Olá, hoje eu vou mostrar uma das formas de trabalhar com vLans no MikroTik, essa forma que vou ensinar funciona com todas as RouterBOARDs, porém para alguns modelos esse modo pode vir a utilizar mais CPU, pois não é trabalhado a vLan no chip switch e sim no CPU, para ser mais preciso, esse modo não gasta recursos da CPU nas CRS3xx. Porém é uma configuração global, pode ser utilizada a mesma para vários modelos de RouterBOARD, existe a possibilidade de fazer esse ajuste direto via chip switch, porém não é o foco deste guia. Nesse guia vamos trabalhar basicamente no menu Bridge e Interface (apenas para informa a porta vLan se quisermos ter acesso a essa vLan no RouterOS) e vou tratar o assunto sem abordar a explicação do que é uma vLan.
Vamos começar o guia, primeiramente vamos fazer um senário básico para para ficar mais claro e fácil a explicação, nosso senário será o seguinte:
Nosso senário contará com 2 roteadores, denominados de R1 e R2, ambos com 5 interfaces de rede, a ligação entre os roteadores será feito pela porta ether4 de ambos. Teremos também 6 dispositivos, denominados de PC1 até o PC6, aonde os dispositivos PC1, PC2 e PC3 estarão ligados as portas ether1, ether2 e ether3 do R1, e os dispositivos PC4, PC 5 e PC6 estarão ligados as portas ether1, ether2 e ether3 do R2. E a interface ether5 de ambos será utilizada para nossa conexão ao WinBox, como estou utilizando um ambiente virtualizado para simular.
As vLan serão configuradas, como um exemplo, por portas, as portas ether1 do R1 e R2 serão a vLan10, as portas ether2 do R1 e R2 serão a vLan20 e as portas ether3 do R1 e R2 serão a vLan30. As vLans serão untagged para os PCs, mas passarão tagged pela ligação ether4 entre o R1 e R2. Segue abaixo imagem ilustrativa do senário em questão:
Primeiramente, precisamos configurar a bridge, a configuração será a mesma no R1 e no R2 conforme nosso senário, vamos começar a configuração da bridge no R1, vamos em Bridge e clicamos no sinal de + azul.
Após configurar a bridge, vamos habilitar o vLan, dentro da configuração da Bridge, vamos na aba VLAN e marcamos a caixa VLAN Filtering, realizamos essa configuração tanto no R1 como no R2 (Talvez ocorra a queda da conexão com o RouterOS depois de habilitar essa configuração se você tiver conectado por essa bridge)
Agora vamos inserir todas as portas, que são as portas ether1, ether2, ether3 e ether4. Nas portas 1 até a 3, temos que ir na aba VLAN e informar que cada uma será uma vLan diferente, e na ether4 deixamos ela como vLan 1 mesmo.
Repetir os passos acima para cada porta em sua respectiva vLan, conforme dados abaixo.
- ether1: vLan 10
- ether2: vLan 20
- ether3: vLan 30
- ether4: vLan 1
Após realizar essa configuração, o RouterOS irá criar de forma dinâmica uma relação de portas na aba VLANs, isso significa que já está separado cada interface ether em cada vLan.
Agora precisamos configurar a porta ether4 para que ela trabalhe com as vLans 10, 20 e 30 de forma tagged, para isso precisamos criar uma regra manual nessa aba, clicando no + azul, vamos criar a regra para cada vLan, conforme imagens abaixo.
Após criar essas regras, nossa tela de vLan deve ficar parecido com o print abaixo, se não ficar pode ser que alguma configuração não ficou correta.
Após realizar o ajuste nos 2 roteadores, nosso senário já está pronto para realizar a comunicação entre os PCs.
Observação: Nossa configuração até o momento permite a comunicação entre dispositivos isolando o RouterOS das vLans, caso necessite que o RouterOS seja acessível pela vLan, é necessário mais algumas configurações, primeiramente é necessário fazer a bridge estar presente de forma tagged nessa vLan, fazemos o ajuste em Bridge > VLANs.
E depois criamos uma interface vLan em cima da Bridge.
Lembrando que a vLan deve ser criada em cima da bridge, e não da interface.
Observe que após adicionar uma vLan em cima do Bridge e criar os taggeds, nosso mapeamento de vLans em Bridge > VLANs ficou um pouco diferente do anterior, agora consta as vLans do bridge, isso significa que o RouterOS faz parte dessa vLan também, e consegue acessar essa rede, bem como os dispositivos conseguem acessar o RouterOS.
Feito isso nosso RouterOS já está pronto para fazer a comunicação, vamos aos testes.
Os computadores estão configurados de forma a mostrar que existe o isolamento entre vLans, então estão todas na mesma faixa de IP. Em uma situação real eu faria cada vLan trabalhar em uma faixa de IP diferente para facilitar a administração da rede e a identificação a qual vLan o ativo de rede pertence.
Nosso senário encontra-se da seguinte forma:
- PC1: 192.168.1.1/24
- PC2: 192.168.1.2/24
- PC3: 192.168.1.3/24
- PC4: 192.168.1.4/24
- PC5: 192.168.1.5/24
- PC6: 192.168.1.6/24
Resultado dos testes:
Concluímos que o isolamento entre as vLans funcionou corretamente, só houve a comunicação entre as máquinas que deveriam comunicar-se entre si, que seriam PC1 com PC4, PC2 com PC5 e PC3 com PC6.
como eu faço pra configurar isso e depois passar essas vlans por um switch gerenciavel? para chegar no meu acess point e ele usar a vlan?
Nesse caso, você iria fazer as marcações como se o switch tivesse no meio do MikroTik 1 e 2, por exemplo, eu crio na interface 4 para sair untagged a vlan1 e tagged a vlan 10 e 20, assim no switch você colocaria a mesma informação, por exemplo você estava ligando na porta 48 do switch, ali você iria marcar que chega untagged porta 1 e tagged porta 10 e 20.
Caso precise, pode me localizar no Instagram @kvitschal, que eu podemos conversar por lá e entender melhor o seu cenário