Ничерта не понятен принцип настройки)) Схематично бы показать и рассказать, что как и почему. И почему бридж, почему влан фильтеринг, тэг, саб интерфейс...... 🤐
11:50 я думал, что этого достаточно. Присвоил мосту номер Vlan и всё. Создал три моста, присвоил каждому мосту свой VLAN, указал в каждом мосте какие порты тегированные, а какие - нет и всё.
Для продуктивной среды я бы рекомендовал строить VLAN на L3-коммутаторах. VLAN - это про коммутацию. Как вариант, допускаю использовать маршрутизаторы серии CCR.
Наверное имелось в виду, что ядро сети на L3 коммутаторе с маршрутизацией и масками доступа (это конечно не фаервол, задолбаешься правила писать, но разграничить подсети / сервисы можно). Работает очень быстро.
@@SWS-LINK есть сейчас модная тема, где всей сетью управляет специальный контроллер там можно один раз создать профиль фильтрации и он применяется на свитчи л3 уровня а есть профиль для роутера а есть профили для портов еще очень удобная штука и вебморда красивая
Окно настроек [Ingress VLAN] содержит настройки, такие, как "Service VLAN Lookup For", "Service vid", "Service PCP", "Service DEI", которые не описаны в инструкции.
Egress VLAN Tag - это таблица, которая содержит конфигурацию для портов VLAN Trunk - портов, которые пересылают тегированные кадры другим устройствам, поддерживающим VLAN. С помощью команды /interface ethernet switch egress-vlan-tag можно настроить тегирование VLAN на определённом порту. Например, чтобы тегировать VLAN 100, 200 и 300 на порту ether20, нужно ввести следующую команду: /interface ethernet switch egress-vlan-tag add \ tagged-ports=ether20 vlan-id=100 /interface ethernet switch egress-vlan-tag add \ tagged-ports=ether20 vlan-id=200 /interface ethernet switch egress-vlan-tag add \ tagged-ports=ether20 vlan-id=300
Недавно заморочился с получением карты сети. Оказался нюанс с LLDP, MNDP (про ломаную карту сети благодаря CapsMan промолчу). MNDP работает на "любом" "интерфейсе" Микротик. LLDP работает только в vlan 1. Если используются устройства разных вендоров и требуется "автокарта" сети, MNDP может добавить проблем. В моём случае используется отдельный management vlan и MNDP туда тоже "сыплет" (настроено специально). Но вот если в Ports не указан vlan 1 ддя порта по LLDP не видит соседние устройства других вендоров. MNDP полезно для поиска устройств Mikrotik, но по SNMP добавляет лишние связи. Карту строил с помощью NetXMS. В сети есть устройства HP, Cisco, Mikrotik, Ubi (только антенны, у которых даже с LLDP всё плохо).
Mndp несколько иной протокол и используют другую мультикастную группу и имеет свойство распространяться далее одного подключения. Он в целом на mikrotik для поиска устройств mikrotik в канале.
да, про ипв6 очень непонятно с ним, как его правильно использовать можно ли использовать часть для статических ип, если провайдер выдает /64 префикс или не выдает? у меня в настройках роутера можно выбрать пункт, где я сам могу выбрать префикс для лан части только уже 62 там стоит по умолчанию короче читал я и даже ролики смотрел, но никто не показывает реальных примеров использования и для каких случаев я например хочу, чтобы даже имея динамический ип - у меня в локалке был постоянный адрес + динднс обновлялся и мой сервер был бы доступен можно же такое сделать?
@@flintofer у меня кабельный инторнет и в4 есть только за провайдерским натом так что у меня даже впн толком не сделать но зато есть динамические в6 и телефон не всегда срабатывает звонок входящий есть, а возмеш трубку и тишина надо ждать 2 гудка и потом еще пару сек и тогда только норм будет
Разницу между Bridge и Switch вланами не рассказал. Почему в свойствах влана Bridge Vlan не указал в Untagged физический порт, а сделал это в свойствах интерфейса - тоже не понятно. Проблема в том, что в микротиках довольно легко запутаться по части вланов, они делается разными способами и важно знать где именно аппаратная поддержка работает, а где лишняя нагрузка на процессор. И как правильно это делать. А тут совершенно ненужная общая информация по вланам и очень мало специфики микротиков, ради которой я и хотел посмотреть это видео. Требую переснять.
Добрый день. А вы разобрались в итоге с вопросами в части выбора между bridge vlan filtering и switch chip? Может быть вы могли бы поделиться ссылкой на какой-то источник с подобным разъяснением? Сейчас не совсем понимаю как раз, какой подход использовать в моей ситуации. Есть hap ac3, нужно vlan сделать (провод и wifi). Вот думаю, какой вариант лучше подойдёт для этой модели роутера...
Роман, прежде всего, спасибо за ваш труд! Не могу разрешить для себя такой вопрос: "Какая разница (например, для CCR2116) как создавать VLAN - простым навешиванием VLAN на нужные интерфейсы с последующим объединением в бридж и дальнейшим навешиванием IP и сервисов на этот бридж для нужного VLAN, или способом описанным в этот видео". Вопрос, скорее всего, от моего фундаментального непонимания, но я мню, что и там и там CPU-обработка и имхо для CCR2116 - без разницы ... Или я не прав, Роман, на вас уповаю - проясните пожалуйста. Спасибо.
Мягко говоря: 1. Сбросил на заводские; 2. Удалил конфигурацию по умолчанию; 3. Добавил все порты а bridge; 4. Добавил два порт 1, порт 24 и switch-cpu в VLAN 99; 5. Ingress vlan tag port = 1 vlan = 99; 6. egress vlan tag port = 24; В итоге только с порта 24 WinBox видит коммутатор. Может быть порт 1 какой-то особый? В ZYXEL эта задача решается существенно понятнее/логичнее.
Роман, не хватает информации по теме. VLAN по сути в данном виде как настроили на видео, просто упорядочивает пакеты маркируя их, при этом vlan1 будет видеть устройства vlan2...4095, как ограничить всё-таки видимость? например для гостевой сети? в firewall создать правило forward drop, или же на вкладке VLAN изменить admit all? про последнее вообще никто не говорит как и про Ingress Filtering, очень жаль, одни догадки( Также есть сопутствующая проблема, L2 коммутатор, например CSR326 подключённый к "ядру" в winbox в обнаружении виден во всех vlan которые мы завели, 10, 20, 30, можно ли скрыть его? я пытался завести "management vlan" для управления микротиками, всё-равно микротики видно из всех подсетей..
Пришел к тому что на корневом роутере лично для меня проще работать с просто VLAN без мостов. Одним или парой пачкордов подключаем от корневого роутера к корневому свичу L2 (например микротиковские свичи на SWOS ) и от него хоть на другие свичи с тегами хоть на рабочие станции без тегов. Хотя с САР_ами приходится настраивать как на видео
Зависит от оборудования и нагрузки - если нет аппаратной поддержки Vlan filtering, то так можно сэкономить cpu роутера, но главное разобраться кто в сети root bridge.
Технически можно намтроить vlan по mac, с одного порта? Задача следующая, есть микротик к нему подключен wifi роутер в режиме моста, хочу на микротике поднять vpn, и что бы только часть устройств подключенных по wifi через роутер были в отдельной сети и шли через vpn(телевизор, xbox и т.д.).
Требуется консультация. Есть коммутатор L3 CRS112-8p-4s-IN на нем подняты 5 вланов, через бридж-влан. Так же на нем есть сеть 2.0 Когда любой Влан качает с сети 2.0, скорость очень медленная(100мб скачивает за 16сек). Так понимаю нагрузка идет на процессор, который слаб до безобразия. Вопрос 1. а если Вланы настроить на нем через Свич Чип, даст ли это прирост в скорости между сетями ?? Пояснение// интернет (от Hap AC2)(сеть 1.0) к МикрСвичу приходит не прямым линком, а через неуправляемый коммутатор. Мне сказали что надо кидать прямой Линк и настраивать Роутер-на-Палочке, на роутере поднимать вланы, настраивать Транк порты между роутером и свичом. Но админ тупой мудак, по этому с пробросом прямого линка пока проблемы.. Вопрос 2(на будущее если будет прямой линк) через транк порт может проходить трафик сети 2.0(поднята на свиче) ? или ее тоже надо загонять в отдельный Влан ?
На crs1xx/2xx правильная настройка через switch chip - к сожалению это устаревшие устройства и на них все иначе - почитайте документацию, как правильно их настраивать.
Это все VLAN(интерфейсы) на L3, хотелось бы послушать про VLAN на L2(интерфейсы) тот что во вкладке switch где управление switch чипа. Там под капотом насколько я понял используется уже Q in Q хотелось бы лучше понимать механику работы самого оборудования, а не работу VLAN в теории.
В современной версии ros все тяготеет к Vlan filtering и аппаратная поддержка так же ориентирована на него. Что касается qnq, то отвесному корпоративному клиенту она не требуется и так же работает через Vlan filtering с указанием другого идентификатора. Относительно Soho и вкладки switch Vlan - считайте что ее нет)
@@MikrotikTraining Если я правильно понял, идея всех роутеров в том, что от SOC идет 3 порта Eth1 Eth2 Eth3 два первых идут транками в свитч чип, третий идет на WAN порт отдельно. Выходит что внутри роутера уже бегает Q in Q поскольку все VLAN что мы сделаем в ROS будут бегать внутри VLAN роутера. А вкладка switch позволяла нам выделить порт из Q in Q. Как то так ? Выходит что если мы сделаем Q in Q он будет внутри другого Q in Q и получится QinQinQ :) Осознавание вот этого вызывает вопросы.
Честно, то я без бриджа сразу на интерфейсе настраиваю влан, без всяких заморочек с фильтрами и прочим. А сейчас у меня цель сделать nps + 802.1q + 802.1x (и на вайфай тоже)
Спасибо большое за видео. Всё понятно. 15:50 На видео на основном коммутаторе включён "Ingress Filtering" в бридже, а на вторичном нет. На что влияет? Где его нужно включать, а где нет?
Ведь можна просто создать vlan на интерфейс и добавить его в бридж с комутационным портом, а на втором комутаторе прописать vlan на входе и добавить его в бридж на нужные порты, так же проще ??
Сделал все как в гайде, dhcp сервер раздает адреса на второй роутерос и на клиента, но пингует ток второй роутерос dhcp сервер. Клиент не может пропинговать ни шлюз, ни второй роутерос. Подскажите пожалуйста как можно решить данную проблему?
Добрый день, Роман! Спасибо за видеоурок. Возникло несколько вопросов: 1. Если на одном Vlan-е, на устройстве нужны только access порты, то в бридже надо создавать влан-бридж и указывать тегированный или антег? 2. Если на роутере используются только нет access-портов, может и не стоит подымать влан на бридже, использовать в качестве транк портов ethernet-интерфейсы? hardware offload останется включен. 3. Вопрос не по теме, "настольный" роутер (hap lite), например, как лучше устанавливать, горизонтально (на столе) или вертикально (на стене), для лучшего распространения сигнала в горизонтальной плоскости? Как у него антенны размещены внутри? Спасибо!
1. Не до конца понял вопрос. 2. Hardware offload + l3hw требует наличия bridge и bridge Vlan filtering 3. С учетом того что в hap lite 2.4Ghz и с учетом omni антенн в текстолите - все равно - как нравится) В целом приходите к нам в теграм чат @miktrain
@@MikrotikTraining по поводу первого первого вопроса, я сам уже понял (там два варианта, если не так, то эдак 🙂. Методом тыка, что-нибудь да получиться). Спасибо!
Как бегает трафик при такой схеме? Всё через роутер? или если влан общающихся хостов совпадает, то трафик бегает в пределах свитчей, а если хосты из разных вланов, то через роутер?
Конечно - мы переходим на уровень l3 - на уровень маршрутизации. По факту - если адрес сети в заголовке пакета назначения не совпадает с адресом сети пакета источника, то отправляем на Mac адрес шлюза, далее шлюз должен разобраться куда отправить данный пакет согласно своей таблице маршрутизаци.
очень уж "галопом" и мало подробностей. Хорошо бы взять нормальный кейс и его разобрать. сделать бридж (а не уже в се готово, угадайте что я там настроил), потом какой-то порт назначить как антегет, какой-то транк, где-то передавать тегированные пакеты но не всех вланов.. Вместо этого пол ролика идет информация которой везде куча и которую все знают. Так же проблема того, что при правильной настройке некоторые коммутаторы выдадут грустную скорость - нет информации, а хорошо бы объяснить эти моменты. Спасибо что делаете эти ролики, но хотелось бы более качественного погружения в вопросы.
Есть такой вопрос, так как роутерос это маршрутизатор, имеет ли преимущество настройка вланов перед простой маршрутизацией? Я вижу смысл в настройке вланов если у нас стоят управляемые комутаторы, но есть ли смысл создавать вланы если, к примеру, имеется не большая сеть которая управляться несколькими роутерос ?
Эмм. VLAN - это история про L2. L2 - это про широковещательные дела. Маршрутизация - про L3. Вам что нужно то? И зачем в мелкой сети маршрутизировать? Ну и да. Если у вас мелкая сеть, разделенная на VLAN'ы, маршрутизация (между виланами) все равно будет))) Через "главный" роутер. (В примере Романа это 88.1) И это правильно. Ну и наконец - пропуск пакетов на уровне свитча (с аппаратным свитч-чипом) обычно быстрее (см. перфоманс тесты на сайте микротика про железки) даже при наличии VLAN'ов, уж коли они аппаратно разгружаются свитч-чипом не перенося нагрузку на центральный процессор.
@@MrKotische Понятно что это разные вещи. Но скажем у нас главный роутер. А на выходе только не управляемые свичи или на прямую клиенты. Клиентов штук 30-50 на всю сеть. Надо отделить в отдельную подсеть ряд устройств, они все на одном отдельном выходе. По сути это коннектед сети. Их даже прописывать не нужно, роутер о них и так должен узнать.
@@baklan2004 так и есть. В таком случае полезность виланов неочевидна. Действительно коннектед сети, никому там ничего объяснять не надо, за тупыми свитчами все словят свой сегмент и все будет ок. Но есть момент. Я, к примеру, не люблю такие сценарии. 50 рыл в сети - это не то чтобы совсем мало. 50 пользователей, это вполне может быть там, что 50 компов, к ним 50 VoIP (IP телефонов, ну +/-), они могут еще и со своими мобильниками быть, плюс принтеры, плюс камеры наблюдения, плюс серверы. Это может быть уже 200+ клиентов сети. И я, к примеру, не любитель, делить такие сети на 2 части. По ряду причин. 1) Для Wi-Fi такие броадкасты не сильно полезны. Особенно, если сетка не шибко быстрая с клиентами соответствующими, взгрустнется им. 2) Когда в таких сетках (заведомо уже с кучей свитчей), да еще и разбросанных по комнатам случается какой-нибудь факап (креслом кабель переехали, мыши погрызли (да, да, такое тоже бывает), "умный" сотрудник воткнул валяющийся на полу без дела конец витой пары обратно в розетку и нарисовал петлю в сети - начинается небольшой адок с поиском где приключилась печалька. В одной знакомой сетке не сильно большего размера (100 с небольшим сотрудников) проблему пытались локализовать больше недели. Все это время сетка то работала, то не работала, короче нормально работать контора не могла. 3) Мониторинг. Я не люблю ставить на мониторинг тотально сетку. Пользователь комп включил. Выключил. То "красный" объект (проблемный), то зеленый (ок). Я предпочитаю ставить на мониторинг все "неклиентское". Чтобы реагировать на возникающий трабл оперативнее. Красный - надо подрываться и бежать что-то фиксить. Спокойствие достигается виланами и заменой свитчей на умные. IMHO
смысл есть - практический пример - подсеть dmz с веб серверами и публичными сервисами можно "размазать" по разным серверным без проблем. Можно легко "воткнуть" свой рабочий комп в эту подсеть.
А почему он два раза создавал VLAN 2? Сначала на 12:40, а потом на 13:20. И еще я не понял зачем к VLAN привязывать ip address если номер vlan обычно привязывается к какому либо уже существующему порту
Если на свиче виланам присвоить IP, то между ними начнется маршрутизация, так? Т.е. надо будет создать запрещающее правило в фильтре, а это может привести к нагрузке на слабый процессор свича.
В чем может быть причина того, что на втором устройстве я не могу назначить VLAN на конкретнй порт. Опция просто недоступна. Сами порты почему-то находятся в состоянии dynamic?
Добрый день. Возможно добавить wan порт в существующий бридж, дать ему влан айди случайный и через влан получать настройки по dhcp от провайдера? Чтобы не создавать несколько бриджей и работал hardware offload.
Will ask in English: how does Mikrotik solve situation when on trunk (tagged) port comes frame without VLAN tag? Cisco has so called NATIVE VLAN, but how about Mikrotik?
Добрый день Роман! скажите пожалуйста как проконтролировать расход трафика? мы моряки, купили себе Старлинк и каждый моряк будет оплачивать только тот трафик который израсходовал за месяц. так вот как посмотреть сколько каждый член экипажа потратил? либо подскажите в каком уроке это объясняется. Хорошего дня!
Только в итоге если большое количество vlan через один бридж, нагрузка улетает в 100% и сеть начинает валиться, нужно иметь микрот с чипом коммутации мощным.
микротик без санкций? или это параллельный импорт ? имхо судя по ценам микротик сейчас только для среднего бизнеса. Для дома кинетик в 2 раза дешевле и по качеству лучше, слишком уж часто у микрота проблемы с выгоранием портов и отвалов вафли, кинетики же дясителетиями работают))
Работаю в БЦ инженером АСУ, но у нас д-линки, от провайдеров через влан раздаем арендаторам интернет. И вот как-то на д-линках это все проще устроено )))
Спасибо за труд. Но это видео не подходит для начинающих. С самого начала у Вас есть какие-то настройки. Какие? не понятно. Можно видео разбить на несколько этапов этапа. 1 предварительные настройки 1 микрот. 2. Предварительные настройки второго микрота, 3. настройка access порта на одном микроте. 4 настройка trunk порта и 5 настройка access порта на втором микроте. В конце каждого этапа проверка
@@andreyparfenov на вики микротика 3 способа как это сделать. Судя по статье - нет у них таких планов. Кстати, на их по-моему (Mikrotik) канале есть видео, как Winbox запилить на маке. Кстати, под Wine не только Winbox можно. У меня и Netinstall и Dude работают. Но, объективности ради, Netinstall работает почему-то безумно (!!!) долго. Точнее заливается эта крошечная прошивка в роутер часами с вайфая. Хотя казалось бы... Сколько там того объема. Не понял почему. Сама вафля достаточно шустрая в обычной жизни.
@@MikrotikTraining а если не lhg, а wap r и нужо чтобы роутер управлял wlan1 интерфейсом через capsman? нужно ли делать отдельный vlan для capsman или он сам разберется? если я создаю только vlan для passthrough капсман поднимает wifi сеть, но клиенты не получают адреса.
Я не самый сильный спец но очень нравятся микроты за 10 лет установок разным знакомым и друзьям ни один ещё не жаловался себе ставил из за надёжности и приличного удоления от сотовых вышек но капитально настроить не получается в виду отсутствия глубоких познаний
taged, untaged, access, trunk. А оказывается есть ещё hybrid порты. Которые taged и untaged одновременно. И когда я с ними впервые столкнулся, то было сложно осознать эту сущность и понять как она работает.
По сути кадры у нас либо измеренные (с добавлением 4 байт) или исходные - остальное по факту измышления на тему как с этим работать от различных производителей.
@@MikrotikTraining судя по сообщениям в СМИ из Великобритании некая никому не известная компания директор которой судя по найденной инфе гражданка Украины работающая с низкой "моральной оценкой" переправила в Россию ИТ оборудования на 2 ярда баксов за 2022год.
Vlan это vlan, bridge это bridge) В Linux все идентично - посмотрите iproute2. Далее - изначально появились bridge, задача которых делить домены коллизий и объединить интерфейсы. Далее появились коммутаторы - те же bridge, но реализованные аппаратно и уже после появились vlan - задача которых делить области широковещательной рассылки. Vlan в Linux имеете реализацию через bridge и отдельно через интерфейсы - в MikroTik не отличается реализация от Linux.
Это видео крайне неудачное. Рассказано очень поверхностно и для "галочки". Вероятно все подробности только для тех кто пойдет на курсы. Ну чтож - найдем другое видео...
тегированный вилан - этож бля масло масленное! влан метка, тег, это признак принадлежности к какому то влану. или есть не тегированные вланы, вланы без тега??!!!! афтар, ты сам то в теме разобрался??!!!
Ничерта не понятен принцип настройки)) Схематично бы показать и рассказать, что как и почему. И почему бридж, почему влан фильтеринг, тэг, саб интерфейс...... 🤐
специфика микротика просто
микрот же. в нем все через прибалтийскую логику.
Да, после той же cisco звучит как ересь))) на Cisco в несколько команд...
@@ZmiterIv или на huawei
11:50 я думал, что этого достаточно. Присвоил мосту номер Vlan и всё. Создал три моста, присвоил каждому мосту свой VLAN, указал в каждом мосте какие порты тегированные, а какие - нет и всё.
Спасибо! Сколько раз смотрю, каждый раз по новому. Заморочили сильно виланы в микротиках)
А что изменилось? Я не заметил изменений в настройках vlan с 6 ROS.
@@НиколайМосалов-в6с ничего не изменилось. Это я так выразился, что для меня каждый раз как по новому)
Спасибо все доходчиво и понятно рассказано. На хороших живых и понятных примерах. Я новичок в данной теме.
Все это знал, но приятно было еще раз послушать, спасибо.
Хорошее видео :) Рад что шесть лет наткнулся на этот канал.
Для продуктивной среды я бы рекомендовал строить VLAN на L3-коммутаторах. VLAN - это про коммутацию. Как вариант, допускаю использовать маршрутизаторы серии CCR.
Интересно при чем тут l3, если мы говорим про дополнительную метку в заголовке l2 кадра? Относительно железа - да все верно - crs3xx
Наверное имелось в виду, что ядро сети на L3 коммутаторе с маршрутизацией и масками доступа (это конечно не фаервол, задолбаешься правила писать, но разграничить подсети / сервисы можно). Работает очень быстро.
@@SWS-LINK
есть сейчас модная тема, где всей сетью управляет специальный контроллер
там можно один раз создать профиль фильтрации и он применяется на свитчи л3 уровня
а есть профиль для роутера
а есть профили для портов еще
очень удобная штука и вебморда красивая
@@kalobyte как Это называтеся ?
Роман, спасибо большое!
13:02 вот здесь я уже потерялся. Потерял логику. Ведь, надо не бездумно повторять, а понять логику. У кого-нибудь есть инструкция к Router OS 6.49?
Наконец влан от Романа! Спасибище!
Роман, как всегда 👍💪
Спасибо, как всегда все кратко и четко!
Окно настроек [Ingress VLAN] содержит настройки, такие, как "Service VLAN Lookup For", "Service vid", "Service PCP", "Service DEI", которые не описаны в инструкции.
Спасибо. Как заметка. Более сокращенно, чем преведущее видео и ... почему на bridge1 не включали ingress filtering, а на bridge оставляем включеным?
Egress VLAN Tag - это таблица, которая содержит конфигурацию для портов VLAN Trunk - портов, которые пересылают тегированные кадры другим устройствам, поддерживающим VLAN.
С помощью команды /interface ethernet switch egress-vlan-tag можно настроить тегирование VLAN на определённом порту. Например, чтобы тегировать VLAN 100, 200 и 300 на порту ether20, нужно ввести следующую команду:
/interface ethernet switch egress-vlan-tag add \
tagged-ports=ether20 vlan-id=100
/interface ethernet switch egress-vlan-tag add \
tagged-ports=ether20 vlan-id=200
/interface ethernet switch egress-vlan-tag add \
tagged-ports=ether20 vlan-id=300
Frame type «Admit All» означает, что порт будет принимать все типы кадров: как тегированные, так и нетэгированные.
Как я ждал это видео!
Спасибо, Роман!
Недавно заморочился с получением карты сети. Оказался нюанс с LLDP, MNDP (про ломаную карту сети благодаря CapsMan промолчу). MNDP работает на "любом" "интерфейсе" Микротик. LLDP работает только в vlan 1. Если используются устройства разных вендоров и требуется "автокарта" сети, MNDP может добавить проблем. В моём случае используется отдельный management vlan и MNDP туда тоже "сыплет" (настроено специально). Но вот если в Ports не указан vlan 1 ддя порта по LLDP не видит соседние устройства других вендоров. MNDP полезно для поиска устройств Mikrotik, но по SNMP добавляет лишние связи. Карту строил с помощью NetXMS. В сети есть устройства HP, Cisco, Mikrotik, Ubi (только антенны, у которых даже с LLDP всё плохо).
Mndp несколько иной протокол и используют другую мультикастную группу и имеет свойство распространяться далее одного подключения. Он в целом на mikrotik для поиска устройств mikrotik в канале.
я джва года этого ждал!
Спасибо!! Очень понятное и классное видео!! Роман, запишите пожалуйста видео про IPv6 и про TFTP и HTTP сервера на микротике.
Поставим в очередь)
да, про ипв6 очень непонятно с ним, как его правильно использовать
можно ли использовать часть для статических ип, если провайдер выдает /64 префикс
или не выдает? у меня в настройках роутера можно выбрать пункт, где я сам могу выбрать префикс для лан части
только уже 62 там стоит по умолчанию
короче читал я и даже ролики смотрел, но никто не показывает реальных примеров использования и для каких случаев
я например хочу, чтобы даже имея динамический ип - у меня в локалке был постоянный адрес + динднс обновлялся и мой сервер был бы доступен
можно же такое сделать?
@@kalobyte Вот вот и я так же хочу получать доступ например к своему домашнему Asterisk через IPv6
@@flintofer
у меня кабельный инторнет и в4 есть только за провайдерским натом
так что у меня даже впн толком не сделать
но зато есть динамические в6 и телефон не всегда срабатывает
звонок входящий есть, а возмеш трубку и тишина
надо ждать 2 гудка и потом еще пару сек и тогда только норм будет
Разницу между Bridge и Switch вланами не рассказал. Почему в свойствах влана Bridge Vlan не указал в Untagged физический порт, а сделал это в свойствах интерфейса - тоже не понятно. Проблема в том, что в микротиках довольно легко запутаться по части вланов, они делается разными способами и важно знать где именно аппаратная поддержка работает, а где лишняя нагрузка на процессор. И как правильно это делать. А тут совершенно ненужная общая информация по вланам и очень мало специфики микротиков, ради которой я и хотел посмотреть это видео. Требую переснять.
Посмотрите вебинар. Почитайте документацию.
Добрый день. А вы разобрались в итоге с вопросами в части выбора между bridge vlan filtering и switch chip? Может быть вы могли бы поделиться ссылкой на какой-то источник с подобным разъяснением?
Сейчас не совсем понимаю как раз, какой подход использовать в моей ситуации. Есть hap ac3, нужно vlan сделать (провод и wifi). Вот думаю, какой вариант лучше подойдёт для этой модели роутера...
😂 Запишись на курс MTCRE и там Все узнаешь
В интерфейсе в принципе негде указывать тегироованый или нет
Роман, прежде всего, спасибо за ваш труд! Не могу разрешить для себя такой вопрос: "Какая разница (например, для CCR2116) как создавать VLAN - простым навешиванием VLAN на нужные интерфейсы с последующим объединением в бридж и дальнейшим навешиванием IP и сервисов на этот бридж для нужного VLAN, или способом описанным в этот видео". Вопрос, скорее всего, от моего фундаментального непонимания, но я мню, что и там и там CPU-обработка и имхо для CCR2116 - без разницы ... Или я не прав, Роман, на вас уповаю - проясните пожалуйста. Спасибо.
Спасибо! Я всё делал интуитивно, а как оказалось так и есть)))
Мягко говоря:
1. Сбросил на заводские;
2. Удалил конфигурацию по умолчанию;
3. Добавил все порты а bridge;
4. Добавил два порт 1, порт 24 и switch-cpu в VLAN 99;
5. Ingress vlan tag port = 1 vlan = 99;
6. egress vlan tag port = 24;
В итоге только с порта 24 WinBox видит коммутатор.
Может быть порт 1 какой-то особый?
В ZYXEL эта задача решается существенно понятнее/логичнее.
В закладки) иногда полезно вспомнить некоторые моменты.
Роман, не хватает информации по теме.
VLAN по сути в данном виде как настроили на видео, просто упорядочивает пакеты маркируя их, при этом vlan1 будет видеть устройства vlan2...4095, как ограничить всё-таки видимость? например для гостевой сети? в firewall создать правило forward drop, или же на вкладке VLAN изменить admit all? про последнее вообще никто не говорит как и про Ingress Filtering, очень жаль, одни догадки(
Также есть сопутствующая проблема, L2 коммутатор, например CSR326 подключённый к "ядру" в winbox в обнаружении виден во всех vlan которые мы завели, 10, 20, 30, можно ли скрыть его? я пытался завести "management vlan" для управления микротиками, всё-равно микротики видно из всех подсетей..
только включил и сразу лайк
Настроил со второго раза т.к. вначале не понял логику, но теперь есть ясность.
Спасибо за отзыв)
спасибо за видео ,все вышло, единственный момент - как настроить инет на устройствах ,которые находятся в влан?
Пришел к тому что на корневом роутере лично для меня проще работать с просто VLAN без мостов. Одним или парой пачкордов подключаем от корневого роутера к корневому свичу L2 (например микротиковские свичи на SWOS ) и от него хоть на другие свичи с тегами хоть на рабочие станции без тегов. Хотя с САР_ами приходится настраивать как на видео
Зависит от оборудования и нагрузки - если нет аппаратной поддержки Vlan filtering, то так можно сэкономить cpu роутера, но главное разобраться кто в сети root bridge.
Технически можно намтроить vlan по mac, с одного порта? Задача следующая, есть микротик к нему подключен wifi роутер в режиме моста, хочу на микротике поднять vpn, и что бы только часть устройств подключенных по wifi через роутер были в отдельной сети и шли через vpn(телевизор, xbox и т.д.).
Требуется консультация.
Есть коммутатор L3 CRS112-8p-4s-IN на нем подняты 5 вланов, через бридж-влан. Так же на нем есть сеть 2.0
Когда любой Влан качает с сети 2.0, скорость очень медленная(100мб скачивает за 16сек). Так понимаю нагрузка идет на процессор, который слаб до безобразия.
Вопрос 1. а если Вланы настроить на нем через Свич Чип, даст ли это прирост в скорости между сетями ??
Пояснение// интернет (от Hap AC2)(сеть 1.0) к МикрСвичу приходит не прямым линком, а через неуправляемый коммутатор.
Мне сказали что надо кидать прямой Линк и настраивать Роутер-на-Палочке, на роутере поднимать вланы, настраивать Транк порты между роутером и свичом.
Но админ тупой мудак, по этому с пробросом прямого линка пока проблемы..
Вопрос 2(на будущее если будет прямой линк) через транк порт может проходить трафик сети 2.0(поднята на свиче) ? или ее тоже надо загонять в отдельный Влан ?
На crs1xx/2xx правильная настройка через switch chip - к сожалению это устаревшие устройства и на них все иначе - почитайте документацию, как правильно их настраивать.
Это все VLAN(интерфейсы) на L3, хотелось бы послушать про VLAN на L2(интерфейсы) тот что во вкладке switch где управление switch чипа. Там под капотом насколько я понял используется уже Q in Q хотелось бы лучше понимать механику работы самого оборудования, а не работу VLAN в теории.
В современной версии ros все тяготеет к Vlan filtering и аппаратная поддержка так же ориентирована на него. Что касается qnq, то отвесному корпоративному клиенту она не требуется и так же работает через Vlan filtering с указанием другого идентификатора. Относительно Soho и вкладки switch Vlan - считайте что ее нет)
@@MikrotikTraining Если я правильно понял, идея всех роутеров в том, что от SOC идет 3 порта Eth1 Eth2 Eth3 два первых идут транками в свитч чип, третий идет на WAN порт отдельно. Выходит что внутри роутера уже бегает Q in Q поскольку все VLAN что мы сделаем в ROS будут бегать внутри VLAN роутера. А вкладка switch позволяла нам выделить порт из Q in Q. Как то так ? Выходит что если мы сделаем Q in Q он будет внутри другого Q in Q и получится QinQinQ :) Осознавание вот этого вызывает вопросы.
Для нетренированных портов достаточно указать pvid? Не нужно прописывать в untagged?
В Mikrotik, видимо так. В Keenetic просто создаёшь VLAN, указываешь порты с тегом и без тега и это сразу работает.
Честно, то я без бриджа сразу на интерфейсе настраиваю влан, без всяких заморочек с фильтрами и прочим. А сейчас у меня цель сделать nps + 802.1q + 802.1x (и на вайфай тоже)
Смотрите видео про dot1x, но без bridge вам не обойтись.
Спасибо большое за видео. Всё понятно.
15:50 На видео на основном коммутаторе включён "Ingress Filtering" в бридже, а на вторичном нет.
На что влияет? Где его нужно включать, а где нет?
Влияет на поведение Vlan - если включен, то будут работать только прописанные Vlan, если выключен то все кадры с тегами будут проходить.
@@MikrotikTraining 🙏Спасибо.
Здравствуйте Роман! Было бы очень интересно послушать про настройки Lte антенн на Mikrotik!
Когда-нибудь сделаем - но по факту там ничего кроме как настроить apn и юстировать и нет
Ведь можна просто создать vlan на интерфейс и добавить его в бридж с комутационным портом, а на втором комутаторе прописать vlan на входе и добавить его в бридж на нужные порты, так же проще ??
Проще, но не правильно относительно архитектуры Linux bridge и тем более никак не согласуется с hw offload.
Сделал все как в гайде, dhcp сервер раздает адреса на второй роутерос и на клиента, но пингует ток второй роутерос dhcp сервер. Клиент не может пропинговать ни шлюз, ни второй роутерос. Подскажите пожалуйста как можно решить данную проблему?
Добрый день, Роман! Спасибо за видеоурок. Возникло несколько вопросов:
1. Если на одном Vlan-е, на устройстве нужны только access порты, то в бридже надо создавать влан-бридж и указывать тегированный или антег?
2. Если на роутере используются только нет access-портов, может и не стоит подымать влан на бридже, использовать в качестве транк портов ethernet-интерфейсы? hardware offload останется включен.
3. Вопрос не по теме, "настольный" роутер (hap lite), например, как лучше устанавливать, горизонтально (на столе) или вертикально (на стене), для лучшего распространения сигнала в горизонтальной плоскости? Как у него антенны размещены внутри?
Спасибо!
1. Не до конца понял вопрос.
2. Hardware offload + l3hw требует наличия bridge и bridge Vlan filtering
3. С учетом того что в hap lite 2.4Ghz и с учетом omni антенн в текстолите - все равно - как нравится)
В целом приходите к нам в теграм чат @miktrain
@@MikrotikTraining по поводу первого первого вопроса, я сам уже понял (там два варианта, если не так, то эдак 🙂. Методом тыка, что-нибудь да получиться). Спасибо!
Можно ли добавить eoip интерфейс в vlan? Почему может не быть интернета в vlan?
Здравствуйте, как правильно навесить native vlan на интерфейс ?
Запишите пожалуйста видео как написать скрипт для автоматического бэкапа конфигурации и сохранения ее по SMB/CIFS
Такое не будем делать. Во первых не понятно зачем на smb, второе есть куча вариантов более удобных - например mail.
Как бегает трафик при такой схеме? Всё через роутер? или если влан общающихся хостов совпадает, то трафик бегает в пределах свитчей, а если хосты из разных вланов, то через роутер?
Конечно - мы переходим на уровень l3 - на уровень маршрутизации. По факту - если адрес сети в заголовке пакета назначения не совпадает с адресом сети пакета источника, то отправляем на Mac адрес шлюза, далее шлюз должен разобраться куда отправить данный пакет согласно своей таблице маршрутизаци.
очень уж "галопом" и мало подробностей. Хорошо бы взять нормальный кейс и его разобрать. сделать бридж (а не уже в се готово, угадайте что я там настроил), потом какой-то порт назначить как антегет, какой-то транк, где-то передавать тегированные пакеты но не всех вланов.. Вместо этого пол ролика идет информация которой везде куча и которую все знают. Так же проблема того, что при правильной настройке некоторые коммутаторы выдадут грустную скорость - нет информации, а хорошо бы объяснить эти моменты. Спасибо что делаете эти ролики, но хотелось бы более качественного погружения в вопросы.
Прошивка 7.10 или я что-то делаю не так или Vlan filtering не работает
Есть такой вопрос, так как роутерос это маршрутизатор, имеет ли преимущество настройка вланов перед простой маршрутизацией? Я вижу смысл в настройке вланов если у нас стоят управляемые комутаторы, но есть ли смысл создавать вланы если, к примеру, имеется не большая сеть которая управляться несколькими роутерос ?
Эмм. VLAN - это история про L2. L2 - это про широковещательные дела. Маршрутизация - про L3. Вам что нужно то? И зачем в мелкой сети маршрутизировать? Ну и да. Если у вас мелкая сеть, разделенная на VLAN'ы, маршрутизация (между виланами) все равно будет))) Через "главный" роутер. (В примере Романа это 88.1) И это правильно. Ну и наконец - пропуск пакетов на уровне свитча (с аппаратным свитч-чипом) обычно быстрее (см. перфоманс тесты на сайте микротика про железки) даже при наличии VLAN'ов, уж коли они аппаратно разгружаются свитч-чипом не перенося нагрузку на центральный процессор.
@@MrKotische Понятно что это разные вещи. Но скажем у нас главный роутер. А на выходе только не управляемые свичи или на прямую клиенты. Клиентов штук 30-50 на всю сеть. Надо отделить в отдельную подсеть ряд устройств, они все на одном отдельном выходе. По сути это коннектед сети. Их даже прописывать не нужно, роутер о них и так должен узнать.
@@baklan2004 так и есть. В таком случае полезность виланов неочевидна. Действительно коннектед сети, никому там ничего объяснять не надо, за тупыми свитчами все словят свой сегмент и все будет ок. Но есть момент. Я, к примеру, не люблю такие сценарии. 50 рыл в сети - это не то чтобы совсем мало. 50 пользователей, это вполне может быть там, что 50 компов, к ним 50 VoIP (IP телефонов, ну +/-), они могут еще и со своими мобильниками быть, плюс принтеры, плюс камеры наблюдения, плюс серверы. Это может быть уже 200+ клиентов сети. И я, к примеру, не любитель, делить такие сети на 2 части. По ряду причин. 1) Для Wi-Fi такие броадкасты не сильно полезны. Особенно, если сетка не шибко быстрая с клиентами соответствующими, взгрустнется им. 2) Когда в таких сетках (заведомо уже с кучей свитчей), да еще и разбросанных по комнатам случается какой-нибудь факап (креслом кабель переехали, мыши погрызли (да, да, такое тоже бывает), "умный" сотрудник воткнул валяющийся на полу без дела конец витой пары обратно в розетку и нарисовал петлю в сети - начинается небольшой адок с поиском где приключилась печалька. В одной знакомой сетке не сильно большего размера (100 с небольшим сотрудников) проблему пытались локализовать больше недели. Все это время сетка то работала, то не работала, короче нормально работать контора не могла. 3) Мониторинг. Я не люблю ставить на мониторинг тотально сетку. Пользователь комп включил. Выключил. То "красный" объект (проблемный), то зеленый (ок). Я предпочитаю ставить на мониторинг все "неклиентское". Чтобы реагировать на возникающий трабл оперативнее. Красный - надо подрываться и бежать что-то фиксить. Спокойствие достигается виланами и заменой свитчей на умные. IMHO
смысл есть - практический пример - подсеть dmz с веб серверами и публичными сервисами можно "размазать" по разным серверным без проблем. Можно легко "воткнуть" свой рабочий комп в эту подсеть.
А почему он два раза создавал VLAN 2? Сначала на 12:40, а потом на 13:20. И еще я не понял зачем к VLAN привязывать ip address если номер vlan обычно привязывается к какому либо уже существующему порту
В первом случае влан создается на L2, потом на L3 уровне. Но это секретная информация))
@@johnd.3293 а в чем разница? VLAN же он вроде как изначально на L2
@@dsss_ на L3 создаём влан, чтобы потом на него ip-адрес повесить (например)
Если на свиче виланам присвоить IP, то между ними начнется маршрутизация, так? Т.е. надо будет создать запрещающее правило в фильтре, а это может привести к нагрузке на слабый процессор свича.
Для ограничения используйте switch rulers.
В чем может быть причина того, что на втором устройстве я не могу назначить VLAN на конкретнй порт. Опция просто недоступна. Сами порты почему-то находятся в состоянии dynamic?
Решил
Добрый день. Возможно добавить wan порт в существующий бридж, дать ему влан айди случайный и через влан получать настройки по dhcp от провайдера? Чтобы не создавать несколько бриджей и работал hardware offload.
Возможно, но прийдется разобраться с stp и igmp.
Will ask in English: how does Mikrotik solve situation when on trunk (tagged) port comes frame without VLAN tag? Cisco has so called NATIVE VLAN, but how about Mikrotik?
Pvid - like in Linux iproute2
до этого видео я умел настраивать vlan на микротике =\
Добрый день Роман!
скажите пожалуйста как проконтролировать расход трафика? мы моряки, купили себе Старлинк и каждый моряк будет оплачивать только тот трафик который израсходовал за месяц. так вот как посмотреть сколько каждый член экипажа потратил? либо подскажите в каком уроке это объясняется.
Хорошего дня!
Лучше настроить netflow analyzer. Роутер - он и ребутнутся может, а тогда вся статистика с kid control потеряется....
Я вот вижу Микрот, который до меня был настроен, там нет ничего в Bridge-Vlans, а вланы работают!
Не совсем для начинающих, я считаю. Но хороший урок.
Вопрос не в тему - когда уже MacBox будет ?
Ролик начинается с 11 минуты.
11:00
Этот ролик начинается с 11 минуты только для тех кто теорию знает. Для остальных он начинается сразу. Респект автору!
11:17 - начало ролика
Только в итоге если большое количество vlan через один бридж, нагрузка улетает в 100% и сеть начинает валиться, нужно иметь микрот с чипом коммутации мощным.
Все верно - нужны современные устройства
микротик без санкций? или это параллельный импорт ? имхо судя по ценам микротик сейчас только для среднего бизнеса. Для дома кинетик в 2 раза дешевле и по качеству лучше, слишком уж часто у микрота проблемы с выгоранием портов и отвалов вафли, кинетики же дясителетиями работают))
Soho)
Еще и д-линки годами работают
Работаю в БЦ инженером АСУ, но у нас д-линки, от провайдеров через влан раздаем арендаторам интернет. И вот как-то на д-линках это все проще устроено )))
Примерно так же. Tag + untag и pvid. На деле в mikrotik калька на iproute2 и настройки Vlan filtering из linux.
@@MikrotikTraining
про PVID не было в видео сказано.
а
Я просто в шоке от Романа, как так хорошо можно держать форму, вы какое то проиложение используете?
расскажите.
спасибо
winbox наверняка использует
@@aparanin через вайн:)
Спасибо за труд. Но это видео не подходит для начинающих. С самого начала у Вас есть какие-то настройки. Какие? не понятно. Можно видео разбить на несколько этапов этапа. 1 предварительные настройки 1 микрот. 2. Предварительные настройки второго микрота, 3. настройка access порта на одном микроте. 4 настройка trunk порта и 5 настройка access порта на втором микроте. В конце каждого этапа проверка
есть winbox для mac ?
Есть wine)
@@MikrotikTraining так и знал что такой ответ. Планы то есть на MacBox ?
@@andreyparfenov на вики микротика 3 способа как это сделать. Судя по статье - нет у них таких планов. Кстати, на их по-моему (Mikrotik) канале есть видео, как Winbox запилить на маке. Кстати, под Wine не только Winbox можно. У меня и Netinstall и Dude работают. Но, объективности ради, Netinstall работает почему-то безумно (!!!) долго. Точнее заливается эта крошечная прошивка в роутер часами с вайфая. Хотя казалось бы... Сколько там того объема. Не понял почему. Сама вафля достаточно шустрая в обычной жизни.
не прошло 4 года а человек все объясняет что такое виланы.. все равно интерфейс это черная женщина плов и домино
Спросить хотел у специалиста LHG R микрот можно ли настроить в состояние мост GSM в ETHERNET чтобы сессию поднимал Роутер рб962
Почитайте про режим lte passthroughs
@@MikrotikTraining а если не lhg, а wap r и нужо чтобы роутер управлял wlan1 интерфейсом через capsman? нужно ли делать отдельный vlan для capsman или он сам разберется? если я создаю только vlan для passthrough капсман поднимает wifi сеть, но клиенты не получают адреса.
Я не самый сильный спец но очень нравятся микроты за 10 лет установок разным знакомым и друзьям ни один ещё не жаловался себе ставил из за надёжности и приличного удоления от сотовых вышек но капитально настроить не получается в виду отсутствия глубоких познаний
Да, много что то не понятно в этот раз..
Как настраивать 2 VLAN, при условии что они проходят через 1 общий коммутатор?
Согласен ничего не работает по данному вилио
Ничего не понятно отчего и почему
раньше вроде кактусы возле мониторов ставил
сейчас лук зеленый возле влан роутеров что ли? 🤣
Пластиковый цветок - ну вы что) декор же )
@@MikrotikTraining
надо же
а выглядит как настояща трава, которую веганы выращивают в горшках
taged, untaged, access, trunk. А оказывается есть ещё hybrid порты. Которые taged и untaged одновременно. И когда я с ними впервые столкнулся, то было сложно осознать эту сущность и понять как она работает.
По сути кадры у нас либо измеренные (с добавлением 4 байт) или исходные - остальное по факту измышления на тему как с этим работать от различных производителей.
а разве они не под санкциями? их же запретили ввозить.
Как все остальное, но как-то у всех появляются Cisco, juniper, fortinet и mikrotik.
@@MikrotikTraining судя по сообщениям в СМИ из Великобритании некая никому не известная компания директор которой судя по найденной инфе гражданка Украины работающая с низкой "моральной оценкой" переправила в Россию ИТ оборудования на 2 ярда баксов за 2022год.
сложно, сложно!
Что есть. Сети вообще про сложные вещи.
Похудел лектор) Дробным голоданием занялся?
Нет. Зачем так сложно - просто считаю еду)
@@MikrotikTraining Pomolodel ...
Зачем виланы назвать бриджами, это сразу создает путаницу
Vlan это vlan, bridge это bridge) В Linux все идентично - посмотрите iproute2. Далее - изначально появились bridge, задача которых делить домены коллизий и объединить интерфейсы. Далее появились коммутаторы - те же bridge, но реализованные аппаратно и уже после появились vlan - задача которых делить области широковещательной рассылки. Vlan в Linux имеете реализацию через bridge и отдельно через интерфейсы - в MikroTik не отличается реализация от Linux.
Это видео крайне неудачное. Рассказано очень поверхностно и для "галочки". Вероятно все подробности только для тех кто пойдет на курсы. Ну чтож - найдем другое видео...
тегированный вилан - этож бля масло масленное! влан метка, тег, это признак принадлежности к какому то влану. или есть не тегированные вланы, вланы без тега??!!!! афтар, ты сам то в теме разобрался??!!!