sexta-feira, 29 de novembro de 2013

Configurando portas VLAN access no Mikrotik RouterOS

Existe muita documentação explicando como "criar" VLAN's no Mikrotik, mas sempre explicando como criar interfaces VLAN e não a VLAN de verdade, ainda sem diferenciar portas de acesso de portas de transporte (trunk). Uma interface VLAN (vlan interface) atrelada à uma interface física está mais próximo de uma porta de transporte que de uma uma VLAN como um todo.
Um porta de acesso é uma porta membro de uma VLAN (domínio de broadcast) onde os pacotes não saem com a marcação 802.1q, já os pacotes em portas de transporte recebem a marcação na saída, que é o caso das "VLAN interfaces" no RouterOS.

Falando em domínios de broadcast, no RouterOS você deve criar "bridges", onde cada porta de acesso da VLAN será inserida. As interfaces VLAN (Vlan interface) serão criadas sobre as portas de transporte, de onde os pacotes vão sair com a marcação (802.1q) da VLAN de origem, em seguida as interfaces VLAN são inseridas na bridge da sua VLAN.

Se quer saber um pouco mais sobre VLAN's acesse este artigo AQUI.

Neste exemplo estou usando um RB2011 UAS 2Hnd, onde eu tenho 10 portas e pretendo criar 2 Vlan's. A VLAN 10 com as portas ether7 e ether8, e a VLAN 20 com as portas ether9 e ether10.
A porta ether6 será a porta de transporte.



Primeiro criamos as 2 bridges, uma para cada VLAN (br-vlan10 e br-vlan20):






Em seguida adicione as portas ether7 e ether8 à br-vlan10 e as portas ether9 e ether10 à br-vlan20.


 Desta maneira já temos 2 VLANS de verdade, Basta agora criar as interfaces VLAN na porta de transporte e depois inseri-las na suas respectiva bridge.

Criando 2 interfaces VLAN na porta ehter6:





Coloque cada interface vlan dentro da sua bridge. A coisa fica mais ou menos assim:



Veja que as VLANS são definidas pelas portas dentro de uma bridge, e os pacotes egressos das "vlan interfaces" serão marcados com o TAG da VLAN e sairão pela ether6, que é a porta de transporte, onde você provavelmente terá um switch plugado.

Quem vem do mundo Cisco e cia, pode ficar confuso já que no IOS você define qual porta é membro de qual VLAN na configuração da própria porta. A configuração é muito mais simples, mas lembre-se que o RouterOS é basicamente o Linux, e que a RouterBoard não é exatamente um switch, o que lhe dá muito mais flexibilidade.

Problema

Nesta Routerboard que uso as portas 6 a 10 vem com uma configuração ainda mais estranha. Ao inserir as portas nas bridges das VLAN's você por se deparar com o seguinte erro:


Acontece que as portas ether7 em diante vem configuradas como "Slave" da porta ether6, que na prática é o mesmo que dizer que a porta ether6 e todas as suas "escravas" são um switch (uma bridge). Você deve primeiramente remover a configuração "Master Port" dessas portas, para que fiquem "livres", usando a opção "none":


A explicação para isso pode deixar as coisas ainda mais confusas, e fica para outro post. Na documentação da Mikrotik, esta configuração usa recursos diretos da CPU do switch - ASIC (application specific integrated circuit) - e oferece um desempenho maior na camada2, poupando processamento da CPU principal.


O RouterOS é um sistema completo e poderoso, mas se você não pisa firme nos conceitos de redes e camada 2 pode tropeçar bastante até entender a coisa.




3 comentários:

  1. Este comentário foi removido pelo autor.

    ResponderExcluir
  2. Um bom post sobre Vlan no RouterOS

    http://www.breekeenbeen.nl/2014/12/11/mikrotik-vlan-switching-without-bridging/

    ResponderExcluir
    Respostas
    1. Sim. Muito bom. Eu li ele há pouco tempo quando revisei este meu.

      Excluir