Mikrotik ROUTEROS的VLAN配置方法, 與一般標準SWITCH略有不同, 它需要建置在bridge界面上..
一台全新的mikrotik, 開機時的IP是192.168.88.1 你會發現它有一內定的bridge界面, 而192.168.88.1 便是設置在此IP上.
我建議呢, 新起一個bridge界面來整合VLAN 配置..以我個人應用來說呢, 我家中有三段VLAN, 分別為vlan2 vlan3 vlan68. 在三台switch中做vlan trunk. vlan id 分別是2, 3, 68. 以下分享標準的mikrotik 整合VLAN trunk的設定方法, 這樣獨立設置出來,可避免在設定VLAN期間,與管理界面失联或在設定失敗時, 完全連不上管理IP, 那時就得又RESET重來.
- 新增bridge_VLAN 供VLAN使用
2. 新增需使用的VLAN,
3. 給每一個VLAN界面一個IP 地址, VLAN 2 給了192.168.58.1, VLAN3 給了192.168.68.254, VLAN3 給了192.168.0.3 , 我把原192.168.88.1, 改成192.168.0.1
4. 到bridge界面中的VLANs, 做相關要做VLAN TAGGED的相關設定
5. ether4 是指設備上第四個埠, 它是SWITCH上的TRUNK PORT. 這里最有趣的點便是你要把bridge加入TAGGED界面里.不止ether4
其實VLAN ID可以全寫在一起, 你按下那個ICON,即可新增寫在這里, 但我建議VLAN不多且有需要UNTAG的你最好各自独立.
6. 其它的VLAN ID都比照上面畫面, 我特別把有UNTAG的畫面也秀出來, 因為我筆電接在POPT 5(ETHER5), 跑在VLAN 3上.
7. 以上配置完了, 基本完成了與SWITCH做VLAN TRUNK的準備,只差最後一步..打開bridge_VLAN,找到VLAN 這一分頁, 啟用VLAN_Filtering, 這一動作打開才完成vlan trunking
下面Ingress Filtering 建議也打開, 它會把不被允許的VLAN ID直接擋在門外.
然後我們來測試, 是否能PING到VLAN 68里的一個設備, 這是我裝龍蝦的內部IP, 192.168.68.81, 它真實的連線是經由mikrotik 連到192.168.0.254 (TRUNK), 再到192.168.0.2 這里UNTAG一個VLAN ID 68的PORT, 實体線接入WIFI AP的一顆MESHED的AP網路上, 這在一樓, 而主控WIFI AP其實在3F, 所以它的路徑較遠, PING出來的值也較大.手机則是用WIFI連入.
我見過不少基層網管, 一直搞不清VLAN TRUNKING的運作機制. 我試著用一種簡單的方式來解釋這個原理.假設你有需求把3個部門做不同的網段,而3個部門在不同的樓層都有人, 你如何讓它們坐在不同樓層又能在同一網段的方法便是做vlan trunking.
假設三個樓層皆有一顆network switch, 只用一根網線連接到中間樓層, 假設中間的當中心, 另兩顆都一條線連到它好了, 那麼便是1-2 2-3, 2這里會有兩個PORT是TRUNK PORT是吧.
TRUNK PORT就是要帶TAG, VLAN ID里的NUMBER數字就是要帶的TAG, 以本篇為例假設剛好便是vlan 2 vlan 3 vlan 68, ID分別為2, 3, 68. 那麼在3樓的SWITCH, 假設除了TRUNK的PORT之外, 另有3個不同部門的人, 那麼就會在3樓的SWITCH上去做UNTAG, PORT1: ID2, PORT2, ID3, PORT3, ID68, 以此類推, 1樓的3個人也分別這樣設置, 那麼3樓的PORT1 與1樓的PORT1, 會透過TRUNKING PORT拿到TAGGED的VLAN ID, UNTAG到本地的端口上, 來決定它們是否為同一LAYER2的網段
這種VLAN TRUNKING的方式是最節省設備及線路的一種技術方式.也是用了很久很久的標準方式, 也是最基本的, 也不知我這樣是否解釋的夠明白? 真的不太容易用文字就能說的明白是嗎?
下面看看另一支手机, 拿到的是另一台WIFI AP給的IP, 192.168.58.98, 它的AP default gateway ip 是192.168.58.254, 這台AP本身並沒有VLAN功能(在LAN的部份), 我讓它的LAN的一條線接入我一顆SWITCH的UNTAG VLAN ID: 2的部份, 使其能透過VLAN TRUNKING 和MIKROTIK ROUTEROS上的VLAN 2 IP 地址: 192.168.58.1 能相連通.
這手机上的截圖可見拿到IP : 192.168.58.98, 它的閘道在: 192.168.58.254, 注意我的MIKROTIK ROUTEROS上的vlan2 ip是192.168.58.1.
接著看看我wifi ap上的界面, 這是一顆dlink的wifi ap , 網路效率不錯, 但缺點便是它連最基本的本地lan的固定路由都沒有, 也很怪它那進階選項里有固定路由功能, 但卻把路由放在廣域網路上, 不知是什麼神設計, 為什麼說它這很鳥呢? 因為如果我在192.168.0.0/24 網段ping 這一段58.0/24 時, 它沒有路由, 沒打回去就會沒法ping的到, 因為有去無回. 但也有解法, 後面說..
這顆DLINK 用手机測速, 上下載都是300M, 剛好是我最大速限300/300, 其實同時筆電還在看電影, 客廳也有人在看電視.所以說它網路效率不錯.
先看看我pc上的ip地址, 我只有192.168.0.0/24 和192.168.31.0/24 兩個網段的本地ip, 另一個是vpn ip, 這里略過不提. default gatway 其實在另一WIFI AP上, 這是因為我的MIKROTIK 在升級後突然無法撥上固定IP/PPPOE, 我只好拿另一顆WIFI AP來用. 在MIKROTIK上則有另一本地192.168.31.2/24的網段IP. 所以在我的本地PC里,沒有192.168.58.0/24的網段的IP地址.
現在我ping 192.168.58.98 為何會通呢? 剛才我不是說有去無回嗎?
先看看我PC上的路由表, 我將要往192.168.58.0/24網段, 往192.168.0.3的GATEWAY IP丟, 這個IP正是bridge_vlan里的vlan 3的IP地址, 192.168.0.3
它只所以會通的原因是我把我本地的192.168.0.168 在mikrotik 上做了一個source NAT, 在路由器上將192.168.0.168 轉成192.168.58.1, 這樣就能有去有回了..
