Bridge & VLAN

BridgeVLANL2Trunk

Содержание

Bridge в RouterOS 7
VLAN Filtering
Trunk и Access порты
Inter-VLAN Routing
Management VLAN

Bridge в RouterOS 7

Bridge — ключевой компонент L2 коммутации в RouterOS. В версии 7 рекомендуется использовать bridge VLAN filtering вместо устаревших VLAN-интерфейсов поверх Ethernet.

⚠️

Включение vlan-filtering=yes на bridge с неправильной конфигурацией может привести к потере доступа. Всегда настраивайте VLAN-правила до включения фильтрации.

VLAN Filtering

# Создаём bridge с поддержкой VLAN
/interface/bridge/add name=bridge1     vlan-filtering=no frame-types=admit-all

# Добавляем порты
/interface/bridge/port
add bridge=bridge1 interface=ether2 pvid=10
add bridge=bridge1 interface=ether3 pvid=10
add bridge=bridge1 interface=ether4 pvid=20
add bridge=bridge1 interface=ether5 pvid=20
add bridge=bridge1 interface=sfp1 # trunk uplink

# Определяем VLAN на bridge
/interface/bridge/vlan
add bridge=bridge1 vlan-ids=10 tagged=bridge1,sfp1     untagged=ether2,ether3
add bridge=bridge1 vlan-ids=20 tagged=bridge1,sfp1     untagged=ether4,ether5
add bridge=bridge1 vlan-ids=99 tagged=bridge1,sfp1     comment="Management VLAN"

# Включаем фильтрацию (ПОСЛЕ настройки!)
/interface/bridge/set bridge1 vlan-filtering=yesRouterOS CLI

Trunk и Access порты

Тип порта	frame-types	pvid	Описание
Access	admit-only-untagged-and-priority-tagged	ID VLAN	Один VLAN, тег снимается
Trunk	admit-only-vlan-tagged	1 (по умолчанию)	Несколько VLAN, теги сохраняются
Hybrid	admit-all	native VLAN ID	Tagged + 1 untagged VLAN

# Access порт — строгий режим
/interface/bridge/port/set [find interface=ether2]     frame-types=admit-only-untagged-and-priority-tagged

# Trunk порт — только тегированные кадры
/interface/bridge/port/set [find interface=sfp1]     frame-types=admit-only-vlan-taggedRouterOS CLI

Inter-VLAN Routing

# VLAN-интерфейсы на bridge для маршрутизации
/interface/vlan
add name=vlan10-office vlan-id=10 interface=bridge1
add name=vlan20-guest vlan-id=20 interface=bridge1
add name=vlan99-mgmt vlan-id=99 interface=bridge1

# IP-адреса на каждом VLAN
/ip/address
add address=192.168.10.1/24 interface=vlan10-office
add address=192.168.20.1/24 interface=vlan20-guest
add address=192.168.99.1/24 interface=vlan99-mgmt

# DHCP для каждого VLAN
/ip/pool
add name=pool10 ranges=192.168.10.10-192.168.10.254
add name=pool20 ranges=192.168.20.10-192.168.20.254

/ip/dhcp-server
add name=dhcp10 interface=vlan10-office address-pool=pool10
add name=dhcp20 interface=vlan20-guest address-pool=pool20RouterOS CLI

Management VLAN

🚨

Всегда выделяйте отдельный VLAN для управления. Не используйте VLAN 1 (native) для management-трафика. Ограничьте доступ к Winbox/SSH только из management VLAN через файрвол.