leafleafleafDocy banner shape 01Docy banner shape 02Man illustrationFlower illustration
Обновлено 04.05.2026

Настройка VLAN MikroTik с помощью Bridge VLAN Filtering в RouterOS 7

Время чтения: 3 мин. 20 просмотров

Многообразие способов настройки VLAN в RouterOS (через Bridge, Switch Chip и Ethernet) часто вызывает трудности при конфигурации оборудования MikroTik. Данная статья посвящена современному и наиболее универсальному подходу – Bridge VLAN Filtering в RouterOS 7.

Использование фильтрации VLAN через Bridge дает ряд преимуществ:

  • Понятная логика настройки и удобство отладки;
  • Гибкость при реализации L3-сценариев (маршрутизация между VLAN);
  • Корректная работа протоколов Spanning Tree;
  • Универсальность для большинства моделей оборудования.

Однако при выборе метода критически важно учитывать аппаратные возможности маршрутизатора. Если включить Bridge VLAN Filtering на устройствах без поддержки аппаратного ускорения (hardware offload), вся нагрузка по обработке трафика ляжет на CPU.

Важно: аппаратная разгрузка полноценно поддерживается в основном на устройствах серии CRS3xx. На большинстве других моделей MikroTik производительность может значительно снизиться.

Описание стенда

Сегментация сети, как правило, выполняется с использованием VLAN на маршрутизаторе и коммутаторах.

В данной статье рассматривается настройка VLAN на маршрутизаторе MikroTik. Настройка коммутатора будет разобрана отдельно.

Ниже представлена схема небольшой сегментированной сети, которая будет настраиваться. В схеме используются маршрутизатор MikroTik, управляемый коммутатор D-Link и неуправляемый коммутатор.

К маршрутизатору подключены два устройства, находящиеся в отдельном VLAN. К управляемому коммутатору D-Link подключён административный компьютер в отдельном VLAN. Также два порта используются для VLAN пользовательских рабочих станций: один — для подключения компьютера, второй — для подключения неуправляемого коммутатора.

Кроме того, один порт используется для подключения сервера виртуализации, и один — для соединения с маршрутизатором. К неуправляемому коммутатору подключены пользовательские рабочие станции.

Схема сети: сегментация VLAN с использованием маршрутизатора MikroTik и коммутаторов

В рамках стенда используются следующие VLAN:

  • VLAN90 – сеть управления (172.20.90.0/24);
  • VLAN197 – сеть администраторов (192.168.197.0/24);
  • VLAN199 – сеть пользователей (192.168.199.0/24).

На маршрутизаторе MikroTik порты настроены следующим образом:

  • sfp-sfpplus1 – trunk-порт (передаёт VLAN90, VLAN197 и VLAN199);
  • ether5 – access-порт VLAN90 (сеть управления);
  • ether6 – access-порт VLAN90 (сеть управления).
Как видно на схеме, порт маршрутизатора sfp-sfpplus1 настроен как Trunk. Его задача пропускать через себя тегированный трафик сразу нескольких сетей  для связи с коммутатором.
 
Медные порты ether5 и ether6 настроены как Access-порты в VLAN 90. Они передают нетегированный трафик одной конкретной сети и используются для прямого подключения конечных устройств – в нашем случае это порты управления (IPMI) серверов SRV-01 и SRV-02.

Создание bridge

Первым делом необходимо создать bridge:

				
					/interface bridge add name=bridge_MAIN vlan-filtering=yes
Создание интерфейса Bridge с включенным vlan-filtering в MikroTik

Добавление trunk-порта

Добавляем trunk-порт в bridge:

				
					/interface bridge port add bridge=bridge_MAIN frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1
Настройка trunk порта на MikroTik для передачи тегированного трафика

Будьте внимательны: параметр frame-types=admit-only-vlan-tagged разрешает только тегированный трафик, исключая нетегированные кадры. Это повышает предсказуемость и безопасность сети.

Поэтому на всех коммутаторах в сети должны быть корректно настроены VLAN. В противном случае нетегированный трафик (native VLAN, часто VLAN 1 по умолчанию) будет отброшен, что может привести к потере доступа у клиентов.

В качестве альтернативы можно использовать значение admit-all, если требуется пропускать нетегированный трафик.

Настройка access VLAN

Добавление access-портов в bridge

Для устройств, подключённых непосредственно к маршрутизатору (в нашем случае SRV-01 и SRV-02), необходимо создать access-порты в bridge для соответствующего VLAN (90).

Добавляем пятый порт в bridge:

				
					/interface bridge port add bridge=bridge_MAIN interface=ether5 frame-types=admit-only-untagged-and-priority-tagged pvid=90

Добавляем шестой порт в bridge:

				
					/interface bridge port add bridge=bridge_MAIN interface=ether6 frame-types=admit-only-untagged-and-priority-tagged pvid=90
Настройка access портов и назначение PVID 90 на маршрутизаторе MikroTik

Параметр pvid (Port VLAN ID) присваивает VLAN ID входящему нетегированному трафику (от компьютера, принтера и тд), тем самым определяя, к какому VLAN он будет относиться внутри bridge.

Параметр frame-types=admit-only-untagged-and-priority-tagged используется для access-портов и позволяет принимать только нетегированный трафик, отбрасывая кадры с VLAN-тегами. Это необходимо, чтобы до конечных устройств (компьютеров, принтеров и тд) не доходил тегированный трафик, так как такие устройства обычно не поддерживают или не используют VLAN-тегирование.

Создание VLAN-интерфейса

Создаём VLAN интерфейс:

				
					/interface vlan add interface=bridge_MAIN name=vlan90_MGMT vlan-id=90
Создание VLAN интерфейса в RouterOS

Назначение IP-адреса

Присваиваем IP-адрес маршрутизатора в VLAN90:

				
					/ip address add address=172.20.90.1/24 interface=vlan90_MGMT network=172.20.90.0
Назначение IP-адреса в RouterOS

Настройка DHCP-сервера

Опустим вопрос целесообразности использования DHCP для серверов, в данном случае нужно для демонстрации настройки.

Создание пула адресов

Создаём IP Pool:

				
					/ip pool add name=pool_MGMT ranges=172.20.90.100-172.20.90.199

Данный диапазон ограничен адресами с 100 по 199.

Создание DHCP-сервера

Создаём DHCP-сервер:

				
					/ip dhcp-server add name=dhcp_MGMT interface=vlan90_MGMT address-pool=pool_MGMT lease-time=1d
Настройка DHCP сервера для VLAN 90 на MikroTik

Настройка сети DHCP

Задаём параметры сети:

				
					/ip dhcp-server network add address=172.20.90.0/24 gateway=172.20.90.1 dns-server=172.20.90.1

Настройка транзитных VLAN

Настройка VLAN 197 и VLAN 199 немного отличается от VLAN 90.

Поскольку VLAN 197 и VLAN 199 не имеют access-портов на маршрутизаторе и используются только для передачи трафика через trunk, нет необходимости настраивать для них access-порты в bridge. Однако их необходимо явно добавить в таблицу Bridge VLAN Filtering.

Для VLAN 90 записи в таблице создаются автоматически (dynamic) при назначении pvid на access-портах (ether5 и ether6), поэтому при его настройке отдельное добавление в таблицу не требуется.

Добавление VLAN в таблицу bridge

Добавляем VLAN197:

				
					/interface bridge vlan add bridge=bridge_MAIN tagged=bridge_MAIN,sfp-sfpplus1 vlan-ids=197
Добавляем VLAN199: 
				
					/interface bridge vlan add bridge=bridge_MAIN tagged=bridge_MAIN,sfp-sfpplus1 vlan-ids=199
Добавление транзитных VLAN 197 и 199 в таблицу Bridge VLAN на MikroTik

Добавление bridge_MAIN в список tagged необходимо для того, чтобы трафик данного VLAN попадал в CPU маршрутизатора. Это связано с тем, что в MikroTik (Bridge VLAN Filtering) доступ CPU к VLAN не происходит автоматически – его необходимо явно указать в таблице VLAN.

Если не добавить bridge в tagged, трафик будет пересылаться только между портами на уровне L2, но не будет попадать в CPU. В результате маршрутизатор не сможет его обрабатывать: не будет работать IP-адрес на VLAN, DHCP-сервер не будет выдавать адреса, а маршрутизация между VLAN станет невозможной.

Создание VLAN-интерфейса

Создаём VLAN197 интерфейс:

				
					/interface vlan add interface=bridge_MAIN name=vlan197_ADM vlan-id=197

Создаём VLAN199 интерфейс:

				
					/interface vlan add interface=bridge_MAIN name=vlan199_USR vlan-id=199

Назначение IP-адреса

Присваиваем IP-адрес маршрутизатора в VLAN197:

				
					/ip address add address=192.168.197.1/24 interface=vlan197_ADM network=192.168.197.0

Присваиваем IP-адрес маршрутизатора в VLAN199:

				
					/ip address add address=192.168.199.1/24 interface=vlan199_USR network=192.168.199.0

Настройка DHCP-сервера

Данный шаг не является обязательным, но если необходимо, чтобы устройства во VLAN получали адрес с DHCP-сервера то выполняем.

Создание пула адресов

Создаём IP Pool для VLAN197: 
				
					/ip pool add name=pool_ADM ranges=192.168.197.100-192.168.197.199

Данный диапазон ограничен адресами с 100 по 199.

Создаём IP Pool для VLAN199:

				
					/ip pool add name=pool_USR ranges=192.168.199.50-192.168.199.199

Данный диапазон ограничен адресами с 50 по 199.

Создание DHCP-сервера

Создаём DHCP-сервер для VLAN197:

				
					/ip dhcp-server add name=dhcp_ADM interface=vlan197_ADM address-pool=pool_ADM lease-time=1h

Создаём DHCP-сервер для VLAN199:

				
					/ip dhcp-server add name=dhcp_USR interface=vlan199_USR address-pool=pool_USR lease-time=1h

Настройка сети DHCP

Задаём параметры сети VLAN197:

				
					/ip dhcp-server network add address=192.168.197.0/24 gateway=192.168.197.1 dns-server=192.168.197.1

Задаём параметры сети VLAN199:

				
					/ip dhcp-server network add address=192.168.199.0/24 gateway=192.168.199.1 dns-server=192.168.199.1

 

На этом базовая настройка VLAN на маршрутизаторе MikroTik завершена. Настройка второй части стенда (коммутатора) будет рассмотрена в следующей статье.

В завершение важно отметить: само по себе использование VLAN не обеспечивает строгую изоляцию трафика на уровне L3. Так как наш MikroTik выступает шлюзом для всех сетей, маршрутизация между ними разрешена по умолчанию. Для ограничения взаимодействия между сетями (например, запрета доступа из пользовательского VLAN 199 в управляющий VLAN 90) необходимо грамотно настроить правила межсетевого экрана (Firewall Filter Rules).

Leave a Comment

Поделиться этой страницей

Настройка VLAN MikroTik с помощью Bridge VLAN Filtering в RouterOS 7

Или скопируйте ссылку

СОДЕРЖИМОЕ