eth3 - trunk.2, trunk.50 (+ trunk.99, trunk.111) - идёт в другой кабинет, сети должны быть разделены (локалка, видео, Wi-Fi, ...)
eht4 - access.50
eht5 - access.2
Если брать отдельно влан (2 или 50), то всё получалось, но объединить их на eth3 никак не получается.
Делал всё через winbox (извините, с терминалом ещё не очень дружу, командами не пользуюсь), сейчас стараюсь восстановить и описать что делал:
Для VLAN.50. В Bridge:

• создал bridge-Video; сразу включил VLAN Filtering c PVID=50

• В bridge ports связал bridge-Video с ether3, bridge-Video с ether4 (чувствую что тут что-то не так делаю)

• В bridge VLANs создал VLAN IDs = 50 для bridge-Video, добавил тегированные порты: bridge-Video, ether3; не тегированные: ether4

В интерфейсах:

• Создал vlan.50

• В адресах назначил интерфейсу vlan.50 подсеть (DHCP не назначал, незачем)

С этими настройками всё видео бегает как надо. Когда решаю добавить локалку, то или не работает или различные ошибки появляются, в частности в bridge ports я не могу связать bridge-LAN (VLAN.2) с ether3, так как ether3 уже добавлен.
Вот не укладывается у меня в голове система микротиков с ВЛАН-ами , потому что у них добавилась абстракция в виде бриджей... Иногда что-то делаю, начинает получаться, думаю, что понял и в какой-то момент
Буду благодарен за помощь или объяснение.

Вам не нужно создавать бридж под каждый VLAN, все VLAN настраиваются на одном бридже, можете рассматривать бридж логически как единый коммутатор на котором вы и создаёте VLAN, посмотрите картинку которую я вам ранее отправлял

karton писал(а): ↑04 май 2025, 15:06 Вам не нужно создавать бридж под каждый VLAN, все VLAN настраиваются на одном бридже, можете рассматривать бридж логически как единый коммутатор на котором вы и создаёте VLAN, посмотрите картинку которую я вам ранее отправлял

Шикарно! Спасибо!
Могу перенастраивать рабочую систему только вечером удалённо, иначе днём поломаю работу работникам.
Судя по объёму трафика по интерфейсам в Winbox и ping-ам принтеров, всё, вроде, работает как и работало, но я стал понимать как это работает и могу (очень надеюсь) оперативно менять настройки. Плюс ко всему настроил гибридный порт.
Сейчас буду искать дальнейшие решения моих задач или создавать новые темы с вопросами.
Ещё раз спасибо за терпение и ответы по существу!