VLAN у MikroTik краще робити через Bridge VLAN Filtering, а не через хаотичне змішування VLAN-інтерфейсів з фізичними портами. Це знижує ризик помилок і краще відповідає сучасному RouterOS.
Ключові поняття
- tagged — trunk-порт, через який VLAN іде з тегом.
- untagged — access-порт для звичайного пристрою без VLAN-тегів.
- PVID — VLAN ID, який bridge ставить на вхідний untagged трафік access-порту.
- CPU port — сам bridge. Його треба додавати tagged, якщо роутер має маршрутизувати або керувати VLAN.
Приклад: guest VLAN 20 на ether3, trunk на ether5
/interface bridge add name=bridge vlan-filtering=no
/interface bridge port
add bridge=bridge interface=ether2 pvid=1
add bridge=bridge interface=ether3 pvid=20
add bridge=bridge interface=ether5
/interface bridge vlan
add bridge=bridge vlan-ids=1 tagged=bridge,ether5 untagged=ether2
add bridge=bridge vlan-ids=20 tagged=bridge,ether5 untagged=ether3
/interface vlan add name=vlan20-guest interface=bridge vlan-id=20
/ip address add address=192.168.20.1/24 interface=vlan20-guestВмикати filtering тільки після перевірки
/interface bridge vlan print
/interface bridge port print
/interface bridge set bridge vlan-filtering=yesWinbox шлях
- Bridge → Ports: задайте PVID для access-портів.
- Bridge → VLANs: додайте VLAN ID, tagged trunk і bridge, untagged access-порти.
- Interfaces → VLAN: створіть L3 VLAN-інтерфейс на bridge.
- IP → Addresses: додайте gateway для VLAN.
- Тільки після цього увімкніть vlan-filtering.
Найчастіша небезпечна помилка
Увімкнути vlan-filtering=yes без management доступу. Ви можете втратити Winbox/SSH, якщо bridge/CPU port не включений у потрібний VLAN.
Для обʼєктів SDS бажано мати окремі VLAN для LAN, guest, CCTV/IoT і management. Камери та гості не повинні бачити бухгалтерські ПК або сервери.