Redes Brasil

5 Formas diferentes de configurar VLANs em equipamentos da MikroTik

Você já tentou configurar uma VLAN em equipamentos MikroTik e não saiu como o esperado?

Você já percebeu que existem pelo menos 5 formas diferentes de configurar VLANs a depender da versão do hardware e do sistema?

Diferentes modelos de hardware com RouterOS e SwitchOS exigem diferentes formas de configuração.

Essa apresentação visa demonstrar as particularidades na hora de configurar VLANs nos equipamentos para conseguir o melhor desempenho, levando em consideração o hardware e suas particularidades.

Apresentação realizada pelo consultor da Redes Brasil Thales Moisés

 

12 de dezembro de 2019

16 responses on "5 Formas diferentes de configurar VLANs em equipamentos da MikroTik"

  1. Boa Tarde !
    Ficou uma duvida, eu tenho duas redes chegando no mesmo switch, o cenario ficou assim:
    3 RBs conectads no mesmo SWITCH, como descrito abaixo:

    RB-A recebendo a operadora A, onde nesse router eu criei a VLAN 10 com a Faixa X e conectei esse router no SWITH
    RB-B recebendo a operadora B, onde nesse router eu criei a VLAN 20 com a Faixa Y e conectei esse router no SWITH
    RB-C tem a porta TRUNK com as VLANS 10 e 20,

    Então no RB-C:
    eu criei a BRIDGE 10 e dentro dessa bridge eu joguei a VLAN 10 e a ether 3
    eu criei a BRIDGE 20 e dentro dessa bridge eu joguei a VLAN 20 e a ether 4

    Então dessa forma eu tenho:
    PC-A conectado na ETHER 3 recebendo o DHCP da VLAN 10...
    PC-B conectado na ETHER 4 recebendo o DHCP da VLAN 20...

    Só que dessa forma quando eu olho no RB-C eu vejo que o hardware offload só fica ativado nas interfaces de acesso e as vlans ficam com o hardware offload desativado...

    Então eu fui tentar utilizar o Método 2 desse artigo, só que no Método 2 eu não consegui encontrar uma maneira de colocar uma faixa de ip pra cada VLAN.

    a pergunta é: Tem como eu criar uma faixa de IP pra cada vlan utilizando o Método 2 ?

    • Olá Alex, tudo bem? O primeiro passo é verificar qual o modelo e série do seu switch, pois como mostrado no vídeo cada série tem uma forma de configuração diferente. Após definir o modelo, basta você configurar as interfaces do switch como TAGGED / TRUNK. Na RB-C você consegue o hardware offloading com o método 2 apenas se o switch-chip da sua RouterBoard tiver compatibilidade com Vlan Table. Aí você irá configurar conforme é mostrado no método 2. Caso a RouterBoard não possua compatibilidade com essa funcionalidade não será possível ativar o Hardware Offloading utilizando o método 2. Nesse link você consegue verificar qual o modelo de Switch Chip da sua RouterBoard e se ele possui compatibilidade ou não com Vlan Table:
      https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features

      Sobre a questão dos ips, sim é possível criar uma faixa separada para cada um, basta você configurar na "ponta" das vlans lá na RB-A ou RB-B. Inclusive você consegue também receber os dois links em apenas uma RB e utilizar regras no Mangle ou Policy Based Routing para que cada caixa de IP nas VLANs utilize um ou outro link para acessar a internet.

      • Obrigado Thales, entendi perfeitamente. só ficou uma ultima duvida. utilizando vlans no switchchip eu vi que não da a possibilidade de por ips, mas que só é necessario ter ip na ponta igual tu me informou, porem eu poderia criar uma vlan de acesso e por um ip pra ter acesso a esse switch sem ter perda de desempenho ?
        Criando uma vlan normal que será utilizada em uma outra faixa, somente para acesso não vai influenciar no desempenho do switch certo ? ja que na vlan de acesso vai passar somente o trafego de acesso ao switch ?

        • Sim, dá pra fazer Alex! Normalmente nós criamos uma vlan para gerência do equipamento, essa pode
          ser criada da forma comum mesmo, que seria em interfaces > + > VLAN. Como a gerência vai passar
          pouco tráfego, apenas de acesso ao roteador, o consumo de cpu vai ser baixo.

  2. Boa tarde, Thales.

    Estou utilizando 6 concentradores no momento dividindo os clientes, e preciso de um relatório de VLANS específicas com os clientes conectados, existe alguma forma via Putty para contar esses PPoes conectados em uma ID-VLAN específica?

    • Olá Daniel, tudo bem? Verificar os clientes conectados por vlan não é possível, mas tem outra solução que atende o problema: é possível você verificar a quantidade de clientes conectados em determinado pppoe-server. Como existe apenas um pppoe-server por vlan, vai dar no mesmo rsrsrs O comando é o seguinte:

      /interface pppoe-server print count-only where service=NOME_DO_SERVICE

      Em NOME_DO_SERVICE você tem que colocar exatamente igual está em PPP > PPPoE Servers

      Grande abraço!

  3. boa tarde
    tenho um crs125 com as vlan prontas fiz como no video usando o modo switch
    minha rede uso todos clientes em uma faixa de ip porem eu queria q os clientes de uma vlan nao pingasse na outra
    mas nao conseguir fazer

    • Olá Fabio, tudo bem? Com os clientes na mesma subrede você precisa utilizar uma regra no firewall do seu roteador (não é a CRS) para bloquear apenas o ping entre os clientes. Por exemplo, suponhamos que a rede dos seus clientes seja 10.0.0.0/8. Ficaria mais ou menos assim:
      /ip firewall filter add chain=forward protocol=icmp src-address=10.0.0.0/8 dst-address=10.0.0.0/8 action=drop

      Dessa forma você vai bloquear o protocolo ICMP (responsável pelo funcionamento do PING) com a origem na rede dos seus clientes e destinado a rede dos seus clientes. Lembre-se que esse bloqueio pode trazer alguns outros empecilhos, então é bom usar com cuidado, ok?

      Grande abraço!

  4. Bom dia Thales,
    Estou com um CRS317 e com um cenário um puco diferente dos apresentados no vídeo, e não achei uma forma de aplicar a formula do vídeo ao meu cenário para ativar o Hardware Offloading. Tenho uma ccr1036 com duas portas SFP+ como concentrador, onde uma porta recebe o link vindo do meu borda, a outra liguei ao switch CRS317, de onde saio para minhas 2 Olt´s. Fiz da seguinte forma:
    Vlans 200 e 300 na porta 2 da ccr (onde esta ligado o 317)
    Vlans 200 e 300 na porta 2 do 317 (onde esta ligada a ccr)
    Vlan 200 na porta 3 do 317 (onde esta ligada a olt 1)
    vlan 300 na porta 4 do 317 (onde esta ligada a olt2)
    Criei duas Bridge´s,uma com as duas vlans 200 e a outra com as duas vlans 300
    Esta funcionando, porém com o trafego esta perto de 2Gb o processamento esta chegando a 90%, como faço para ativar o Hardware Offloading nesse, cenário? poderia me ajudar? Desde já agrdeço.

    • Olá José, tudo bem?
      Dessa forma você está utilizando a CPU e o hardware offloading não está ativado.
      Para fazer isso você pode seguir o exemplo do vídeo sim, caso tenha dúvidas pode baixar
      a apostila para ver o exemplo da configuração.
      Basicamente você vai precisar fazer o seguinte:
      Apague as interfaces vlan que você criou na CRS;
      coloque todas as portas em apenas uma bridge;
      crie a vlan 200 no menu bridge -> VLANs colocando como tagged a porta que está indo para a CCR e a porta que está indo para a OLT;
      crie a vlan 300 no menu bridge -> VLANs colocando como tagged a porta que está indo para a CCR e a porta que está indo para a OLT;
      ative o filtro de vlans.
      No último passo, tenha certeza de estar acessando o equipamento por uma porta de gerência, por exemplo.

      Qualquer dúvida não hesite em entrar em contato.
      Grande abraço!

  5. Grande Thales! Novamente vou agradecer pela excelente contribuição desse vídeo/apresentação.

    Tô com uma dúvida. Numa CRS328 eu segui o procedimento que você indica (criar bridge, adicionar as portas com a indicação do VID no caso de ser access, criar as VLANs e indicar as portas que vão ter essas VLANs e se são tag/untag e só depois ativar o "VLAN filtering" na bridge. Mas, meu problema é que, preciso passar Q-in-Q (EtherType 0x88a8) porém, as C-VLANs estão "vazando" para outras portas. Onde a porta de saída é uma S-VLAN como access, no bridge port está "pvid=2000 frame-types=admit-all ingress-filtering=yes" a VLAN 2000 seria a S-VLAN. As demais portas (sem Q-in-Q estão na VLAN 1). Pelo que percebi, quando usamos a opção EtherType 0x88a8 o ROS entende frames com a tag de VLAN (C-VLAN) como untag e só considera tag as S-VLANs. Ou seja, se estou usando um SW MKT eu não posso "misturar" Q-in-Q com VLAN "normal" (EtherType 0x8100). Pode me dar uma luz sobre esse uso?

    • Olá Paulo, tudo bem? Você já tentou alterar o ingress-filtering das portas access para
      "admit only untagged and priority tagged"?
      Eu ainda não testei esse cenário em específico, porém vou fazer um laboratório para poder
      te responder com certeza.
      No mais, agradecemos o seu feedback! Grande abraço!

  6. Agora o momento "desabafo"... rs

    É incrível como a MikroTik tem um tratamento esquizofrênico no tratamento de VLAN. Não seria mais objetivo ter, no menu bridge port uma opção "trunk/access" e a opção VID ser usada para egress frame para identificar o frame na entrada e quando sair, se for porta access, remover a tag e, no menu "bridge VLAN" Indicar qual/quais porta/portas faz/fazem parte daquela(s) VLAN(s)? Acho que deve ser muito difícil para eles se dedicarem a coisas que realmente são úteis (vide a questão do accounting PD no IPv6 que ainda não funciona e é solicitado desde 2010 se não me engano)... rs

    Abraços e, desculpe o desabafo.

    • Eu entendo seu ponto de vista Paulo e isso me lembra até mesmo o motivo que me levou
      a produzir esse material: essas diferenças da forma de configuração confundem muitos
      usuários - que muitas vezes até acabam difamando determinados equipamentos por não ter
      realizado a configuração adequada para a série. Isso realmente é uma questão complicada,
      espero que em um futuro próximo exista um "padrão mais claro" para as configurações,
      independente da série dos equipamentos. O swOS, por exemplo, não suporta QinQ, até
      onde sei.

      De qualquer forma, qualquer dúvida ou feedback estamos à disposição, grande abraço!

  7. Bom dia! Como meu switch esta em produção, só essa madrugada consegui uma janela pra refazer as configurações,funcionou perfeito, forcei mais de 3Gb de trafego nele e o processamento não ultrapassou 1%.

    Muito obrigado pela força.
    Abraço.

Deixe sua mensagem

VALIDAR CERTIFICADO

Redes Brasil - Central de Atendimento: (64) 3416-2345
WhatsApp chat