MikroTik – nowe opcje i sposoby konfiguracji VLAN

Okazuje się, że RouterOS od wersji 6.41 (wydana 22.12.2017) wprowadził dużo zmian, m.in. w sposobie obsługi wirtualnych sieci LAN (VLAN) od strony użytkownika.

Po pierwsze, wygląda na to, że normalny użytkownik nie będzie miał potrzeby zaglądać i grzebać w /interface ethernet switch – wszystko, co zostanie ustawione w menu „wyższego poziomu”, jeśli będzie miało włączone hw=yes (domyślnie tak właśnie jest; hw ~ hardware offload), a możliwości switch chipa będą na to pozwalały, będzie realizowane bezpośrednio na nim (sprzętowo). Znika też w /interface ethernet taki twór jak master-port. Służył on do tej pory temu, żeby wskazać wyższej warstwie oprogramowania jakby przedstawiciela tego switcha, a porty mające ustawiony master-port stawały się jego slave’ami i szczegółowo zarządzać nimi można było tylko we wcześniej wspomnianym podmenu switch.

Jak teraz się robi [głupiego] switcha na kilku portach? Całkiem łatwo: wstawia się wszystkie porty fizyczne do jednego bridge’a – tak jak to dzieje się w domyślnej konfiguracji. Jeśli wszystko się udało, w /interface bridge port po lewej stronie wśród flag dla interface’ów powinna się pojawić litera „H” oznaczająca hw-offload.

Znaczącą nowością jest obsługa MSTP. Lepiej późno niż wcale. I tu zaczynają się schody, bo jedynym w tej chwili produkowanym chipem, który umie je sprzętowo, to ten instalowany w serii urządzeń CRS3xx. Więc na jakimkolwiek innym sprzęcie (czytaj: RB951 itp.) powoduje to wyłączenie hardware offload (na szczęście dzieje się to automatycznie i całkowicie transparentnie). Włączenie MSTP (domyślnie włączony jest RSTP, który umie większość chipów; bez vlan-filtering nie uda się włączyć MSTP): /interface bridge set nazwa_bridge protocol-mode=mstp vlan-filtering=yes Informacje o stanie STP (root itd.): /interface bridge monitor nazwa_bridge

Kolejną nowością jest IGMP snooping. Umieją go sprzętowo już wszystkie CRS (Cloud Router Switch). Pozostałe modele oczywiście tylko software’owo. Włączenie: /interface bridge set nazwa_bridge igmp-snooping=yes (domyślnie wyłączony)

Jak po tych zmianach konfigurować VLANy? Całkiem wygodnie w nowym menu /interface bridge vlan i opcją pvid w /interface bridge port dla konkretnych interface’ów. PVID należy rozumieć jako nr VLAN dla przychodzących pakietów nietagowanych na danym interface; dla interface’u tylko tagowanego można ustawić /int br port set nazwa_portu frame-types=admit-only-vlan-tagged i/lub ustawić PVID, które nie pojawi się na żadnym innym porcie. Dobra (i jednocześnie zła) wiadomość jest taka, że w /int br vlan można wskazać jako członka VLANu interface, który nie należy do bridge’a. Dobra o tyle, że można w ostatniej chwili w ten sposób dołączyć swój interface, na którym się zdalnie pracuje, do bridge’a. Zła o tyle, że przez to przypadkiem można dokonać zmian w konfiguracji, które nie będą działać. Nadać sobie IP w podsieci do managementu można na kilka sposobów, o czym wspomina dokumentacja: https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Management_port Przy kilku VLANach najsensowniejsze wydaje mi się w /int br vlan dodanie VLANowi bridge’a jako tagowanego członka, a potem w /interface vlan stworzenie interface’u, na którym już się nada IP managementowy.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *