Настройка VLAN на MikroTik: пошаговая инструкция

VLAN (Virtual Local Area Network) — это технология, позволяющая разделять физическую сеть на несколько виртуальных, изолированных друг от друга. Это повышает безопасность, упрощает управление трафиком и снижает нагрузку на сеть. На роутерах MikroTik настройка VLAN осуществляется через RouterOS, что делает процесс гибким, но требует понимания. В этой статье мы разберем пошаговую настройку VLAN на MikroTik (на примере модели RB750Gr3) с использованием Bridge VLAN Filtering для создания access и trunk портов. Инструкция подойдет как для новичков, так и для опытных пользователей.

Что такое VLAN и зачем они нужны?

VLAN позволяет разделить устройства в сети на логические группы, даже если они подключены к одному коммутатору. Например, отдел бухгалтерии и маркетинга могут быть в разных VLAN, чтобы ограничить их взаимодействие. Основные преимущества VLAN:

• Безопасность: Ограничение доступа между группами устройств.
• Оптимизация: Снижение широковещательного трафика.
• Гибкость: Логическое разделение сети без дополнительных физических устройств.

В MikroTik VLAN настраиваются через интерфейсы или Bridge, поддерживая стандарт 802.1Q. Порты бывают двух типов:

• Access: Передают нетегированный (untagged) трафик для одной VLAN (например, для ПК).
• Trunk: Передают тегированный (tagged) трафик для нескольких VLAN (например, между роутерами).

Сценарий настройки

Мы настроим VLAN на роутере MikroTik RB750Gr3 для следующей схемы:

• VLAN 10: Для отдела маркетинга (access-порт ether2).
• VLAN 20: Для отдела бухгалтерии (access-порт ether3).
• Trunk-порт: ether1 для передачи трафика VLAN 10 и 20 к другому устройству.
• Management VLAN: VLAN 99 для управления роутером.

Все VLAN будут работать через Bridge с включенным VLAN Filtering для аппаратной разгрузки. Предполагается, что роутер уже настроен базово (см. гайд по базовой настройке).

Пошаговая инструкция по настройке VLAN

Настройка выполняется через программу WinBox. Если вы используете WebFig или терминал, команды аналогичны.

Шаг 1: Подготовка и сброс

1. Подключитесь к роутеру через WinBox (IP: 192.168.88.1, логин: admin, пароль: пустой или ваш).
2. Если роутер ранее использовался, сбросьте настройки: System → Reset Configuration → No Default Configuration → Reset Configuration.
3. Перезагрузите роутер и подключитесь снова.

Шаг 2: Создание Bridge

Bridge объединяет порты и VLAN для обработки трафика.

1. Перейдите в Bridge → Bridge → +.
2. Задайте имя: bridge-lan. Оставьте остальные параметры по умолчанию.
3. Нажмите OK.

Шаг 3: Добавление портов в Bridge

1. Перейдите в Bridge → Ports → +.
2. Добавьте порты:
   • Interface: ether1, Bridge: bridge-lan.
   • Interface: ether2, Bridge: bridge-lan.
   • Interface: ether3, Bridge: bridge-lan.
3. Нажмите OK для каждого порта.

Шаг 4: Создание VLAN-интерфейсов

1. Перейдите в Interfaces → VLAN → +.
2. Создайте VLAN 10:
   • Name: vlan10-marketing.
   • VLAN ID: 10.
   • Interface: bridge-lan.
3. Нажмите OK.
4. Повторите для VLAN 20:
   • Name: vlan20-accounting.
   • VLAN ID: 20.
   • Interface: bridge-lan.
5. Создайте VLAN 99 для управления:
   • Name: vlan99-management.
   • VLAN ID: 99.
   • Interface: bridge-lan.

Шаг 5: Настройка VLAN Filtering

1. Перейдите в Bridge → VLANs → +.
2. Добавьте VLAN 10:
   • VLAN IDs: 10.
   • Tagged: bridge-lan, ether1.
   • Untagged: ether2.
3. Нажмите OK.
4. Добавьте VLAN 20:
   • VLAN IDs: 20.
   • Tagged: bridge-lan, ether1.
   • Untagged: ether3.
5. Добавьте VLAN 99:
   • VLAN IDs: 99.
   • Tagged: bridge-lan, ether1.

Примечание: Tagged-порты (ether1) передают тегированный трафик, untagged-порты (ether2, ether3) — нетегированный для клиентов.

Шаг 6: Включение VLAN Filtering

1. Перейдите в Bridge → Bridge.
2. Выберите bridge-lan и включите VLAN Filtering: Yes.
3. Нажмите OK.

Важно: Включение VLAN Filtering может отключить аппаратную разгрузку (HW Offload) на некоторых моделях. Проверьте это в Bridge → Ports (столбец HW).

Шаг 7: Назначение IP-адресов

Для маршрутизации и управления назначим IP-адреса VLAN-интерфейсам.

1. Перейдите в IP → Addresses → +.
2. Добавьте адреса:
   • Address: 192.168.10.1/24, Interface: vlan10-marketing.
   • Address: 192.168.20.1/24, Interface: vlan20-accounting.
   • Address: 192.168.99.1/24, Interface: vlan99-management.
3. Нажмите OK для каждого.

Шаг 8: Настройка DHCP-серверов

Для автоматической раздачи IP-адресов клиентам в VLAN настроим DHCP.

1. Перейдите в IP → DHCP Server → DHCP Setup.
2. Для VLAN 10:
   • DHCP Server Interface: vlan10-marketing.
   • Оставьте параметры по умолчанию (Gateway: 192.168.10.1, Addresses: 192.168.10.2–192.168.10.254).
   • Нажмите Next до завершения.
3. Повторите для VLAN 20:
   • DHCP Server Interface: vlan20-accounting.
   • Gateway: 192.168.20.1, Addresses: 192.168.20.2–192.168.20.254.

Примечание: Для VLAN 99 DHCP не настраиваем, так как это сеть управления.

Шаг 9: Настройка NAT для доступа в интернет

Чтобы устройства в VLAN имели доступ в интернет, настроим masquerade.

1. Перейдите в IP → Firewall → NAT → +.
2. Создайте правило:
   • Chain: srcnat.
   • Src. Address: 192.168.10.0/24.
   • Out. Interface: ваш WAN-интерфейс (например, ether5).
   • Action: masquerade.
3. Нажмите OK.
4. Повторите для VLAN 20 (Src. Address: 192.168.20.0/24).

Шаг 10: Проверка настроек

1. Подключите ПК к ether2 (VLAN 10) и убедитесь, что он получает IP из диапазона 192.168.10.0/24.
2. Подключите ПК к ether3 (VLAN 20) и проверьте IP из 192.168.20.0/24.
3. Пропингуйте роутер (192.168.10.1 или 192.168.20.1) с каждого ПК.
4. Проверьте доступ в интернет с обоих ПК.
5. Для управления подключитесь к 192.168.99.1 через WinBox или браузер.

Если пинг или интернет не работают, проверьте:

• Включен ли VLAN Filtering.
• Правильность привязки портов (Tagged/Untagged).
• Настройки Firewall (убедитесь, что ICMP не блокируется).

Частые вопросы и ответы

Почему нет связи между VLAN?

По умолчанию VLAN изолированы. Для связи между ними настройте маршрутизацию на L3 (например, добавьте правила в IP → Routes) и разрешите трафик в IP → Firewall → Forward.

Почему пропадает аппаратная разгрузка (HW Offload)?

Некоторые функции, такие как Bridge VLAN Filtering, могут отключать HW Offload на определенных моделях (например, RB750). Проверьте чип коммутации в Interfaces → Ethernet → Switch. Для сохранения разгрузки используйте настройки через Switch-чип (см. документацию MikroTik).

Как настроить VLAN на SwitchOS (SwOS)?

На коммутаторах MikroTik с SwOS (например, CSS326) настройка VLAN выполняется через веб-интерфейс:

• Вкладка VLAN: задайте VLAN ID и режим портов (Access/Trunk).
• Вкладка VLANs: укажите, какие порты входят в каждый VLAN.

Подробности в официальной документации.

Как добавить VLAN на один порт с нетегированным и тегированным трафиком?

Для гибридного порта (например, ether1 с VLAN 10 tagged и VLAN 99 untagged):

• В Bridge → VLANs укажите VLAN 10 как Tagged и VLAN 99 как Untagged для ether1.
• Задайте PVID для ether1 в Bridge → Ports равным 99.

Внутренние ссылки:

• Базовая настройка MikroTik
• Настройка IPTV на MikroTik
• Настройка Firewall

Дополнительные советы

• Создайте отдельный VLAN для управления (как VLAN 99 в примере) и закройте доступ к нему из клиентских VLAN через Firewall.
• Используйте Tools → Torch для анализа трафика VLAN.
• Сохраните конфигурацию: System → Backup.
• Для сложных сетей используйте QinQ (вложенные VLAN), но учтите снижение MTU.
• Обновите RouterOS до последней версии для поддержки новых функций VLAN (см. mikrotik.com).

Заключение

Настройка VLAN на MikroTik позволяет эффективно сегментировать сеть, повышая безопасность и производительность. С помощью Bridge VLAN Filtering вы можете гибко управлять access и trunk портами. Эта инструкция покрывает базовый сценарий, но MikroTik поддерживает и более сложные конфигурации, такие как QinQ или межвлановая маршрутизация. Хотите узнать больше? Читайте наш гайд по настройке IPTV на MikroTik.