Mikrotik ROUTEROS的VLAN配置方法, 與一般標準SWITCH略有不同, 它需要建置在bridge界面上..
一台全新的mikrotik, 開機時的IP是192.168.88.1 你會發現它有一內定的bridge界面, 而192.168.88.1 便是設置在此IP上.
我建議呢, 新起一個bridge界面來整合VLAN 配置..以我個人應用來說呢, 我家中有三段VLAN, 分別為vlan2 vlan3 vlan68. 在三台switch中做vlan trunk. vlan id 分別是2, 3, 68. 以下分享標準的mikrotik 整合VLAN trunk的設定方法, 這樣獨立設置出來,可避免在設定VLAN期間,與管理界面失联或在設定失敗時, 完全連不上管理IP, 那時就得又RESET重來.
- 新增bridge_VLAN 供VLAN使用
2. 新增需使用的VLAN,
3. 給每一個VLAN界面一個IP 地址, VLAN 2 給了192.168.58.1, VLAN3 給了192.168.68.254, VLAN3 給了192.168.0.3 , 我把原192.168.88.1, 改成192.168.0.1
4. 到bridge界面中的VLANs, 做相關要做VLAN TAGGED的相關設定
5. ether4 是指設備上第四個埠, 它是SWITCH上的TRUNK PORT. 這里最有趣的點便是你要把bridge加入TAGGED界面里.不止ether4
其實VLAN ID可以全寫在一起, 你按下那個ICON,即可新增寫在這里, 但我建議VLAN不多且有需要UNTAG的你最好各自独立.
6. 其它的VLAN ID都比照上面畫面, 我特別把有UNTAG的畫面也秀出來, 因為我筆電接在POPT 5(ETHER5), 跑在VLAN 3上.
7. 以上配置完了, 基本完成了與SWITCH做VLAN TRUNK的準備,只差最後一步..打開bridge_VLAN,找到VLAN 這一分頁, 啟用VLAN_Filtering, 這一動作打開才完成vlan trunking
下面Ingress Filtering 建議也打開, 它會把不被允許的VLAN ID直接擋在門外.
然後我們來測試, 是否能PING到VLAN 68里的一個設備, 這是我裝龍蝦的內部IP, 192.168.68.81, 它真實的連線是經由mikrotik 連到192.168.0.254 (TRUNK), 再到192.168.0.2 這里UNTAG一個VLAN ID 68的PORT, 實体線接入WIFI AP的一顆MESHED的AP網路上, 這在一樓, 而主控WIFI AP其實在3F, 所以它的路徑較遠, PING出來的值也較大.手机則是用WIFI連入.
我見過不少基層網管, 一直搞不清VLAN TRUNKING的運作機制. 我試著用一種簡單的方式來解釋這個原理.假設你有需求把3個部門做不同的網段,而3個部門在不同的樓層都有人, 你如何讓它們坐在不同樓層又能在同一網段的方法便是做vlan trunking.
假設三個樓層皆有一顆network switch, 只用一根網線連接到中間樓層, 假設中間的當中心, 另兩顆都一條線連到它好了, 那麼便是1-2 2-3, 2這里會有兩個PORT是TRUNK PORT是吧.
TRUNK PORT就是要帶TAG, VLAN ID里的NUMBER數字就是要帶的TAG, 以本篇為例假設剛好便是vlan 2 vlan 3 vlan 68, ID分別為2, 3, 68. 那麼在3樓的SWITCH, 假設除了TRUNK的PORT之外, 另有3個不同部門的人, 那麼就會在3樓的SWITCH上去做UNTAG, PORT1: ID2, PORT2, ID3, PORT3, ID68, 以此類推, 1樓的3個人也分別這樣設置, 那麼3樓的PORT1 與1樓的PORT1, 會透過TRUNKING PORT拿到TAGGED的VLAN ID, UNTAG到本地的端口上, 來決定它們是否為同一LAYER2的網段
這種VLAN TRUNKING的方式是最節省設備及線路的一種技術方式.也是用了很久很久的標準方式, 也是最基本的, 也不知我這樣是否解釋的夠明白? 真的不太容易用文字就能說的明白是嗎?