Mikrotik + DHCP + DHCP reley + 2 VLAN, как реализовать?

Question

[akaTaniS]

Коллеги, доброго дня.

Хочу реализовать видеонаблюдение и WI-FI сеть в отдельные VLAN на Mikrotik.
Примерная схема сети:


Сейчас задействована 1 сеть 10.0.100.0/24 (DHCP раздается на Windows сервере) с поднятым на шлюзе CAPsMAN, возможный будущий VLAN 100 (так же стоит ли загонять основную сеть в VLAN?)
Планируется использовать еще 2, на которых хотелось бы разделить трафик, но оставить доступ из 1 в другую:
2 сеть для WI-FI устройств 10.0.101.0/24 хотел добавить в VLAN 101
3 сеть для видеонаблюдения 10.0.102.0/24 соответственно в VLAN 102
Все планирую сделать на шлюзе и на устройствах на схеме.
Как я понял:
VLAN создан на порту = тегированный порт
VLAN + Bridge + Порт = access порт
Несколько VLAN на порту = trunk порт
Получается на ШЛЮЗЕ RB3011UiAS 10.0.100.1 нужен trunk порт для CRS125-24G-1S (10.0.100.200) для нескольких VLAN (видеонаблюдение, основной сети и WI-FI, на схеме не нарисовал) + access порты для коммутаторов HP и access порты для устройств Wi-Fi и раздать через них по DHCP-relay адреса с основного DHCP сервера.
Не разу не реализовывал VLAN и к тому же на MIKROTIK. Подскажите правильно ли планирую и как лучше это реализовать?

Comments

[Ziptar]

Небольшая ремарка:
access port = фактически порт, через который проходит один vlan; он может быть как тегированым, так и нетегированым
trunk port = порт, через который проходит несколько тегированых vlan
Есть ещё понятие гибридного порта - когда через порт может проходить тегированый и нетегированый vlan одновременно.
Тегированые vlan отличаются от нетегированых наличием vlan-тега в ethernet-фрейме.
То есть если у нас на коммутаторе/маршрутизаторе есть нетегированный порт - то для этого коммутатора/маршрутизатора весь трафик этого порта будет принадлежать к соответствующей vlan, а оборудование на том конце не будет знать о vlan ничего. В случае тегированого порта оборудование на обоих концах будет знать о vlan и должно быть настроено на работу с ним.
При этом у микротика интерфейсы, созданные при помощи /interface vlan всегда будут тегироваными, а обмен трафиком между ними будет осуществляться через bridge. (для создания нетегированых vlan на тике надо использовать оснастку switch в винбоксе (к сожалению не знаю, как через консоль) - это тот же функционал, что у обычных управляемых свичей)

Пример:
Есть свич, к портам 1-41 которого подключается конечное оборудование (телефоны, камеры, рабочие станции etc), порты 1-23 должны принадлежать к vlan10, порты 24-41 к vlan20, а порт 42 уходит на маршрутизатор
Порты 1-23 делаем untagged vlan10, порты 24-41 untagged vlan20, порт 42 делаем транком с tagged vlan10 и tagged vlan20
На микротике на входящий от свича порт вешаем через /Interface vlan два vlan-интерфейса с vlan10 и vlan20, и уже дальше рулим ими или через bridge, или просто как обычными интерфейсами. Через bridge имеет смысл, если на конкретном маршрутизаторе входящих vlan с одинаковым номером больше одного и между ними нужен обмен, иначе проще как обычным интерфейсом.

И да, стоит понимать, что /interface vlan на тиках не всегда может предоставить полнофункциональное средство работы с vlan, обычно его достаточно, если конкретный маршрутизатор является оконечным; в других случаях лучше использовать оснастку switch в винбоксе и настраивать vlan'ы на уровне контроллера свича

Answer 1

[Vladimir Zhurkin]

Как я понял:
Не разу не реализовывал VLAN и к тому же на MIKROTIK. Подскажите правильно ли планирую и как лучше это реализовать?

Правильно в вашем случаи использовать vlan на switch. Многие тупо создают его как интерфейс и получают жопу с производительностью. Так как у вас откровенно убогий 125, то там только switch chip.

Для понимание как работает switch vlan на Mikrotik, советую почитать статью
https://habrahabr.ru/post/313702/
Там единственное не будет конечно тэгов и транков, но просто покажет куда копать и что читать.
Там простое разделение на уровни чипа, что снижает нагрузку.

В итоге вам надо просто создать vlan между которыми будет роутинг на 3011.
Транковый порт вам тут не нужен, если вы не планируете на 125 разбивать на несколько сетей.
Те вся коммутация будет на 3011.

Так же советую обратить внимание на диаграмму
https://i.mt.lv/routerboard/files/RB3011UiAS-16030...

Те вы должны понимать, что в 3011 стоит два чипа и передача между ними идет через CPU!

Answer 2

[Сергей]

Ну у меня нечто похожее было поднято на объекте:
Все порты были оставлены в транк режиме, на каждом порту Vlan1 - не окрашивался, Vlan10 окрашивался (tagged). DHCP был поднят не на интерфейсе, а на бриджах, которые смотрели в lan и voip соответственно.
Первый порт Тика: (vlan1+vlan2_10) второй: (Vlan1_1+Vlan10+Vlan100) в третьем торчал VoIP прова в четвертом WAN
Бриджи: br1 между Vlan1+Vlan1_1; br2 между Vlan2_10 и Vlan10; br3 между Vlan100 и ether3

То есть на свичах вы окрашиваете что Вам надо, внутри интерфейса поднимаете Vlanы и бриджи (если Вам надо) dhcp в моем случае каждый получает в своем Vlan