Настройка VLAN на MikroTik: сегментация офисной сети через Bridge VLAN Filtering

Концепция Bridge VLAN Filtering в RouterOS: переход от программной к аппаратной коммутации

Представьте ситуацию: вы настроили сегментацию сети в офисе, разделив бухгалтерию и гостевой Wi-Fi, но при копировании тяжелого файла внутри одного сегмента загрузка процессора маршрутизатора MikroTik мгновенно подскакивает до , а скорость интернета у остальных сотрудников падает. Это классический симптом «старого подхода» к настройке VLAN, когда каждое перемещение кадра внутри сети обрабатывается центральным процессором (CPU). Современный стандарт настройки MikroTik — технология Bridge VLAN Filtering — позволяет избежать этой ловушки, перенося нагрузку на специализированные чипы коммутации (Switch Chip).

Эволюция методов работы с VLAN в RouterOS

Долгое время экосистема MikroTik предлагала системным администраторам несколько путей настройки виртуальных сетей, что часто приводило к путанице. Существовало три основных метода, каждый из которых имел свои критические недостатки.

Первый метод — создание отдельных интерфейсов VLAN поверх физических портов и объединение их в программные мосты (Bridge). Если вам нужно было пробросить VLAN 10 на порты ether2 и ether3, вы создавали vlan10-eth2 и vlan10-eth3, а затем «склеивали» их в bridge-vlan10. Это интуитивно понятно, но катастрофично для производительности: каждый кадр проходил через CPU, превращая мощный коммутатор в медленный программный роутер.

Второй метод — использование меню /interface ethernet switch. Это прямая работа с регистрами чипа коммутации. Она обеспечивала максимальную скорость (Hardware Offloading), но интерфейс настройки был крайне недружелюбным, а логика работы различалась в зависимости от модели чипа (Atheros, Broadcom или Marvell). Настройка одного и того же функционала на hAP ac2 и Cloud Router Switch 326 выглядела совершенно по-разному.

Третий, современный метод — Bridge VLAN Filtering, появившийся в RouterOS v6.41. Его главная задача — унифицировать настройку. Теперь администратор работает с одним логическим объектом (Bridge), а операционная система сама решает, как транслировать эти настройки в инструкции для чипа коммутации.

Как работает Bridge VLAN Filtering

В основе концепции лежит превращение обычного программного моста в «VLAN-aware» устройство — мост, который понимает теги 802.1Q. В классическом мосте MikroTik все порты равноправны и просто пересылают широковещательный трафик всем соседям. В режиме VLAN Filtering мост начинает анализировать заголовки кадров и сверяться с внутренней таблицей соответствия (VLAN Table).

Ключевое преимущество этого подхода заключается в поддержке Hardware Offloading (HW Offload). Если оборудование поддерживает современный стандарт (например, устройства серий CRS3xx, CRS5xx, а также многие современные роутеры вроде hAP ax3 или RB5009), то после включения фильтрации трафик продолжает обрабатываться аппаратно.

Рассмотрим математическую разницу в производительности. В программном режиме (без HW Offload) пропускная способность ограничена тактовой частотой CPU и количеством прерываний. Для устройства среднего сегмента это может быть предел в Мбит/с. В аппаратном режиме лимит определяется только физической скоростью портов. Если у вас 24 порта по Гбит/с, суммарная коммутационная способность (Switching Capacity) может достигать:

где:

— общая пропускная способность (Full Duplex);

— количество портов;

— скорость одного порта ( Гбит/с).

В данном случае Гбит/с. Процессор при этом остается практически свободным (), занимаясь только управлением и протоколами маршрутизации.

Анатомия трафика: Untagged, Tagged и PVID

Чтобы эффективно использовать Bridge VLAN Filtering, необходимо четко разделять типы трафика и ролей портов. В терминологии MikroTik мы оперируем тремя ключевыми понятиями.

PVID (Port VLAN ID) — это идентификатор VLAN, который присваивается входящему «немаркированному» (untagged) кадру. Когда обычный компьютер, который ничего не знает о тегах, отправляет пакет в порт маршрутизатора, мост должен решить, к какой сети этот пакет относится. Если на порту установлен , кадр внутри моста помечается как принадлежащий к VLAN 20.

Tagged (Тегированные порты) — это порты, через которые трафик проходит с сохранением метки 802.1Q. Обычно это транковые линии (Trunks) между двумя коммутаторами или соединение с точкой доступа, которая транслирует несколько SSID.

Untagged (Нетегированные порты) — порты доступа (Access), к которым подключены конечные устройства (ПК, принтеры, IP-телефоны). На выходе из такого порта тег VLAN снимается, чтобы конечное устройство могло прочитать данные.

Процесс обработки кадра при прохождении через Bridge VLAN Filtering выглядит так:

Кадр поступает на порт ether2.

Если в кадре нет тега, мост смотрит на значение этого порта (например, ) и приписывает кадр к VLAN 10.

Мост сверяется с таблицей /interface bridge vlan. В ней указано, на какие порты разрешено отправлять трафик VLAN 10.

Если целевой порт ether3 указан как untagged для VLAN 10, мост удаляет тег и отдает чистый кадр устройству. Если порт ether4 указан как tagged, мост отправляет кадр с тегом 10.

Почему важна аппаратная разгрузка (HW Offload)

Переход к Bridge VLAN Filtering — это не просто смена синтаксиса команд. Это стратегическое изменение архитектуры сети. В старых моделях RouterOS включение фильтрации на мосту автоматически отключало аппаратное ускорение на большинстве чипов. Это приводило к тому, что мощные коммутаторы серии CRS1xx/2xx становились крайне медленными.

Однако в современных реализациях (начиная с драйверов для чипов Marvell Prestera и новых моделей на базе ARM) MikroTik реализовал полноценную поддержку аппаратного моста с фильтрацией. Это означает, что логика VLAN теперь «зашивается» непосредственно в таблицу коммутации чипа.

Существует важный нюанс: если вы добавите в мост функции, которые чип коммутации не поддерживает аппаратно (например, некоторые виды сложных правил Firewall на уровне моста или специфические протоколы туннелирования), HW Offload может отключиться. В интерфейсе WinBox это легко отследить по букве «H» рядом с портом в списке Bridge Ports. Потеря этой буквы означает, что ваш трафик пошел «в обход» через CPU, что недопустимо для высоконагруженных офисных сетей.

Межсегментное взаимодействие (Inter-VLAN Routing)

Хотя Bridge VLAN Filtering в первую очередь отвечает за коммутацию (L2), сегментация офиса невозможна без маршрутизации (L3). Зачем разделять сеть на сегменты, если устройства из разных VLAN никогда не смогут связаться друг с другом?

В концепции Bridge VLAN Filtering сам интерфейс Bridge выступает в роли «внутреннего порта», который соединяет мир коммутации с миром маршрутизации (CPU). Чтобы роутер мог управлять трафиком внутри VLAN, мы создаем виртуальные интерфейсы поверх моста.

Например, если у нас есть VLAN 10 (Сотрудники) и VLAN 20 (Гости), мы создаем:

/interface vlan add name=VLAN10_Interface vlan-id=10 interface=bridge

/interface vlan add name=VLAN20_Interface vlan-id=20 interface=bridge

Здесь кроется тонкий момент: в таблице VLAN самого моста (/interface bridge vlan) сам объект bridge должен быть указан как tagged порт для всех VLAN, которые требуют маршрутизации. Это позволяет тегированным кадрам «подниматься» из чипа коммутации в стек протоколов RouterOS, где им будут присвоены IP-адреса, применены правила Firewall и настроен NAT.

Типичные ошибки при переходе на новый метод

Одной из самых опасных ошибок является активация параметра vlan-filtering=yes до того, как настроены PVID и правила в таблице VLAN. Как только вы включаете фильтрацию, мост начинает отбрасывать любые кадры, которые не соответствуют правилам. Если вы подключаетесь к роутеру через один из портов этого моста и не добавили этот порт в разрешенные для вашего текущего VLAN, связь будет мгновенно разорвана. Это часто называют «эффектом закрытой двери».

Вторая ошибка — дублирование настроек. Администраторы по привычке создают VLAN на физических интерфейсах (ether1), а затем пытаются добавить эти порты в мост с включенной фильтрацией. В режиме Bridge VLAN Filtering интерфейсы VLAN должны создаваться только поверх моста и только для целей маршрутизации, но никак не поверх физических портов, входящих в этот мост.

Третья ошибка связана с управлением самим устройством (Management VLAN). По умолчанию MikroTik доступен через любой порт. После включения фильтрации доступ может пропасть, если не настроен специальный интерфейс управления в выделенном VLAN. Правильный подход — выделить, например, VLAN 99 для управления, назначить его тегированным на мосту и создать соответствующий IP-интерфейс.

Сравнение производительности: пример из практики

Рассмотрим гипотетический офис с 20 рабочими станциями и NAS-сервером. В режиме программного моста при копировании данных с NAS на скорости Гбит/с процессор устройства уровня RB4011 будет загружен на . Если же мы используем Bridge VLAN Filtering с поддержкой HW Offload, та же операция потребует менее ресурсов CPU.

Это освобождает вычислительные мощности для более важных задач:

Deep Packet Inspection (DPI) — фильтрация нежелательных сайтов.

VPN-серверы — обеспечение удаленного доступа для сотрудников через IPsec или WireGuard.

QoS (Quality of Service) — приоритезация трафика IP-телефонии и видеоконференций перед обычными загрузками.

Использование аппаратной коммутации позволяет сети масштабироваться. Даже если объем внутреннего трафика вырастет в пять раз, это никак не скажется на стабильности работы интернета или VPN-каналов, так как эти потоки данных обрабатываются разными подсистемами устройства.

Таким образом, Bridge VLAN Filtering в RouterOS — это не просто «еще один способ настройки», а современный стандарт, который объединяет гибкость программного управления с мощностью аппаратного обеспечения. Понимание этой концепции является фундаментом для построения отказоустойчивых и быстрых сетей на базе оборудования MikroTik. В следующих главах мы перейдем от теории к практике и пошагово настроим каждый из этих элементов.

Создание и базовая настройка Bridge как фундамента для сегментации сети

Представьте, что вы строите многоэтажное здание, где каждый этаж — это изолированный отдел компании со своими правилами доступа. Если фундамент заложен криво, то при попытке возвести стены (VLAN) всё здание начнет «трещать»: пакеты будут уходить не туда, процессор роутера захлебнется от нагрузки, а администратор потеряет доступ к устройству. В MikroTik фундаментом для современной сегментации является интерфейс Bridge. Но это не просто «виртуальный коммутатор», а сложный механизм, который требует ювелирной настройки еще до того, как в сети появится первый тегированный пакет.

Роль единого логического моста в архитектуре RouterOS

В старых версиях RouterOS системные администраторы часто создавали несколько мостов — например, bridge-office, bridge-guests, bridge-wifi. Это казалось логичным: разные мосты для разных задач. Однако в современной парадигме Bridge VLAN Filtering такой подход считается ошибочным и вредным для производительности.

Когда вы создаете несколько мостов, MikroTik вынужден отключать Hardware Offloading (аппаратное ускорение) для большинства чипов коммутации (Switch Chips). Это происходит потому, что аппаратный чип в бюджетных и среднебюджетных моделях (серии hAP, cAP, RB2011, RB3011, RB4011) зачастую умеет работать только с одним аппаратным мостом одновременно. Как только появляется второй мост, обработка трафика перекладывается на центральный процессор (CPU).

> Использование одного моста для всех VLAN — это не рекомендация, а стандарт индустрии для RouterOS. Это позволяет чипу коммутации обрабатывать L2-трафик на «скорости провода» (wire speed), не отвлекая CPU от задач маршрутизации и фильтрации Firewall.

Единый мост выступает в роли «умного патч-корда», который объединяет физические порты (ether1, ether2, sfp-sfpplus1) и виртуальные сущности в единую матрицу коммутации. Все разделение на сегменты происходит не на уровне создания разных интерфейсов типа Bridge, а внутри настроек одного моста через таблицу VLAN.

Создание Bridge: параметры, влияющие на стабильность

Процесс начинается с создания самого интерфейса. На первый взгляд, здесь мало настроек, но каждая из них критична.

Рассмотрим ключевые параметры этого этапа:

Protocol Mode (STP/RSTP/MSTP). По умолчанию в MikroTik включен RSTP (Rapid Spanning Tree Protocol). Это жизненно важный механизм для предотвращения петель в сети. Даже если вы уверены, что не соедините два порта одним кабелем, петля может возникнуть из-за неправильной настройки Wi-Fi мостов или ошибок коллег. RSTP обеспечивает сходимость сети за доли секунды. В сложных топологиях с несколькими коммутаторами может потребоваться MSTP (Multiple Spanning Tree Protocol), который умеет строить разные деревья для разных VLAN, но для базовой офисной сегментации RSTP — «золотой стандарт».

Frame Types. Параметр определяет, какие кадры мост будет принимать в принципе. На этапе создания моста мы оставляем admit-all. Позже, когда мы перейдем к тонкой настройке безопасности портов, мы сможем ограничить прием только тегированных кадров на транковых портах, но сам интерфейс моста должен быть максимально гибким.

VLAN Filtering. Самый опасный переключатель. Важно: он должен оставаться в положении no до самого финала настройки. Если активировать его сейчас, мост начнет отбрасывать все кадры, для которых не прописаны правила в таблице VLAN. Поскольку таблица еще пуста, вы мгновенно потеряете связь с роутером, если подключены через порты этого моста.

Добавление портов и концепция PVID

После создания «коробки» (Bridge), в нее нужно поместить «интерфейсы» (Ports). Здесь мы определяем, какие физические разъемы роутера станут частью нашей сегментированной сети.

При добавлении порта ключевым параметром становится PVID (Port VLAN ID). Это идентификатор, который будет присвоен любому входящему кадру, на котором нет тега 802.1Q.

Представим ситуацию: у нас есть три порта.

ether2 — компьютер бухгалтера (VLAN 10).

ether3 — компьютер менеджера (VLAN 20).

ether4 — транковый порт к другому коммутатору.

Настройка будет выглядеть так:

Обратите внимание на ether4. Мы не указали для него PVID (по умолчанию он равен 1). Это типично для транковых портов, которые ожидают уже тегированный трафик. Для портов доступа (Access Ports), куда включаются конечные устройства (ПК, принтеры, IP-телефоны), указание PVID обязательно. Именно здесь происходит магия: пакет от компьютера входит в ether2 без тега, мост «на лету» вешает на него ярлык «VLAN 10» и дальше передает по сети уже в маркированном виде.

Нюансы Hardware Offloading при настройке портов

При добавлении портов в разделе /interface bridge port вы увидите флаг H (Hardware Offload). Если он активен — трафик идет через чип. Если нет — через CPU.

Существует несколько условий, при которых HW Offload может отключиться:

Использование функций, которые чип не поддерживает (например, некоторые виды STP или сложные правила Bridge Filter).

Несоответствие настроек порта возможностям Switch Chip. Например, старые чипы Atheros 8327 некорректно работают с HW Offload, если на портах включены разные протоколы безопасности.

Если вы объединяете в один мост порты, принадлежащие разным чипам коммутации (актуально для устройств вроде RB3011 или RB1100AHx4). В этом случае трафик между портами разных чипов неизбежно пойдет через CPU.

Чтобы проверить статус, используйте команду: interface bridge port print stats Ищите колонку hw, там должно быть значение yes. Если там no, ваша сегментация будет замедлять работу роутера при высоких нагрузках.

Подготовка управления: Management VLAN и интерфейс моста

Одна из самых частых ошибок — оставить управление роутером в «дефолтном» сегменте или вовсе потерять к нему доступ. Когда мы работаем с Bridge VLAN Filtering, сам интерфейс bridge1 начинает вести себя как виртуальный порт, смотрящий внутрь процессора роутера.

Для надежной работы нам нужно создать IP-интерфейс для управления. Допустим, для управления сетью мы выделили VLAN 99.

Создаем виртуальный интерфейс поверх моста:

Назначаем IP-адрес на этот интерфейс, а не на сам мост:

Почему это важно? Интерфейс bridge1 в режиме VLAN Filtering является «багажником», в котором едут все ваши VLAN. Чтобы роутер мог «слышать» трафик конкретного сегмента (например, для управления через WinBox или SSH), ему нужен виртуальный интерфейс, который будет снимать тег 99-й VLAN и передавать данные сервисам RouterOS.

Безопасность на уровне моста: фильтрация типов кадров

Когда структура портов создана, необходимо задать правила «хорошего тона» для входящего трафика. Это делается в настройках каждого порта в меню /interface bridge port.

Для портов доступа (Access ports), где сидят пользователи, рекомендуется настройка: frame-types=admit-only-untagged-and-priority-tagged Это означает, что если хитрый пользователь попытается отправить в сеть уже тегированный кадр (например, пытаясь подделать свою принадлежность к VLAN администрации), мост такой кадр отбросит.

Для транковых портов (Trunk ports), соединяющих роутер с другими коммутаторами или точками доступа, настройка зеркальна: frame-types=admit-only-vlan-tagged Здесь мост будет игнорировать любые нетегированные кадры, защищая сеть от случайного подключения неуправляемых «мыльниц»-коммутаторов, которые могут внести хаос в сегментацию.

Момент истины: активация vlan-filtering

После того как:

Создан Bridge с RSTP.

Добавлены порты с правильными PVID.

Создан интерфейс управления (Management VLAN) и на него повешен IP.

(Опционально) Настроены Frame Types на портах.

Только теперь мы можем включить главный механизм:

В этот момент RouterOS перестраивает внутреннюю логику работы. Теперь коммутация происходит строго на основе таблицы /interface bridge vlan. Если вы забыли добавить порт в эту таблицу (что мы детально разберем в следующей статье), связь прервется.

Совет профессора: Перед активацией этой функции всегда используйте функцию Safe Mode (кнопка в WinBox или Ctrl+X в терминале). Если вы допустили ошибку и связь оборвалась, роутер через несколько секунд поймет, что подтверждения настроек нет, и откатит изменения назад, вернув вам доступ.

Граничные случаи: когда Bridge может подвести

Несмотря на универсальность, у Bridge VLAN Filtering есть свои ограничения. Например, если вы используете очень старые устройства (уровня RB750 r2), включение vlan-filtering=yes может привести к резкому падению пропускной способности, так как их чипы коммутации не поддерживают аппаратное тегирование в рамках моста. В таких случаях трафик всегда идет через CPU, и скорость может упасть с 1 Гбит/с до 100-200 Мбит/с.

Также стоит помнить о MTU (Maximum Transmission Unit). При добавлении тега 802.1Q к кадру добавляется 4 байта служебной информации. Современные MikroTik автоматически обрабатывают это (L2MTU), но при объединении в мост разных типов интерфейсов (например, Ethernet и SFP) стоит убедиться, что значения L2MTU позволяют передавать тегированные кадры без фрагментации.

Правильно настроенный мост — это невидимый и производительный фундамент. Он обеспечивает изоляцию на втором уровне модели OSI, подготавливая почву для того, чтобы на следующих этапах мы могли внедрить маршрутизацию между этими сегментами и правила Firewall, которые сделают вашу офисную сеть по-настоящему защищенной.

Конфигурация портов доступа и транковых соединений через PVID и VLAN Table

Представьте, что вы построили многоквартирный дом, установили двери и даже раздали ключи, но забыли пронумеровать этажи и настроить лифт. В контексте MikroTik создание интерфейса Bridge и назначение PVID — это лишь установка дверей. Чтобы пакеты действительно начали перемещаться между портами, сохраняя свою принадлежность к разным департаментам офиса, необходимо настроить «карту маршрутов» внутри коммутатора — таблицу VLAN. Именно здесь совершается большинство ошибок: если порт указан в таблице неверно, трафик либо «умирает» внутри моста, либо утекает в чужой сегмент, нарушая базовые принципы безопасности.

Механика ingress-фильтрации и роль PVID

Когда кадр поступает на физический интерфейс роутера, входящий в состав моста, устройство должно мгновенно решить, к какой виртуальной сети он относится. Если кадр пришел от управляемого коммутатора или точки доступа с уже установленной меткой 802.1Q, задача тривиальна. Но что делать с обычным системным блоком или сетевым принтером, которые ничего не знают о тегах?

Здесь вступает в дело параметр PVID (Port VLAN ID). Это своего рода «входной штамп». Как только нетегированный кадр пересекает границу порта, мост присваивает ему идентификатор, указанный в настройках /interface bridge port. Однако наличие PVID — это лишь половина дела. Для обеспечения безопасности критически важна настройка ingress-filtering.

Без включенной фильтрации на входе порт может принять кадр с любым тегом, если он придет извне. В корпоративной среде это создает риск VLAN Hopping атак, когда злоумышленник отправляет тегированный трафик в надежде пробиться в защищенный сегмент. Включение ingress-filtering=yes заставляет мост проверять: «А разрешено ли этому порту вообще принимать трафик с таким VLAN ID?». Если порта нет в таблице участников данного VLAN, кадр будет отброшен еще на стадии приема.

Настройка портов доступа: логика Untagged-взаимодействия

Порт доступа (Access Port) — это конечная точка для пользовательского устройства. Его конфигурация в MikroTik требует синхронизации двух меню: настроек порта и таблицы VLAN моста. Рассмотрим это на примере сегментации офиса, где нам нужно выделить порты ether2 и ether3 под отдел продаж (VLAN 10).

Сначала мы задаем правила входа:

Устанавливаем pvid=10 для обоих интерфейсов.

Ограничиваем тип принимаемых кадров: frame-types=admit-only-untagged-and-priority-tagged. Это гарантирует, что если кто-то воткнет в эту розетку устройство, пытающееся слать тегированный трафик, роутер его проигнорирует.

Но теперь самое важное: чтобы трафик вышел из этих портов обратно к пользователям, мост должен знать, что на выходе тег «10» нужно снять. В RouterOS это реализуется через меню /interface bridge vlan. Хотя система умеет автоматически добавлять порты в список untagged на основе их PVID, хорошим тоном и залогом стабильности считается явное указание участников.

Если мы добавим запись vlan-ids=10 untagged=ether2,ether3, мы фактически говорим процессору коммутации: «Когда пакет с меткой 10 направляется к этим портам, удали заголовок 802.1Q перед отправкой в медный кабель».

Транковые соединения и логика Tagged-участников

Транковый порт (Trunk) — это магистраль. Обычно это соединение между двумя роутерами MikroTik или между роутером и управляемым коммутатором. Здесь логика диаметрально противоположна портам доступа.

На транковом порту (например, ether1) мы обычно не устанавливаем специфический PVID (оставляя стандартный 1, который мы не используем для данных), но строго настраиваем фильтрацию: frame-types=admit-only-vlan-tagged. Это превращает порт в «чистый транк», который не принимает нетегированные кадры, защищая сеть от случайных петель при ошибочном подключении обычных ПК.

В таблице /interface bridge vlan транковый порт должен быть указан в секции tagged для каждого VLAN, который через него проходит.

| VLAN ID | Назначение | Tagged порты | Untagged порты | | :--- | :--- | :--- | :--- | | 10 | Продажи | ether1 (Trunk) | ether2, ether3 | | 20 | Бухгалтерия | ether1 (Trunk) | ether4, ether5 | | 99 | Управление | ether1 (Trunk) | bridge (CPU) |

Обратите внимание на присутствие интерфейса bridge в списке tagged. Это критический нюанс Inter-VLAN маршрутизации. Если вы хотите, чтобы сам роутер «видел» трафик внутри VLAN (например, для раздачи IP-адресов или фильтрации Firewall), интерфейс моста должен быть участником этого VLAN. В данном случае bridge выступает как виртуальный порт, смотрящий в сторону центрального процессора.

Глубокая настройка таблицы VLAN: типичные сценарии

Рассмотрим детальный процесс настройки для сценария, где у нас есть три сущности: транк на вышестоящий коммутатор, порты для сотрудников и сам роутер как шлюз.

Сценарий 1: Добавление участников в таблицу

Команда добавления записи в таблицу выглядит следующим образом: /interface bridge vlan add bridge=bridge1 vlan-ids=10 tagged=ether1,bridge1 untagged=ether2,ether3

Здесь vlan-ids может принимать как одиночное значение, так и диапазон (например, 10-15). Однако для сегментации офиса лучше указывать каждый сегмент отдельно для прозрачности мониторинга.

Важный момент: если вы забудете добавить bridge1 в список tagged для VLAN 10, то устройства в ether2 и ether3 смогут общаться между собой на уровне L2 (через чип коммутации), но они никогда не получат IP-адрес от DHCP-сервера, запущенного на роутере, так как процессор (CPU) будет изолирован от этого трафика.

Сценарий 2: Гибридные порты

Иногда возникают ситуации, когда один порт должен работать и как Access, и как Trunk. Классический пример — IP-телефон с проходным портом для компьютера. Телефон должен получать трафик в тегированном виде (VLAN 30 — Voice), а компьютер за ним — в нетегированном (VLAN 10 — Data).

В этом случае настройка порта будет выглядеть так:

pvid=10 (для компьютера).

frame-types=admit-all (так как нам нужны и тегированные, и нетегированные кадры).

В таблице VLAN этот порт (ether6) будет указан как untagged в записи для VLAN 10 и как tagged в записи для VLAN 30.

Проверка Hardware Offloading при работе с таблицей

Одним из главных преимуществ Bridge VLAN Filtering является возможность сохранить аппаратное ускорение (HW Offload). Однако, как только мы начинаем манипулировать таблицей VLAN, нужно следить за статусом в меню /interface bridge port print.

Если напротив порта стоит буква H, значит, ваша конфигурация успешно «прошита» в чип коммутации. Если H исчезла, весь трафик пошел через CPU, что на устройствах начального уровня (например, hAP ac2) мгновенно приведет к падению производительности с 1 Гбит/с до 200-300 Мбит/с при росте загрузки процессора до .

Причины потери HW Offload при настройке VLAN:

Использование функций, которые не поддерживает конкретный Switch Chip (например, некоторые старые чипы не умеют делать ingress-filtering аппаратно).

Несоответствие PVID в настройках порта и в таблице VLAN (хотя современные версии RouterOS v7 лучше справляются с этой синхронизацией).

Попытка использовать более одного моста с включенным vlan-filtering на устройствах, где чип поддерживает только один аппаратный мост.

Граничные случаи: VLAN 1 и невидимые теги

По умолчанию в RouterOS все порты имеют pvid=1. Это «нативная» сеть, которая часто используется для служебного трафика. Опытные администраторы рекомендуют уходить от использования VLAN 1 для передачи данных.

Если вы перевели все порты на PVID 10, 20 и так далее, в таблице VLAN автоматически может остаться запись для VLAN 1. Ее лучше не удалять, но и не использовать активно. Важно помнить: если кадр с тегом 1 придет на порт с pvid=1 и включенной ingress-filtering, он может быть отброшен или принят в зависимости от того, как настроен параметр vlan-filtering на самом мосту.

Безопасная стратегия:

Назначить всем неиспользуемым портам pvid=999 (Blackhole VLAN).

Убедиться, что в /interface bridge vlan нет записей, позволяющих VLAN 1 покидать транковые порты, если это не требуется для совместимости со старым оборудованием Cisco (где VLAN 1 часто является Native по умолчанию).

Алгоритм проверки конфигурации перед запуском

Прежде чем переключить финальный тумблер vlan-filtering=yes в настройках моста, необходимо выполнить «чек-лист» в терминале:

Проверьте соответствие PVID:

[admin@MikroTik] > /interface bridge port print Убедитесь, что порты сотрудников имеют нужные ID, а транки — pvid=1.

Проверьте наполнение таблицы:

[admin@MikroTik] > /interface bridge vlan print В колонке CURRENT-TAGGED и CURRENT-UNTAGGED должны отображаться интерфейсы. Если колонка пуста, значит, после включения фильтрации трафик в этом VLAN не пойдет.

Проверьте статус HW Offload:

Если флаг H активен, вы на верном пути. Если нет — проверьте совместимость функций вашего Switch Chip в официальной документации MikroTik (раздел Switch Chip Features).

Особое внимание уделите интерфейсу самого моста (bridge). Для управления роутером через Management VLAN (например, ID 99) интерфейс bridge обязан быть в списке tagged для VLAN 99. Если вы этого не сделаете, то после активации фильтрации вы потеряете доступ к роутеру по IP-адресу, так как процессор окажется «отрезан» от сети управления виртуальной стеной фильтрации.

Замыкание логической цепи

Настройка таблицы VLAN — это момент превращения плоской сети в иерархическую структуру. Мы определили, как кадры входят в систему (PVID), как они очищаются от тегов на выходе (Untagged) и как они путешествуют между устройствами (Tagged). Теперь порты офиса четко разделены: бухгалтерия не видит трафик гостевого Wi-Fi, а принтеры доступны только из нужных сегментов. Однако на данном этапе эти сегменты — абсолютно изолированные «острова». Они не могут общаться друг с другом, даже если это необходимо для работы (например, доступ к общему серверу). Для того чтобы подружить эти острова, сохранив контроль, нам потребуется следующий шаг — настройка виртуальных интерфейсов и маршрутизации, которая превратит изолированные L2-сегменты в полноценную L3-сеть.