Начало здесь.
Итак, железо приехало, распаковываем, подключаем, настраиваем.
Как я уже говорил, железка для меня была совершенно новая, поэтому решил не выпендриваться с консолью и настраивать всё через web.
По умолчанию Mikrotik имеет адрес 192.168.88.1/24 и встроенный DHCP сервер. Настраиваю адрес компьютера статикой, подключаюсь. Логин admin, пароль пустой.
Попытка раз.
Первое что я сделал, это естественно повыключал "всё лишнее", в результате благополучно потеряв железку. Ну что сказать, нажимаем скрепкой кнопку сзади, подаём питание, ждём когда замигают лампочки, вынимаем скрепку, железка сбрасывается на конфигурацию по умолчанию.
Попытка два.
Решив на этот раз быть более осторожным навешал IP напрямую на порт ether1, решив его не трогать, пока не настрою. Для этого идём IP - Adresses - Add New и задаём адрес:
Кстати этот же адрес висит на Interface Bridge, который по сути есть вся железка. Там же висит DHCP, который лучше отключить сразу, во избежание, так сказать..
Сразу хочу сказать, что логика у Mikrotik достаточно интересная, сравнивая его, например, с Cisco или HPE.
Если кто не знает, у той же Cisco 871/881/921 есть routed порты, которые настраиваются через sub interface, и есть switch порты, которые настраиваются через vlan interface. Так вот, switch порты одного VLAN-а объединены по определению в бридж. Единый бродкаст домен и так далее. И Vlan interface, который L3, по сути своей как раз и есть бридж. Связка же между routed port и L3 vlan interface идёт через маршрутизацию. Connected сети.
У Mikrotik же есть сущность L2 Vlan, которая может быть подключена как к уникальному бриджу, так и к единому бриджу. Там же, на бридже создаётся Vlan Interface, на котором задаётся IP адрес. Причём бриджу так же можно назначить IP адрес. И это отдельный интерфейс. Причём неясно, всё таки бродкаст домен существует внутри Vlan-а или внутри бриджа? Если бриджа, то смысл Vlan теряется. Или это совокупность connected сетей? Спецы, объясните! В интернетах ничего внятного не нашёл.
И главное!
Если разные VLAN интерфейсы, которые L3, будут на разных бриджах, то intervlan routing не работает!
По крайней мере у меня не взлетел. Возможно нужны были статические маршруты между бриджами, но вопрос, зачем так делать?
Зачем все эти костыли, а выглядит это как костыли, я могу только предполагать. По моему частному мнению это есть попытка разделить routing и switching и, в свою очередь, как то их подружить. Позже, когда настраивал Firewall, очень долго пытался понять как ходят пакеты в этой шайтан железке, но об этом позже.
Так же, для работы intervlan routing в настройках бриджа обязательно нужно указать vlan filter:
Interfaces - interface, выбрать интерфейс Bridge и в настройках поставить галку. Vlan оставить "1". Подозреваю, что это native vlan 1. Экспериментировать было некогда. Спецы, прокомментируйте!
Настраиваем дальше.
Создаём L2 VLAN:
Bridge - VLANs
Здесь есть интересный момент. Сразу можно указать, на каких портах данный Vlan будет присутствовать как тегированный, tagged, а на каких будет нетегированный, untagged.
Поясню. Т.е. если вам нужно подключить ещё одно устройство танковым портом, например ether8, то tagged будет bridge и ether8. Untagged же можно не указывать.
Далее нужно в Bridge - Ports указать на каких портах какой будет Vlan. PVID 111 - access vlan 111.
В случае же транкового порта нужно указывать Vlan 1.
Есть интересный момент, очень похожий на баг. При настройке, например, порта ether1 можно указать, например vlan 111, а при настройке L2 VLAN 110 указать что порт ether1 будет как untagged. Если есть что сказать по этому поводу - добро пожаловать в комменты.
Создание L3 интерфейса:
Interfaces - VLAN - Add New
Указываем, что VLAN относится к бриджу Bridge, указываем VLAN ID. Аналогично остальные Vlan:
Задаём IP адреса для L3 VLAN Interface:
IP - Adressed - Add New
После данных настроек должен заработать intervlan routing. Если не заработал - либо vlan filter не установлен, либо vlan-ы не в том бридже или нумерация неверная, тегированые, нетегированные. Тегированный трафик должен уходить в бридж интерфейс, типа как во внутренний транк. Ну или адресация неверная.
По крайней мере у меня взлетело только по такой схеме, если есть спецы по Mikrotik, которые подскажут как это сделать проще или иначе - добро пожаловать к комменты. Всегда готов выслушать профессиональное мнение.
#mokrotik #intervlan #intervlan routing #routing