Показать сообщение отдельно
- 20.11.2020 - 11:11
Какой-то поток сознания из которого не понятно вообще ничего.
Вот в этом видео рассказывается про новый подход к конфигурированию, который вроде как более правильный, если из Микротика хочешь сделать коммутатор https://www.youtube.com/watch?v=wbmHmCDce5Y
Сам я этим методом в продакшене не пользовался, но только что погонял в лабе. Попытаюсь объяснить, как я понимаю этот новый подход.
1. Создаешь bridge (или используешь дефолтный) и делаешь этот bridge своим коммутатором.

/interface bridge
add name=bridge1 vlan-filtering=yes

2. Далее в этот коммутатор ты добавляешь eth порты (Bridge->Ports). При этом обязательно нужно для каждого eth порта указать PVID. Это похоже на native vlan в cisco, если порт в транке. Это дает указание твоему коммутатору, любой пакет без тега VLAN, который пришел в eth порт, пометить тегом PVID. Если PVID не задан, то по дефолту PVID=1

/interface bridge port
add bridge=bridge1 interface=ether1 pvid=10
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3

3. Далее в Bridge->VLANs ты создаешь нужные тебе VLANы и в качестве тегированного порта обязательно указываешь свой bridge, а так же указываешь в какие порты этот VLAN отправлять с тегом или без.

/interface bridge vlan
add bridge=bridge1 tagged=bridge1 untagged=ether1 vlan-ids=10
add bridge=bridge1 tagged=bridge1,ether2 untagged=ether3 vlan-ids=20
add bridge=bridge1 tagged=bridge1,ether3 vlan-ids=30

Прошу заметить один важный момент. Вот тут уже я специально допустил "ошибку". Местами будет работать не так, как ожидается. Обрати внимание, я не дал PVID для eth3

/interface bridge port
add bridge=bridge1 interface=ether3

значит любой входящий в eth3 трафик без тега будет попадать в дефолтный VLAN 1. Но при этом с исходящего трафика от VLAN 20 тег будет сниматься. Других нетегированных VLAN, кроме номера 20, в eth3 не уходит.

/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether2 untagged=ether3 vlan-ids=20

И если попытаться пингануть, например, обычный комп за этим портом из другого места, то трафик придет на Микротик по VLAN 20, при выходе из порта растегируется, но ответ от компа он не получит, так как пришедший от компа ответ попадет не в VLAN 20, а в VLAN 1.
Хотя и тут не совсем так. Там даже до пингов дело не дойдет, ибо пинги работают по IP, а у нас проблема на L2 уровне. VLAN 20 и VLAN 1 изолированы друг от друга.
В cisco с этим проще. Там если порт в access режиме и указываешь только один vlan
switchport access vlan 20
А если порт транковый, то не надо в двух разных местах задавать untagged + PVID. Там это задается командой
switchport trunk native vlan 666
и тогда для уходящих пакетов метки снимаются только с VLAN 666, а входящие пакеты без метки получают метку 666.
С другой стороны в подходе Mikrotik можно из разных VLAN валить в один порт, снимая метки, но зачем оно сильно может понадобиться хз. Может для multicast трафика какого-нибудь в пассивном режиме только на получение.