Сети

Как настроить маршрутизацию между VLAN на Mikrotik CCR 1009

Полное руководство по настройке межсетевой маршрутизации между VLAN на Mikrotik CCR 1009. Узнайте, как правильно настроить мост с VLAN-фильтрацией, IP-адресацию и решить проблемы с связью между подсетями.

Авторы: НейроАгент

Как правильно настроить маршрутизацию между VLAN на Mikrotik CCR 1009?

У меня в сети стоит маршрутизатор Mikrotik CCR 1009. Я недавно взял управление сетью, но пароли были утеряны. Сеть работала нормально, пока интернет-провайдер не сменил адреса шлюзов, что заставило меня сбросить настройки устройства.

После сброса я настроил мост (bridge), добавил VLANы (информацию о которых получил с коммутатора через консольный порт) и восстановил подключение к интернету. VLANы были настроены через мост с использованием VLAN-фильтрации.

Проблема в том, что VLANы не видят друг друга. Например, с компьютера в VLAN 30 я могу пинговать сам мост и все VLAN-порты, но не могу достучаться до устройств, подключенных к этим портам. То же самое наблюдается и с самого маршрутизатора - пингуются только VLAN-порты, но не устройства за ними.

Как правильно настроить маршрутизацию между VLAN на Mikrotik, чтобы хосты из всех VLAN могли обмениваться данными между собой?

Я понимаю, что обычно VLANы изолируют трафик, но в данной сети они должны видеть друг друга. Сеть не моя, и переделывать всю конфигурацию коммутаторов за 6 часов не представляется возможным.

На Mikrotik CCR 1009 для маршрутизации между VLAN необходимо настроить мост с VLAN-фильтрацией и добавить IP-адреса для каждого VLAN на мост, а затем настроить маршрутизацию между сетями. Проблема возникает, потому что просто создания VLAN-интерфейсов недостаточно - нужно правильно настроить мостовые порты и IP-адресацию.

Содержание

Основные концепции настройки

CCR 1009 не имеет встроенного коммутационного чипа, поэтому весь трафик проходит через CPU. Это важно учитывать при настройке производительности сети. Для корректной работы межсетевой маршрутизации между VLAN необходимо использовать мост с VLAN-фильтрацией, который позволяет одновременно обрабатывать Layer 2 коммутацию и Layer 3 маршрутизацию.

Согласно документации MikroTik, мост с VLAN-фильтрацией является рекомендуемым способом настройки VLAN-тегирования, обеспечивая совместимость со стандартами STP, RSTP и MSTP.

Пошаговая конфигурация моста и VLAN

Шаг 1: Создание моста с VLAN-фильтрацией

routeros
/interface bridge
add name=bridge1 vlan-filtering=yes

Шаг 2: Добавление портов в мост с настройкой PVID

Для каждого порта, который должен быть доступным в определенном VLAN, укажите соответствующий PVID (Port VLAN ID):

routeros
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2 pvid=10
add bridge=bridge1 interface=ether3 pvid=20
add bridge=bridge1 interface=ether4 pvid=30

Шаг 3: Настройка таблицы VLAN моста

Вам нужно указать, какие VLAN допускаются на каждом порту:

routeros
/interface bridge vlan
add bridge=bridge1 vlan-ids=10 tagged=ether1
add bridge=bridge1 vlan-ids=20 tagged=ether1
add bridge=bridge1 vlan-ids=30 tagged=ether1
add bridge=bridge1 vlan-ids=10 untagged=ether2
add bridge=bridge1 vlan-ids=20 untagged=ether3
add bridge=bridge1 vlan-ids=30 untagged=ether4

Важно: Не включайте VLAN-фильтрацию сразу, чтобы не потерять доступ к устройству. Настройте все конфигурации, а затем включите фильтрацию.

Настройка IP-адресации и маршрутизации

Шаг 4: Создание VLAN-интерфейсов с IP-адресами

Для каждого VLAN создайте отдельный интерфейс с IP-адресом шлюза:

routeros
/interface vlan
add interface=bridge1 name=vlan10 vlan-id=10
add interface=bridge1 name=vlan20 vlan-id=20
add interface=bridge1 name=vlan30 vlan-id=30

Шаг 5: Назначение IP-адресов VLAN-интерфейсам

routeros
/ip address
add address=192.168.10.1/24 interface=vlan10
add address=192.168.20.1/24 interface=vlan20
add address=192.168.30.1/24 interface=vlan30

Шаг 6: Включение IP-маршрутизации

Убедитесь, что IP-маршрутизация включена:

routeros
/ip settings
set ip-forward=yes

Распространенные проблемы и решения

Проблема 1: Нет связи между VLAN

Причина: Неправильная настройка таблицы VLAN или отсутствие IP-адресов на VLAN-интерфейсах.

Решение: Проверьте конфигурацию таблицы VLAN и убедитесь, что каждый VLAN-интерфейс имеет IP-адрес.

Проблема 2: Порты видны, но устройства за ними нет

Причина: Проблема с PVID настройкой или STP блокирует порты.

Решение: Как отмечают в форуме MikroTik, для CCR 1009 лучше отключить STP на мостовых портах:

routeros
/interface bridge port
set bridge=bridge1 stp=no

Проблема 3: Потеря доступа к устройству после включения VLAN-фильтрации

Решение: Всегда сохраняйте доступ через один порт без VLAN-фильтрации или настройте управление через специальный VLAN.

Проверка работы конфигурации

Проверка таблицы моста

routeros
/interface bridge print
/interface bridge port print
/interface bridge vlan print
/interface vlan print
/ip address print

Тестирование связи

  1. С устройства в VLAN 10 попробуйте пинговать шлюз других VLAN:

    ping 192.168.20.1
ping 192.168.30.1

  2. Проверьте маршрутизацию с самого маршрутизатора:

    /ping 192.168.20.5
/ping 192.168.30.10

  3. Проверьте таблицу маршрутизации:

    /ip route print

Оптимизация производительности

Настройка приоритета трафика

Для CCR 1009, где весь трафик идет через CPU, можно настроить приоритизацию:

routeros
/queue tree
add name=vlan10-parent parent=global
add name=vlan20-parent parent=global
add name=vlan30-parent parent=global

Настройка MTU

Убедитесь, что MTU настроен правильно для VLAN-туннелирования:

routeros
/interface ethernet
set ether1 mtu=1508

Важно: Как отмечают эксперты из сообщества MikroTik, на CCR 1009 из-за отсутствия коммутационного чипа при большой нагрузке между хостами может возникнуть узкое место в CPU. Для высокопроизводительных сред рекомендуется использовать отдельный коммутатор для коммутации, а CCR 1009 оставить только для маршрутизации.

Заключение

  1. Правильная конфигурация моста - основа успешной межсетевой маршрутизации между VLAN на Mikrotik CCR 1009
  2. IP-адреса на VLAN-интерфейсах необходимы для маршрутизации между подсетями
  3. Таблица VLAN должна корректно настраивать tagged и untagged порты
  4. Отключение STP может быть необходимо для предотвращения блокировки портов
  5. Постепенное включение VLAN-фильтрации поможет избежать потери доступа к устройству

Для вашей конкретной ситуации с 6-часовым окном на переделку сети, предложенная конфигурация позволит быстро восстановить связь между VLAN без изменения коммутационной инфраструктуры. Если возникнут дополнительные проблемы, стоит проверить журналы системы и использовать команду /interface bridge monitor для отслеживания событий на мосту.

Источники

  1. Bridge VLAN Table - RouterOS Documentation
  2. Bridging and Switching - RouterOS Documentation
  3. VLAN Configuration - RouterOS Documentation
  4. Config Help VLAN - CCR 1009 (Reddit)
  5. CCR1009-7g-1c-1s - 2xWAN TRUNK VLAN (Forum)
  6. VLANs on a CCR? (Forum)
  7. MIKROTIK INTER VLAN ROUTING WITH BRIDGE (YouTube)
  8. VLANs, pt.2: vlan-filtering and management VLAN (MikroTik)
Авторы
НейроАгент
Автор
Проверено модерацией
НейроОтветы
Модерация
Как настроить маршрутизацию между VLAN на Mikrotik CCR 1009