Как корректно управлять VLAN'ами на Mikrotik?

Question

[Талян]

Доброго вечера всем.

У меня есть абсолютное понимание того, как работают VLAN на коммутаторах Cisco, D-Link, и т.д.
То есть порт может быть Access, Tagged или Trunk.

Но в микротиках я совсем запутался.

VLAN можно создать на Bridge, можно создать VLAN интерфейс на физическом интерфейсе.

И тут я не понимаю:
Если я в Bridge добавлю VLAN 15, и в этом же окошке укажу Tagged порт Ether1, то тегированный трафик пойдет из порта Ether1.

Но внезапно я могу добавить VLAN 15 к интерфейсу Ether1 в меню интерфейсов.

Ну и что получится? Зачем? А если VLAN 15 в меню бриджа будет указывать на Ether1 как Untagged, а к интерфейсу Ether1 в меню интерфейсов я добавлю тег 15?

Вообще какая-то дичь. Зачем несколько способов добавить VLAN, еще и в разных меню, и еще и создаваемые VLAN могут противоречить друг другу?

Comments

[Akina]

Если я в Bridge добавлю VLAN 15, и в этом же окошке укажу Tagged порт Ether1, то тегированный трафик пойдет из порта Ether1.

Но внезапно я могу добавить VLAN 15 к интерфейсу Ether1 в меню интерфейсов.

А теперь подключи к нему, скажем, длинк, портом, настроенным на тот же 15-й влан, но чисто тегованный, и посмотри, пойдёт ли транзитный трафик с микротика из этого влан на другой порт длинка в том же влане. А затем то же, но при нетегованном порте микротика. Ну и в обратном направлении. Т.е.

PC1 - (port VLAN 15 untag - Mikrotik - port VLAN 15 tag & untag) - (port VLAN 15 tag - D-Link - port VLAN 15 untag) - PC2
и
PC1 - (port VLAN 15 untag - Mikrotik - port VLAN 15 tag & untag) - (port VLAN 15 untag - D-Link - port VLAN 15 untag) - PC2

Вообще нетегованный влан на порте нужен для того, чтобы категорировать нетегованный входящий трафик (без этого он будет дропаться) и соответственно знать куда его пересылать.

[Талян]

Akina, мой вопрос был не про то, как ходит трафик, а для чего одно и то же действие создается в разных местах микротика, еще и с противоречием самому себе.

Andrey Barbolin, спасибо, теперь понятно. . Ну жесть конечно лютая. Вы бы лучше свой комментарий в ответы поместили, ибо я помечу решением.

[Valentin Barbolin]

Талян, Надо смотреть на микротик как на ПК, тогда все становить логичнее.

[hint000]

Да уж, замечал, что серьёзные сетевики не жалуют

эту марку

Но даже со всеми его нелогичными заскоками он ведь всё равно лучше, чем D-Link, TP-Link, ZyXel и т.п.
А с Циской сравнивать... По цене они в разных весовых категориях. Можно представить, сколько народу разрабатывает софт в Циске, и сколько в Микротике. Не удивительно, что мы будем сталкиваться с причудами любого отдельно взятого разработчика Микротика. За цену Микротиков это можно понять и простить.

[Талян]

hint000, верно, да и не хаю я на микротик, хорошая штука, умеет все в разумных пределах. Но с вланами это целая жопа в микротиках.

Answer 1

[Valentin Barbolin]

Такой вот он - Мироктик) Как швейцарский ноЖ!
Если посмотреть на схему микросхем, то можно заметить что между процессором и портами есть отдельный чип который берет на себя роль свича. Так вот, если настраивать VLAN в разделе switch, то ты конфигуришь эту микросхему свича. Если настраивать в bridge, то работа с VLAN будет происходить в процессоре со всеми вытекающими.

Если необходимо гонять трафик в VLAN между портами микротика, то правильнее это делать в switch, тогда транзитный трафик не будет загружать центральный процессор.

Если микротик должен маршрутизировать трафик в этом VLAN, то твой путь bridge.

Comments

[Wexter]

Так вот, если настраивать VLAN в разделе switch, то ты конфигуришь эту микросхему свича. Если настраивать в bridge, то работа с VLAN будет происходить в процессоре со всеми вытекающими.

А вот и нифига, с 6.41 бридж рулит аппаратным чипом тоже
https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_...
https://wiki.mikrotik.com/wiki/Manual:Interface/Br...

[Valentin Barbolin]

poisons, Круто.

[Valentin Barbolin]

Wexter, Конечно рулит, ведь vlan как-то нужно дотянуть от порта до процессора)

Answer 2

[Валентин]

У меня есть абсолютное понимание того, как работают VLAN на коммутаторах Cisco, D-Link, и т.д.

Ключевое слово здесь - на коммутаторах. На маршрутизаторах пусть даже циски или линуксе есть также различное количество вариантов создать влан. И также через бридж, и на физический интерфейс. Посмотрите, как добавлять вланы в Cisco 6500, тогда поймете логику. Если провести аналогию, то бридж - это L3-интерфейс на влане. А физ порт - L3-интерфейс на физическом интерфейсе, добавление влана к которому дает возможность разграничивать трафик на транке.

Comments

[Талян]

Ну, насколько я помню на 65-й циске:
interface Fa0/1.100

В линуксах также:
Enp3s0.100

Логику все равно не особо понял.

А физ порт - L3-интерфейс на физическом интерфейсе

А это вообще масло масляное вы написали, еще больше запутался. Слово порт и интерфейс я трактую как одно и то же.

[hint000]

Талян,

Слово порт и интерфейс я трактую как одно и то же.

Интерфейсы бывают ещё и виртуальные. Бридж - как раз пример виртуального интерфейса.

[Drno]

hint000, как раз хотел это написать)

[Валентин]

Талян, а чтоб совсем запутать, к бриджу тоже можно добавлять виртуальные логические интерфейсы. Например, pppoe можно забриджевать с физическим Ethernet.

[Валентин]

Талян, а в циске в режиме настройки интерфейса можно написать switchport, тогда получится добавлять вланы на физ интерфейс как на обычном коммутаторе, а во влане повесить IP-адрес. При этом влан можно прописать на несколько физических интерфейсов.