Ничерта не понятен принцип настройки)) Схематично бы показать и рассказать, что как и почему. И почему бридж, почему влан фильтеринг, тэг, саб интерфейс...... 🤐
11:50 я думал, что этого достаточно. Присвоил мосту номер Vlan и всё. Создал три моста, присвоил каждому мосту свой VLAN, указал в каждом мосте какие порты тегированные, а какие - нет и всё.
Разницу между Bridge и Switch вланами не рассказал. Почему в свойствах влана Bridge Vlan не указал в Untagged физический порт, а сделал это в свойствах интерфейса - тоже не понятно. Проблема в том, что в микротиках довольно легко запутаться по части вланов, они делается разными способами и важно знать где именно аппаратная поддержка работает, а где лишняя нагрузка на процессор. И как правильно это делать. А тут совершенно ненужная общая информация по вланам и очень мало специфики микротиков, ради которой я и хотел посмотреть это видео. Требую переснять.
Добрый день. А вы разобрались в итоге с вопросами в части выбора между bridge vlan filtering и switch chip? Может быть вы могли бы поделиться ссылкой на какой-то источник с подобным разъяснением? Сейчас не совсем понимаю как раз, какой подход использовать в моей ситуации. Есть hap ac3, нужно vlan сделать (провод и wifi). Вот думаю, какой вариант лучше подойдёт для этой модели роутера...
Для продуктивной среды я бы рекомендовал строить VLAN на L3-коммутаторах. VLAN - это про коммутацию. Как вариант, допускаю использовать маршрутизаторы серии CCR.
Наверное имелось в виду, что ядро сети на L3 коммутаторе с маршрутизацией и масками доступа (это конечно не фаервол, задолбаешься правила писать, но разграничить подсети / сервисы можно). Работает очень быстро.
@@SWS-LINK есть сейчас модная тема, где всей сетью управляет специальный контроллер там можно один раз создать профиль фильтрации и он применяется на свитчи л3 уровня а есть профиль для роутера а есть профили для портов еще очень удобная штука и вебморда красивая
Egress VLAN Tag - это таблица, которая содержит конфигурацию для портов VLAN Trunk - портов, которые пересылают тегированные кадры другим устройствам, поддерживающим VLAN. С помощью команды /interface ethernet switch egress-vlan-tag можно настроить тегирование VLAN на определённом порту. Например, чтобы тегировать VLAN 100, 200 и 300 на порту ether20, нужно ввести следующую команду: /interface ethernet switch egress-vlan-tag add \ tagged-ports=ether20 vlan-id=100 /interface ethernet switch egress-vlan-tag add \ tagged-ports=ether20 vlan-id=200 /interface ethernet switch egress-vlan-tag add \ tagged-ports=ether20 vlan-id=300
да, про ипв6 очень непонятно с ним, как его правильно использовать можно ли использовать часть для статических ип, если провайдер выдает /64 префикс или не выдает? у меня в настройках роутера можно выбрать пункт, где я сам могу выбрать префикс для лан части только уже 62 там стоит по умолчанию короче читал я и даже ролики смотрел, но никто не показывает реальных примеров использования и для каких случаев я например хочу, чтобы даже имея динамический ип - у меня в локалке был постоянный адрес + динднс обновлялся и мой сервер был бы доступен можно же такое сделать?
@@flintofer у меня кабельный инторнет и в4 есть только за провайдерским натом так что у меня даже впн толком не сделать но зато есть динамические в6 и телефон не всегда срабатывает звонок входящий есть, а возмеш трубку и тишина надо ждать 2 гудка и потом еще пару сек и тогда только норм будет
Роман, прежде всего, спасибо за ваш труд! Не могу разрешить для себя такой вопрос: "Какая разница (например, для CCR2116) как создавать VLAN - простым навешиванием VLAN на нужные интерфейсы с последующим объединением в бридж и дальнейшим навешиванием IP и сервисов на этот бридж для нужного VLAN, или способом описанным в этот видео". Вопрос, скорее всего, от моего фундаментального непонимания, но я мню, что и там и там CPU-обработка и имхо для CCR2116 - без разницы ... Или я не прав, Роман, на вас уповаю - проясните пожалуйста. Спасибо.
Окно настроек [Ingress VLAN] содержит настройки, такие, как "Service VLAN Lookup For", "Service vid", "Service PCP", "Service DEI", которые не описаны в инструкции.
Недавно заморочился с получением карты сети. Оказался нюанс с LLDP, MNDP (про ломаную карту сети благодаря CapsMan промолчу). MNDP работает на "любом" "интерфейсе" Микротик. LLDP работает только в vlan 1. Если используются устройства разных вендоров и требуется "автокарта" сети, MNDP может добавить проблем. В моём случае используется отдельный management vlan и MNDP туда тоже "сыплет" (настроено специально). Но вот если в Ports не указан vlan 1 ддя порта по LLDP не видит соседние устройства других вендоров. MNDP полезно для поиска устройств Mikrotik, но по SNMP добавляет лишние связи. Карту строил с помощью NetXMS. В сети есть устройства HP, Cisco, Mikrotik, Ubi (только антенны, у которых даже с LLDP всё плохо).
Mndp несколько иной протокол и используют другую мультикастную группу и имеет свойство распространяться далее одного подключения. Он в целом на mikrotik для поиска устройств mikrotik в канале.
Роман, не хватает информации по теме. VLAN по сути в данном виде как настроили на видео, просто упорядочивает пакеты маркируя их, при этом vlan1 будет видеть устройства vlan2...4095, как ограничить всё-таки видимость? например для гостевой сети? в firewall создать правило forward drop, или же на вкладке VLAN изменить admit all? про последнее вообще никто не говорит как и про Ingress Filtering, очень жаль, одни догадки( Также есть сопутствующая проблема, L2 коммутатор, например CSR326 подключённый к "ядру" в winbox в обнаружении виден во всех vlan которые мы завели, 10, 20, 30, можно ли скрыть его? я пытался завести "management vlan" для управления микротиками, всё-равно микротики видно из всех подсетей..
Мягко говоря: 1. Сбросил на заводские; 2. Удалил конфигурацию по умолчанию; 3. Добавил все порты а bridge; 4. Добавил два порт 1, порт 24 и switch-cpu в VLAN 99; 5. Ingress vlan tag port = 1 vlan = 99; 6. egress vlan tag port = 24; В итоге только с порта 24 WinBox видит коммутатор. Может быть порт 1 какой-то особый? В ZYXEL эта задача решается существенно понятнее/логичнее.
Это все VLAN(интерфейсы) на L3, хотелось бы послушать про VLAN на L2(интерфейсы) тот что во вкладке switch где управление switch чипа. Там под капотом насколько я понял используется уже Q in Q хотелось бы лучше понимать механику работы самого оборудования, а не работу VLAN в теории.
В современной версии ros все тяготеет к Vlan filtering и аппаратная поддержка так же ориентирована на него. Что касается qnq, то отвесному корпоративному клиенту она не требуется и так же работает через Vlan filtering с указанием другого идентификатора. Относительно Soho и вкладки switch Vlan - считайте что ее нет)
@@MikrotikTraining Если я правильно понял, идея всех роутеров в том, что от SOC идет 3 порта Eth1 Eth2 Eth3 два первых идут транками в свитч чип, третий идет на WAN порт отдельно. Выходит что внутри роутера уже бегает Q in Q поскольку все VLAN что мы сделаем в ROS будут бегать внутри VLAN роутера. А вкладка switch позволяла нам выделить порт из Q in Q. Как то так ? Выходит что если мы сделаем Q in Q он будет внутри другого Q in Q и получится QinQinQ :) Осознавание вот этого вызывает вопросы.
Пришел к тому что на корневом роутере лично для меня проще работать с просто VLAN без мостов. Одним или парой пачкордов подключаем от корневого роутера к корневому свичу L2 (например микротиковские свичи на SWOS ) и от него хоть на другие свичи с тегами хоть на рабочие станции без тегов. Хотя с САР_ами приходится настраивать как на видео
Зависит от оборудования и нагрузки - если нет аппаратной поддержки Vlan filtering, то так можно сэкономить cpu роутера, но главное разобраться кто в сети root bridge.
очень уж "галопом" и мало подробностей. Хорошо бы взять нормальный кейс и его разобрать. сделать бридж (а не уже в се готово, угадайте что я там настроил), потом какой-то порт назначить как антегет, какой-то транк, где-то передавать тегированные пакеты но не всех вланов.. Вместо этого пол ролика идет информация которой везде куча и которую все знают. Так же проблема того, что при правильной настройке некоторые коммутаторы выдадут грустную скорость - нет информации, а хорошо бы объяснить эти моменты. Спасибо что делаете эти ролики, но хотелось бы более качественного погружения в вопросы.
Сделал все как в гайде, dhcp сервер раздает адреса на второй роутерос и на клиента, но пингует ток второй роутерос dhcp сервер. Клиент не может пропинговать ни шлюз, ни второй роутерос. Подскажите пожалуйста как можно решить данную проблему?
Технически можно намтроить vlan по mac, с одного порта? Задача следующая, есть микротик к нему подключен wifi роутер в режиме моста, хочу на микротике поднять vpn, и что бы только часть устройств подключенных по wifi через роутер были в отдельной сети и шли через vpn(телевизор, xbox и т.д.).
Честно, то я без бриджа сразу на интерфейсе настраиваю влан, без всяких заморочек с фильтрами и прочим. А сейчас у меня цель сделать nps + 802.1q + 802.1x (и на вайфай тоже)
Спасибо большое за видео. Всё понятно. 15:50 На видео на основном коммутаторе включён "Ingress Filtering" в бридже, а на вторичном нет. На что влияет? Где его нужно включать, а где нет?
Требуется консультация. Есть коммутатор L3 CRS112-8p-4s-IN на нем подняты 5 вланов, через бридж-влан. Так же на нем есть сеть 2.0 Когда любой Влан качает с сети 2.0, скорость очень медленная(100мб скачивает за 16сек). Так понимаю нагрузка идет на процессор, который слаб до безобразия. Вопрос 1. а если Вланы настроить на нем через Свич Чип, даст ли это прирост в скорости между сетями ?? Пояснение// интернет (от Hap AC2)(сеть 1.0) к МикрСвичу приходит не прямым линком, а через неуправляемый коммутатор. Мне сказали что надо кидать прямой Линк и настраивать Роутер-на-Палочке, на роутере поднимать вланы, настраивать Транк порты между роутером и свичом. Но админ тупой мудак, по этому с пробросом прямого линка пока проблемы.. Вопрос 2(на будущее если будет прямой линк) через транк порт может проходить трафик сети 2.0(поднята на свиче) ? или ее тоже надо загонять в отдельный Влан ?
На crs1xx/2xx правильная настройка через switch chip - к сожалению это устаревшие устройства и на них все иначе - почитайте документацию, как правильно их настраивать.
Добрый день, Роман! Спасибо за видеоурок. Возникло несколько вопросов: 1. Если на одном Vlan-е, на устройстве нужны только access порты, то в бридже надо создавать влан-бридж и указывать тегированный или антег? 2. Если на роутере используются только нет access-портов, может и не стоит подымать влан на бридже, использовать в качестве транк портов ethernet-интерфейсы? hardware offload останется включен. 3. Вопрос не по теме, "настольный" роутер (hap lite), например, как лучше устанавливать, горизонтально (на столе) или вертикально (на стене), для лучшего распространения сигнала в горизонтальной плоскости? Как у него антенны размещены внутри? Спасибо!
1. Не до конца понял вопрос. 2. Hardware offload + l3hw требует наличия bridge и bridge Vlan filtering 3. С учетом того что в hap lite 2.4Ghz и с учетом omni антенн в текстолите - все равно - как нравится) В целом приходите к нам в теграм чат @miktrain
@@MikrotikTraining по поводу первого первого вопроса, я сам уже понял (там два варианта, если не так, то эдак 🙂. Методом тыка, что-нибудь да получиться). Спасибо!
Добрый день Роман! скажите пожалуйста как проконтролировать расход трафика? мы моряки, купили себе Старлинк и каждый моряк будет оплачивать только тот трафик который израсходовал за месяц. так вот как посмотреть сколько каждый член экипажа потратил? либо подскажите в каком уроке это объясняется. Хорошего дня!
Как бегает трафик при такой схеме? Всё через роутер? или если влан общающихся хостов совпадает, то трафик бегает в пределах свитчей, а если хосты из разных вланов, то через роутер?
Конечно - мы переходим на уровень l3 - на уровень маршрутизации. По факту - если адрес сети в заголовке пакета назначения не совпадает с адресом сети пакета источника, то отправляем на Mac адрес шлюза, далее шлюз должен разобраться куда отправить данный пакет согласно своей таблице маршрутизаци.
В чем может быть причина того, что на втором устройстве я не могу назначить VLAN на конкретнй порт. Опция просто недоступна. Сами порты почему-то находятся в состоянии dynamic?
Will ask in English: how does Mikrotik solve situation when on trunk (tagged) port comes frame without VLAN tag? Cisco has so called NATIVE VLAN, but how about Mikrotik?
Ведь можна просто создать vlan на интерфейс и добавить его в бридж с комутационным портом, а на втором комутаторе прописать vlan на входе и добавить его в бридж на нужные порты, так же проще ??
Есть такой вопрос, так как роутерос это маршрутизатор, имеет ли преимущество настройка вланов перед простой маршрутизацией? Я вижу смысл в настройке вланов если у нас стоят управляемые комутаторы, но есть ли смысл создавать вланы если, к примеру, имеется не большая сеть которая управляться несколькими роутерос ?
Эмм. VLAN - это история про L2. L2 - это про широковещательные дела. Маршрутизация - про L3. Вам что нужно то? И зачем в мелкой сети маршрутизировать? Ну и да. Если у вас мелкая сеть, разделенная на VLAN'ы, маршрутизация (между виланами) все равно будет))) Через "главный" роутер. (В примере Романа это 88.1) И это правильно. Ну и наконец - пропуск пакетов на уровне свитча (с аппаратным свитч-чипом) обычно быстрее (см. перфоманс тесты на сайте микротика про железки) даже при наличии VLAN'ов, уж коли они аппаратно разгружаются свитч-чипом не перенося нагрузку на центральный процессор.
@@MrKotische Понятно что это разные вещи. Но скажем у нас главный роутер. А на выходе только не управляемые свичи или на прямую клиенты. Клиентов штук 30-50 на всю сеть. Надо отделить в отдельную подсеть ряд устройств, они все на одном отдельном выходе. По сути это коннектед сети. Их даже прописывать не нужно, роутер о них и так должен узнать.
@@baklan2004 так и есть. В таком случае полезность виланов неочевидна. Действительно коннектед сети, никому там ничего объяснять не надо, за тупыми свитчами все словят свой сегмент и все будет ок. Но есть момент. Я, к примеру, не люблю такие сценарии. 50 рыл в сети - это не то чтобы совсем мало. 50 пользователей, это вполне может быть там, что 50 компов, к ним 50 VoIP (IP телефонов, ну +/-), они могут еще и со своими мобильниками быть, плюс принтеры, плюс камеры наблюдения, плюс серверы. Это может быть уже 200+ клиентов сети. И я, к примеру, не любитель, делить такие сети на 2 части. По ряду причин. 1) Для Wi-Fi такие броадкасты не сильно полезны. Особенно, если сетка не шибко быстрая с клиентами соответствующими, взгрустнется им. 2) Когда в таких сетках (заведомо уже с кучей свитчей), да еще и разбросанных по комнатам случается какой-нибудь факап (креслом кабель переехали, мыши погрызли (да, да, такое тоже бывает), "умный" сотрудник воткнул валяющийся на полу без дела конец витой пары обратно в розетку и нарисовал петлю в сети - начинается небольшой адок с поиском где приключилась печалька. В одной знакомой сетке не сильно большего размера (100 с небольшим сотрудников) проблему пытались локализовать больше недели. Все это время сетка то работала, то не работала, короче нормально работать контора не могла. 3) Мониторинг. Я не люблю ставить на мониторинг тотально сетку. Пользователь комп включил. Выключил. То "красный" объект (проблемный), то зеленый (ок). Я предпочитаю ставить на мониторинг все "неклиентское". Чтобы реагировать на возникающий трабл оперативнее. Красный - надо подрываться и бежать что-то фиксить. Спокойствие достигается виланами и заменой свитчей на умные. IMHO
смысл есть - практический пример - подсеть dmz с веб серверами и публичными сервисами можно "размазать" по разным серверным без проблем. Можно легко "воткнуть" свой рабочий комп в эту подсеть.
Добрый день. Возможно добавить wan порт в существующий бридж, дать ему влан айди случайный и через влан получать настройки по dhcp от провайдера? Чтобы не создавать несколько бриджей и работал hardware offload.
Если на свиче виланам присвоить IP, то между ними начнется маршрутизация, так? Т.е. надо будет создать запрещающее правило в фильтре, а это может привести к нагрузке на слабый процессор свича.
А почему он два раза создавал VLAN 2? Сначала на 12:40, а потом на 13:20. И еще я не понял зачем к VLAN привязывать ip address если номер vlan обычно привязывается к какому либо уже существующему порту
Работаю в БЦ инженером АСУ, но у нас д-линки, от провайдеров через влан раздаем арендаторам интернет. И вот как-то на д-линках это все проще устроено )))
Только в итоге если большое количество vlan через один бридж, нагрузка улетает в 100% и сеть начинает валиться, нужно иметь микрот с чипом коммутации мощным.
Спасибо за труд. Но это видео не подходит для начинающих. С самого начала у Вас есть какие-то настройки. Какие? не понятно. Можно видео разбить на несколько этапов этапа. 1 предварительные настройки 1 микрот. 2. Предварительные настройки второго микрота, 3. настройка access порта на одном микроте. 4 настройка trunk порта и 5 настройка access порта на втором микроте. В конце каждого этапа проверка
микротик без санкций? или это параллельный импорт ? имхо судя по ценам микротик сейчас только для среднего бизнеса. Для дома кинетик в 2 раза дешевле и по качеству лучше, слишком уж часто у микрота проблемы с выгоранием портов и отвалов вафли, кинетики же дясителетиями работают))
@@andreyparfenov на вики микротика 3 способа как это сделать. Судя по статье - нет у них таких планов. Кстати, на их по-моему (Mikrotik) канале есть видео, как Winbox запилить на маке. Кстати, под Wine не только Winbox можно. У меня и Netinstall и Dude работают. Но, объективности ради, Netinstall работает почему-то безумно (!!!) долго. Точнее заливается эта крошечная прошивка в роутер часами с вайфая. Хотя казалось бы... Сколько там того объема. Не понял почему. Сама вафля достаточно шустрая в обычной жизни.
@@MikrotikTraining а если не lhg, а wap r и нужо чтобы роутер управлял wlan1 интерфейсом через capsman? нужно ли делать отдельный vlan для capsman или он сам разберется? если я создаю только vlan для passthrough капсман поднимает wifi сеть, но клиенты не получают адреса.
Я не самый сильный спец но очень нравятся микроты за 10 лет установок разным знакомым и друзьям ни один ещё не жаловался себе ставил из за надёжности и приличного удоления от сотовых вышек но капитально настроить не получается в виду отсутствия глубоких познаний
@@MikrotikTraining судя по сообщениям в СМИ из Великобритании некая никому не известная компания директор которой судя по найденной инфе гражданка Украины работающая с низкой "моральной оценкой" переправила в Россию ИТ оборудования на 2 ярда баксов за 2022год.
Это видео крайне неудачное. Рассказано очень поверхностно и для "галочки". Вероятно все подробности только для тех кто пойдет на курсы. Ну чтож - найдем другое видео...
тегированный вилан - этож бля масло масленное! влан метка, тег, это признак принадлежности к какому то влану. или есть не тегированные вланы, вланы без тега??!!!! афтар, ты сам то в теме разобрался??!!!
Vlan это vlan, bridge это bridge) В Linux все идентично - посмотрите iproute2. Далее - изначально появились bridge, задача которых делить домены коллизий и объединить интерфейсы. Далее появились коммутаторы - те же bridge, но реализованные аппаратно и уже после появились vlan - задача которых делить области широковещательной рассылки. Vlan в Linux имеете реализацию через bridge и отдельно через интерфейсы - в MikroTik не отличается реализация от Linux.
taged, untaged, access, trunk. А оказывается есть ещё hybrid порты. Которые taged и untaged одновременно. И когда я с ними впервые столкнулся, то было сложно осознать эту сущность и понять как она работает.
По сути кадры у нас либо измеренные (с добавлением 4 байт) или исходные - остальное по факту измышления на тему как с этим работать от различных производителей.
Спасибо! Сколько раз смотрю, каждый раз по новому. Заморочили сильно виланы в микротиках)
А что изменилось? Я не заметил изменений в настройках vlan с 6 ROS.
@@НиколайМосалов-в6с ничего не изменилось. Это я так выразился, что для меня каждый раз как по новому)
Ничерта не понятен принцип настройки)) Схематично бы показать и рассказать, что как и почему. И почему бридж, почему влан фильтеринг, тэг, саб интерфейс...... 🤐
специфика микротика просто
микрот же. в нем все через прибалтийскую логику.
Да, после той же cisco звучит как ересь))) на Cisco в несколько команд...
@@ZmiterIv или на huawei
11:50 я думал, что этого достаточно. Присвоил мосту номер Vlan и всё. Создал три моста, присвоил каждому мосту свой VLAN, указал в каждом мосте какие порты тегированные, а какие - нет и всё.
Все это знал, но приятно было еще раз послушать, спасибо.
Хорошее видео :) Рад что шесть лет наткнулся на этот канал.
Спасибо все доходчиво и понятно рассказано. На хороших живых и понятных примерах. Я новичок в данной теме.
Разницу между Bridge и Switch вланами не рассказал. Почему в свойствах влана Bridge Vlan не указал в Untagged физический порт, а сделал это в свойствах интерфейса - тоже не понятно. Проблема в том, что в микротиках довольно легко запутаться по части вланов, они делается разными способами и важно знать где именно аппаратная поддержка работает, а где лишняя нагрузка на процессор. И как правильно это делать. А тут совершенно ненужная общая информация по вланам и очень мало специфики микротиков, ради которой я и хотел посмотреть это видео. Требую переснять.
Посмотрите вебинар. Почитайте документацию.
Добрый день. А вы разобрались в итоге с вопросами в части выбора между bridge vlan filtering и switch chip? Может быть вы могли бы поделиться ссылкой на какой-то источник с подобным разъяснением?
Сейчас не совсем понимаю как раз, какой подход использовать в моей ситуации. Есть hap ac3, нужно vlan сделать (провод и wifi). Вот думаю, какой вариант лучше подойдёт для этой модели роутера...
😂 Запишись на курс MTCRE и там Все узнаешь
В интерфейсе в принципе негде указывать тегироованый или нет
Как я ждал это видео!
Спасибо, Роман!
Наконец влан от Романа! Спасибище!
Роман, как всегда 👍💪
Спасибо, как всегда все кратко и четко!
Для продуктивной среды я бы рекомендовал строить VLAN на L3-коммутаторах. VLAN - это про коммутацию. Как вариант, допускаю использовать маршрутизаторы серии CCR.
Интересно при чем тут l3, если мы говорим про дополнительную метку в заголовке l2 кадра? Относительно железа - да все верно - crs3xx
Наверное имелось в виду, что ядро сети на L3 коммутаторе с маршрутизацией и масками доступа (это конечно не фаервол, задолбаешься правила писать, но разграничить подсети / сервисы можно). Работает очень быстро.
@@SWS-LINK
есть сейчас модная тема, где всей сетью управляет специальный контроллер
там можно один раз создать профиль фильтрации и он применяется на свитчи л3 уровня
а есть профиль для роутера
а есть профили для портов еще
очень удобная штука и вебморда красивая
@@kalobyte как Это называтеся ?
Роман, спасибо большое!
Спасибо! Я всё делал интуитивно, а как оказалось так и есть)))
Egress VLAN Tag - это таблица, которая содержит конфигурацию для портов VLAN Trunk - портов, которые пересылают тегированные кадры другим устройствам, поддерживающим VLAN.
С помощью команды /interface ethernet switch egress-vlan-tag можно настроить тегирование VLAN на определённом порту. Например, чтобы тегировать VLAN 100, 200 и 300 на порту ether20, нужно ввести следующую команду:
/interface ethernet switch egress-vlan-tag add \
tagged-ports=ether20 vlan-id=100
/interface ethernet switch egress-vlan-tag add \
tagged-ports=ether20 vlan-id=200
/interface ethernet switch egress-vlan-tag add \
tagged-ports=ether20 vlan-id=300
13:02 вот здесь я уже потерялся. Потерял логику. Ведь, надо не бездумно повторять, а понять логику. У кого-нибудь есть инструкция к Router OS 6.49?
Спасибо. Как заметка. Более сокращенно, чем преведущее видео и ... почему на bridge1 не включали ingress filtering, а на bridge оставляем включеным?
Frame type «Admit All» означает, что порт будет принимать все типы кадров: как тегированные, так и нетэгированные.
я джва года этого ждал!
Спасибо!! Очень понятное и классное видео!! Роман, запишите пожалуйста видео про IPv6 и про TFTP и HTTP сервера на микротике.
Поставим в очередь)
да, про ипв6 очень непонятно с ним, как его правильно использовать
можно ли использовать часть для статических ип, если провайдер выдает /64 префикс
или не выдает? у меня в настройках роутера можно выбрать пункт, где я сам могу выбрать префикс для лан части
только уже 62 там стоит по умолчанию
короче читал я и даже ролики смотрел, но никто не показывает реальных примеров использования и для каких случаев
я например хочу, чтобы даже имея динамический ип - у меня в локалке был постоянный адрес + динднс обновлялся и мой сервер был бы доступен
можно же такое сделать?
@@kalobyte Вот вот и я так же хочу получать доступ например к своему домашнему Asterisk через IPv6
@@flintofer
у меня кабельный инторнет и в4 есть только за провайдерским натом
так что у меня даже впн толком не сделать
но зато есть динамические в6 и телефон не всегда срабатывает
звонок входящий есть, а возмеш трубку и тишина
надо ждать 2 гудка и потом еще пару сек и тогда только норм будет
Роман, прежде всего, спасибо за ваш труд! Не могу разрешить для себя такой вопрос: "Какая разница (например, для CCR2116) как создавать VLAN - простым навешиванием VLAN на нужные интерфейсы с последующим объединением в бридж и дальнейшим навешиванием IP и сервисов на этот бридж для нужного VLAN, или способом описанным в этот видео". Вопрос, скорее всего, от моего фундаментального непонимания, но я мню, что и там и там CPU-обработка и имхо для CCR2116 - без разницы ... Или я не прав, Роман, на вас уповаю - проясните пожалуйста. Спасибо.
Окно настроек [Ingress VLAN] содержит настройки, такие, как "Service VLAN Lookup For", "Service vid", "Service PCP", "Service DEI", которые не описаны в инструкции.
Для нетренированных портов достаточно указать pvid? Не нужно прописывать в untagged?
В Mikrotik, видимо так. В Keenetic просто создаёшь VLAN, указываешь порты с тегом и без тега и это сразу работает.
только включил и сразу лайк
Недавно заморочился с получением карты сети. Оказался нюанс с LLDP, MNDP (про ломаную карту сети благодаря CapsMan промолчу). MNDP работает на "любом" "интерфейсе" Микротик. LLDP работает только в vlan 1. Если используются устройства разных вендоров и требуется "автокарта" сети, MNDP может добавить проблем. В моём случае используется отдельный management vlan и MNDP туда тоже "сыплет" (настроено специально). Но вот если в Ports не указан vlan 1 ддя порта по LLDP не видит соседние устройства других вендоров. MNDP полезно для поиска устройств Mikrotik, но по SNMP добавляет лишние связи. Карту строил с помощью NetXMS. В сети есть устройства HP, Cisco, Mikrotik, Ubi (только антенны, у которых даже с LLDP всё плохо).
Mndp несколько иной протокол и используют другую мультикастную группу и имеет свойство распространяться далее одного подключения. Он в целом на mikrotik для поиска устройств mikrotik в канале.
Настроил со второго раза т.к. вначале не понял логику, но теперь есть ясность.
Спасибо за отзыв)
Роман, не хватает информации по теме.
VLAN по сути в данном виде как настроили на видео, просто упорядочивает пакеты маркируя их, при этом vlan1 будет видеть устройства vlan2...4095, как ограничить всё-таки видимость? например для гостевой сети? в firewall создать правило forward drop, или же на вкладке VLAN изменить admit all? про последнее вообще никто не говорит как и про Ingress Filtering, очень жаль, одни догадки(
Также есть сопутствующая проблема, L2 коммутатор, например CSR326 подключённый к "ядру" в winbox в обнаружении виден во всех vlan которые мы завели, 10, 20, 30, можно ли скрыть его? я пытался завести "management vlan" для управления микротиками, всё-равно микротики видно из всех подсетей..
Мягко говоря:
1. Сбросил на заводские;
2. Удалил конфигурацию по умолчанию;
3. Добавил все порты а bridge;
4. Добавил два порт 1, порт 24 и switch-cpu в VLAN 99;
5. Ingress vlan tag port = 1 vlan = 99;
6. egress vlan tag port = 24;
В итоге только с порта 24 WinBox видит коммутатор.
Может быть порт 1 какой-то особый?
В ZYXEL эта задача решается существенно понятнее/логичнее.
Это все VLAN(интерфейсы) на L3, хотелось бы послушать про VLAN на L2(интерфейсы) тот что во вкладке switch где управление switch чипа. Там под капотом насколько я понял используется уже Q in Q хотелось бы лучше понимать механику работы самого оборудования, а не работу VLAN в теории.
В современной версии ros все тяготеет к Vlan filtering и аппаратная поддержка так же ориентирована на него. Что касается qnq, то отвесному корпоративному клиенту она не требуется и так же работает через Vlan filtering с указанием другого идентификатора. Относительно Soho и вкладки switch Vlan - считайте что ее нет)
@@MikrotikTraining Если я правильно понял, идея всех роутеров в том, что от SOC идет 3 порта Eth1 Eth2 Eth3 два первых идут транками в свитч чип, третий идет на WAN порт отдельно. Выходит что внутри роутера уже бегает Q in Q поскольку все VLAN что мы сделаем в ROS будут бегать внутри VLAN роутера. А вкладка switch позволяла нам выделить порт из Q in Q. Как то так ? Выходит что если мы сделаем Q in Q он будет внутри другого Q in Q и получится QinQinQ :) Осознавание вот этого вызывает вопросы.
спасибо за видео ,все вышло, единственный момент - как настроить инет на устройствах ,которые находятся в влан?
В закладки) иногда полезно вспомнить некоторые моменты.
Пришел к тому что на корневом роутере лично для меня проще работать с просто VLAN без мостов. Одним или парой пачкордов подключаем от корневого роутера к корневому свичу L2 (например микротиковские свичи на SWOS ) и от него хоть на другие свичи с тегами хоть на рабочие станции без тегов. Хотя с САР_ами приходится настраивать как на видео
Зависит от оборудования и нагрузки - если нет аппаратной поддержки Vlan filtering, то так можно сэкономить cpu роутера, но главное разобраться кто в сети root bridge.
очень уж "галопом" и мало подробностей. Хорошо бы взять нормальный кейс и его разобрать. сделать бридж (а не уже в се готово, угадайте что я там настроил), потом какой-то порт назначить как антегет, какой-то транк, где-то передавать тегированные пакеты но не всех вланов.. Вместо этого пол ролика идет информация которой везде куча и которую все знают. Так же проблема того, что при правильной настройке некоторые коммутаторы выдадут грустную скорость - нет информации, а хорошо бы объяснить эти моменты. Спасибо что делаете эти ролики, но хотелось бы более качественного погружения в вопросы.
Здравствуйте Роман! Было бы очень интересно послушать про настройки Lte антенн на Mikrotik!
Когда-нибудь сделаем - но по факту там ничего кроме как настроить apn и юстировать и нет
Сделал все как в гайде, dhcp сервер раздает адреса на второй роутерос и на клиента, но пингует ток второй роутерос dhcp сервер. Клиент не может пропинговать ни шлюз, ни второй роутерос. Подскажите пожалуйста как можно решить данную проблему?
Технически можно намтроить vlan по mac, с одного порта? Задача следующая, есть микротик к нему подключен wifi роутер в режиме моста, хочу на микротике поднять vpn, и что бы только часть устройств подключенных по wifi через роутер были в отдельной сети и шли через vpn(телевизор, xbox и т.д.).
Честно, то я без бриджа сразу на интерфейсе настраиваю влан, без всяких заморочек с фильтрами и прочим. А сейчас у меня цель сделать nps + 802.1q + 802.1x (и на вайфай тоже)
Смотрите видео про dot1x, но без bridge вам не обойтись.
Спасибо большое за видео. Всё понятно.
15:50 На видео на основном коммутаторе включён "Ingress Filtering" в бридже, а на вторичном нет.
На что влияет? Где его нужно включать, а где нет?
Влияет на поведение Vlan - если включен, то будут работать только прописанные Vlan, если выключен то все кадры с тегами будут проходить.
@@MikrotikTraining 🙏Спасибо.
Требуется консультация.
Есть коммутатор L3 CRS112-8p-4s-IN на нем подняты 5 вланов, через бридж-влан. Так же на нем есть сеть 2.0
Когда любой Влан качает с сети 2.0, скорость очень медленная(100мб скачивает за 16сек). Так понимаю нагрузка идет на процессор, который слаб до безобразия.
Вопрос 1. а если Вланы настроить на нем через Свич Чип, даст ли это прирост в скорости между сетями ??
Пояснение// интернет (от Hap AC2)(сеть 1.0) к МикрСвичу приходит не прямым линком, а через неуправляемый коммутатор.
Мне сказали что надо кидать прямой Линк и настраивать Роутер-на-Палочке, на роутере поднимать вланы, настраивать Транк порты между роутером и свичом.
Но админ тупой мудак, по этому с пробросом прямого линка пока проблемы..
Вопрос 2(на будущее если будет прямой линк) через транк порт может проходить трафик сети 2.0(поднята на свиче) ? или ее тоже надо загонять в отдельный Влан ?
На crs1xx/2xx правильная настройка через switch chip - к сожалению это устаревшие устройства и на них все иначе - почитайте документацию, как правильно их настраивать.
Добрый день, Роман! Спасибо за видеоурок. Возникло несколько вопросов:
1. Если на одном Vlan-е, на устройстве нужны только access порты, то в бридже надо создавать влан-бридж и указывать тегированный или антег?
2. Если на роутере используются только нет access-портов, может и не стоит подымать влан на бридже, использовать в качестве транк портов ethernet-интерфейсы? hardware offload останется включен.
3. Вопрос не по теме, "настольный" роутер (hap lite), например, как лучше устанавливать, горизонтально (на столе) или вертикально (на стене), для лучшего распространения сигнала в горизонтальной плоскости? Как у него антенны размещены внутри?
Спасибо!
1. Не до конца понял вопрос.
2. Hardware offload + l3hw требует наличия bridge и bridge Vlan filtering
3. С учетом того что в hap lite 2.4Ghz и с учетом omni антенн в текстолите - все равно - как нравится)
В целом приходите к нам в теграм чат @miktrain
@@MikrotikTraining по поводу первого первого вопроса, я сам уже понял (там два варианта, если не так, то эдак 🙂. Методом тыка, что-нибудь да получиться). Спасибо!
Добрый день Роман!
скажите пожалуйста как проконтролировать расход трафика? мы моряки, купили себе Старлинк и каждый моряк будет оплачивать только тот трафик который израсходовал за месяц. так вот как посмотреть сколько каждый член экипажа потратил? либо подскажите в каком уроке это объясняется.
Хорошего дня!
Лучше настроить netflow analyzer. Роутер - он и ребутнутся может, а тогда вся статистика с kid control потеряется....
Как бегает трафик при такой схеме? Всё через роутер? или если влан общающихся хостов совпадает, то трафик бегает в пределах свитчей, а если хосты из разных вланов, то через роутер?
Конечно - мы переходим на уровень l3 - на уровень маршрутизации. По факту - если адрес сети в заголовке пакета назначения не совпадает с адресом сети пакета источника, то отправляем на Mac адрес шлюза, далее шлюз должен разобраться куда отправить данный пакет согласно своей таблице маршрутизаци.
Здравствуйте, как правильно навесить native vlan на интерфейс ?
Можно ли добавить eoip интерфейс в vlan? Почему может не быть интернета в vlan?
В чем может быть причина того, что на втором устройстве я не могу назначить VLAN на конкретнй порт. Опция просто недоступна. Сами порты почему-то находятся в состоянии dynamic?
Решил
Will ask in English: how does Mikrotik solve situation when on trunk (tagged) port comes frame without VLAN tag? Cisco has so called NATIVE VLAN, but how about Mikrotik?
Pvid - like in Linux iproute2
Ведь можна просто создать vlan на интерфейс и добавить его в бридж с комутационным портом, а на втором комутаторе прописать vlan на входе и добавить его в бридж на нужные порты, так же проще ??
Проще, но не правильно относительно архитектуры Linux bridge и тем более никак не согласуется с hw offload.
Есть такой вопрос, так как роутерос это маршрутизатор, имеет ли преимущество настройка вланов перед простой маршрутизацией? Я вижу смысл в настройке вланов если у нас стоят управляемые комутаторы, но есть ли смысл создавать вланы если, к примеру, имеется не большая сеть которая управляться несколькими роутерос ?
Эмм. VLAN - это история про L2. L2 - это про широковещательные дела. Маршрутизация - про L3. Вам что нужно то? И зачем в мелкой сети маршрутизировать? Ну и да. Если у вас мелкая сеть, разделенная на VLAN'ы, маршрутизация (между виланами) все равно будет))) Через "главный" роутер. (В примере Романа это 88.1) И это правильно. Ну и наконец - пропуск пакетов на уровне свитча (с аппаратным свитч-чипом) обычно быстрее (см. перфоманс тесты на сайте микротика про железки) даже при наличии VLAN'ов, уж коли они аппаратно разгружаются свитч-чипом не перенося нагрузку на центральный процессор.
@@MrKotische Понятно что это разные вещи. Но скажем у нас главный роутер. А на выходе только не управляемые свичи или на прямую клиенты. Клиентов штук 30-50 на всю сеть. Надо отделить в отдельную подсеть ряд устройств, они все на одном отдельном выходе. По сути это коннектед сети. Их даже прописывать не нужно, роутер о них и так должен узнать.
@@baklan2004 так и есть. В таком случае полезность виланов неочевидна. Действительно коннектед сети, никому там ничего объяснять не надо, за тупыми свитчами все словят свой сегмент и все будет ок. Но есть момент. Я, к примеру, не люблю такие сценарии. 50 рыл в сети - это не то чтобы совсем мало. 50 пользователей, это вполне может быть там, что 50 компов, к ним 50 VoIP (IP телефонов, ну +/-), они могут еще и со своими мобильниками быть, плюс принтеры, плюс камеры наблюдения, плюс серверы. Это может быть уже 200+ клиентов сети. И я, к примеру, не любитель, делить такие сети на 2 части. По ряду причин. 1) Для Wi-Fi такие броадкасты не сильно полезны. Особенно, если сетка не шибко быстрая с клиентами соответствующими, взгрустнется им. 2) Когда в таких сетках (заведомо уже с кучей свитчей), да еще и разбросанных по комнатам случается какой-нибудь факап (креслом кабель переехали, мыши погрызли (да, да, такое тоже бывает), "умный" сотрудник воткнул валяющийся на полу без дела конец витой пары обратно в розетку и нарисовал петлю в сети - начинается небольшой адок с поиском где приключилась печалька. В одной знакомой сетке не сильно большего размера (100 с небольшим сотрудников) проблему пытались локализовать больше недели. Все это время сетка то работала, то не работала, короче нормально работать контора не могла. 3) Мониторинг. Я не люблю ставить на мониторинг тотально сетку. Пользователь комп включил. Выключил. То "красный" объект (проблемный), то зеленый (ок). Я предпочитаю ставить на мониторинг все "неклиентское". Чтобы реагировать на возникающий трабл оперативнее. Красный - надо подрываться и бежать что-то фиксить. Спокойствие достигается виланами и заменой свитчей на умные. IMHO
смысл есть - практический пример - подсеть dmz с веб серверами и публичными сервисами можно "размазать" по разным серверным без проблем. Можно легко "воткнуть" свой рабочий комп в эту подсеть.
до этого видео я умел настраивать vlan на микротике =\
Добрый день. Возможно добавить wan порт в существующий бридж, дать ему влан айди случайный и через влан получать настройки по dhcp от провайдера? Чтобы не создавать несколько бриджей и работал hardware offload.
Возможно, но прийдется разобраться с stp и igmp.
Запишите пожалуйста видео как написать скрипт для автоматического бэкапа конфигурации и сохранения ее по SMB/CIFS
Такое не будем делать. Во первых не понятно зачем на smb, второе есть куча вариантов более удобных - например mail.
Я вот вижу Микрот, который до меня был настроен, там нет ничего в Bridge-Vlans, а вланы работают!
Если на свиче виланам присвоить IP, то между ними начнется маршрутизация, так? Т.е. надо будет создать запрещающее правило в фильтре, а это может привести к нагрузке на слабый процессор свича.
Для ограничения используйте switch rulers.
А почему он два раза создавал VLAN 2? Сначала на 12:40, а потом на 13:20. И еще я не понял зачем к VLAN привязывать ip address если номер vlan обычно привязывается к какому либо уже существующему порту
В первом случае влан создается на L2, потом на L3 уровне. Но это секретная информация))
@@johnd.3293 а в чем разница? VLAN же он вроде как изначально на L2
@@dsss_ на L3 создаём влан, чтобы потом на него ip-адрес повесить (например)
Вопрос не в тему - когда уже MacBox будет ?
Прошивка 7.10 или я что-то делаю не так или Vlan filtering не работает
Работаю в БЦ инженером АСУ, но у нас д-линки, от провайдеров через влан раздаем арендаторам интернет. И вот как-то на д-линках это все проще устроено )))
Примерно так же. Tag + untag и pvid. На деле в mikrotik калька на iproute2 и настройки Vlan filtering из linux.
@@MikrotikTraining
про PVID не было в видео сказано.
а
Ролик начинается с 11 минуты.
11:00
Этот ролик начинается с 11 минуты только для тех кто теорию знает. Для остальных он начинается сразу. Респект автору!
Я просто в шоке от Романа, как так хорошо можно держать форму, вы какое то проиложение используете?
расскажите.
спасибо
winbox наверняка использует
@@aparanin через вайн:)
Только в итоге если большое количество vlan через один бридж, нагрузка улетает в 100% и сеть начинает валиться, нужно иметь микрот с чипом коммутации мощным.
Все верно - нужны современные устройства
Спасибо за труд. Но это видео не подходит для начинающих. С самого начала у Вас есть какие-то настройки. Какие? не понятно. Можно видео разбить на несколько этапов этапа. 1 предварительные настройки 1 микрот. 2. Предварительные настройки второго микрота, 3. настройка access порта на одном микроте. 4 настройка trunk порта и 5 настройка access порта на втором микроте. В конце каждого этапа проверка
Не совсем для начинающих, я считаю. Но хороший урок.
11:17 - начало ролика
микротик без санкций? или это параллельный импорт ? имхо судя по ценам микротик сейчас только для среднего бизнеса. Для дома кинетик в 2 раза дешевле и по качеству лучше, слишком уж часто у микрота проблемы с выгоранием портов и отвалов вафли, кинетики же дясителетиями работают))
Soho)
Еще и д-линки годами работают
не прошло 4 года а человек все объясняет что такое виланы.. все равно интерфейс это черная женщина плов и домино
есть winbox для mac ?
Есть wine)
@@MikrotikTraining так и знал что такой ответ. Планы то есть на MacBox ?
@@andreyparfenov на вики микротика 3 способа как это сделать. Судя по статье - нет у них таких планов. Кстати, на их по-моему (Mikrotik) канале есть видео, как Winbox запилить на маке. Кстати, под Wine не только Winbox можно. У меня и Netinstall и Dude работают. Но, объективности ради, Netinstall работает почему-то безумно (!!!) долго. Точнее заливается эта крошечная прошивка в роутер часами с вайфая. Хотя казалось бы... Сколько там того объема. Не понял почему. Сама вафля достаточно шустрая в обычной жизни.
Да, много что то не понятно в этот раз..
Ничего не понятно отчего и почему
раньше вроде кактусы возле мониторов ставил
сейчас лук зеленый возле влан роутеров что ли? 🤣
Пластиковый цветок - ну вы что) декор же )
@@MikrotikTraining
надо же
а выглядит как настояща трава, которую веганы выращивают в горшках
Согласен ничего не работает по данному вилио
Спросить хотел у специалиста LHG R микрот можно ли настроить в состояние мост GSM в ETHERNET чтобы сессию поднимал Роутер рб962
Почитайте про режим lte passthroughs
@@MikrotikTraining а если не lhg, а wap r и нужо чтобы роутер управлял wlan1 интерфейсом через capsman? нужно ли делать отдельный vlan для capsman или он сам разберется? если я создаю только vlan для passthrough капсман поднимает wifi сеть, но клиенты не получают адреса.
Я не самый сильный спец но очень нравятся микроты за 10 лет установок разным знакомым и друзьям ни один ещё не жаловался себе ставил из за надёжности и приличного удоления от сотовых вышек но капитально настроить не получается в виду отсутствия глубоких познаний
а разве они не под санкциями? их же запретили ввозить.
Как все остальное, но как-то у всех появляются Cisco, juniper, fortinet и mikrotik.
@@MikrotikTraining судя по сообщениям в СМИ из Великобритании некая никому не известная компания директор которой судя по найденной инфе гражданка Украины работающая с низкой "моральной оценкой" переправила в Россию ИТ оборудования на 2 ярда баксов за 2022год.
Похудел лектор) Дробным голоданием занялся?
Нет. Зачем так сложно - просто считаю еду)
@@MikrotikTraining Pomolodel ...
сложно, сложно!
Что есть. Сети вообще про сложные вещи.
Это видео крайне неудачное. Рассказано очень поверхностно и для "галочки". Вероятно все подробности только для тех кто пойдет на курсы. Ну чтож - найдем другое видео...
Это. Просто. Ужас.
Как настраивать 2 VLAN, при условии что они проходят через 1 общий коммутатор?
тегированный вилан - этож бля масло масленное! влан метка, тег, это признак принадлежности к какому то влану. или есть не тегированные вланы, вланы без тега??!!!! афтар, ты сам то в теме разобрался??!!!
Зачем виланы назвать бриджами, это сразу создает путаницу
Vlan это vlan, bridge это bridge) В Linux все идентично - посмотрите iproute2. Далее - изначально появились bridge, задача которых делить домены коллизий и объединить интерфейсы. Далее появились коммутаторы - те же bridge, но реализованные аппаратно и уже после появились vlan - задача которых делить области широковещательной рассылки. Vlan в Linux имеете реализацию через bridge и отдельно через интерфейсы - в MikroTik не отличается реализация от Linux.
taged, untaged, access, trunk. А оказывается есть ещё hybrid порты. Которые taged и untaged одновременно. И когда я с ними впервые столкнулся, то было сложно осознать эту сущность и понять как она работает.
По сути кадры у нас либо измеренные (с добавлением 4 байт) или исходные - остальное по факту измышления на тему как с этим работать от различных производителей.