Настройка VLAN на MikroTik
Введение
Актуальное руководство по VLAN на MikroTik RouterOS 7.22.1 Stable (апрель 2026 г.). Рассмотрена настройка маршрутизаторов, коммутаторов и точек доступа Wi-Fi с использованием Bridge VLAN Filtering и Interface VLAN.
Схема сети
В сети используются:
- VLAN 10 (сеть 192.168.10.0/24) – VLAN для администрирования сетевых устройств (управляющая VLAN),
- VLAN 20 (сеть 192.168.20.0/24) – VLAN для устройств сотрудников (основная VLAN),
- VLAN 30 (сеть 192.168.30.0/24) – VLAN для IP-телефонии,
- VLAN 40 (сеть 192.168.40.0/24) – VLAN для серверов,
- VLAN 50 (сеть 192.168.50.0/24) – VLAN для гостевых устройств (гостевая VLAN).
На Wi-Fi точке доступа AP1 настроено шесть беспроводных сетей: три сети для VLAN 20 (основная VLAN) и три сети для VLAN 50 (гостевая VLAN). IP-телефон отправляет и получает тегированные кадры, а компьютер, подключенный через IP-телефон, отправляет и получает нетегированные кадры.
На компьютере, подключенному к SW2 ether2, настроено два IP-адреса: один из сети, относящейся к VLAN 10 (управляющая VLAN), а другой к VLAN 20 (основная VLAN). Кадры, отправляемые и получаемые данным компьютером, всегда будут нетегированными, независимо от того к какому именно из двух VLAN относятся эти кадры. Доступ к VLAN 10 реализован с помощью правила свитч-чипа коммутатора SW2. Данное правило настроено таким образом, что к VLAN 10 будут относиться любые входящие кадры у которых в заголовке канального уровня указан MAC-адрес компьютера, а в заголовке сетевого уровня указан IP-адрес получателя, относящийся к сети VLAN 10.
При использовании настроек, описанных в данной статье, следует учитывать, что из любой VLAN можно попасть в любую другую VLAN. Это будет происходить за счет маршрутизации пакетов через роутер R1. На практике, как правило, используются ограничения прохождения пакетов между разными VLAN. Например, это может быть запрет доступа из гостевой VLAN в основную VLAN. Для реализации таких ограничений следует соответствующим образом настроить брандмауэр (/ip/firewall/filter или /ipv6/firewall/filter) роутера, который отвечает за маршрутизацию пакетов между VLAN (inter VLAN routing). Настройка таких ограничений находится за рамками данной статьи. Это также следует учитывать в контексте ограничения доступа к управляющей VLAN про которое рассказывалось в предыдущем абзаце.
| Рисунок 1. Схема сети |
Исходные конфигурации устройств MikroTik до настройки VLAN
Приведенные далее конфигурации являются минимально достаточными для того, чтобы объяснить настройку VLAN на MikroTik. Конфигурации, которые используются на оборудовании в рабочих сетях должны быть более комплексными. Например, на маршрутизаторе должен быть настроен файрвол. В данной Вики есть отдельные статьи в которых описана настройка маршрутизаторов MikroTik с нуля и настройка точек доступа Wi-Fi на MikroTik с нуля.
Конфигурация R1
/interface/ethernet/ set [ find default-name=ether1 ] name=ether1-WAN1 /ip/address/ add address=100.64.111.100/24 interface=ether1-WAN1 network=100.64.111.0 /ip/firewall/nat/ add action=src-nat chain=srcnat out-interface=ether1-WAN1 to-addresses=100.64.111.100 /ip/route/ add dst-address=0.0.0.0/0 gateway=100.64.111.1 /system/identity/ set name=R1
Конфигурация SW1
/system/identity/ set name=SW1
Конфигурация SW2
/system/identity/ set name=SW2
Конфигурация AP1
/interface/wifi/
set [ find default-name=wifi3 ] channel.band=2ghz-ax .frequency=2412-2472 \
.reselect-interval=2h..4h .width=20mhz configuration.country=Superchannel \
.hw-protection-mode=rts-cts .mode=ap .ssid=Office-2 .tx-power=16 disabled=no \
name=wlan-2GHz-main security.authentication-types=wpa2-psk,wpa3-psk \
.passphrase=password1 .wps=disable
add configuration.hw-protection-mode=rts-cts .mode=ap .ssid=Office-2-Guest \
disabled=no master-interface=wlan-2GHz-main name=wlan-2GHz-guest \
security.authentication-types=wpa2-psk,wpa3-psk .passphrase=password-guest1 \
.wps=disable
set [ find default-name=wifi2 ] channel.band=5ghz-ax .frequency=\
5180-5240,5260-5320,5660-5720,5745-5825 .reselect-interval=2h..4h \
.width=20/40mhz configuration.country=Superchannel .hw-protection-mode=rts-cts \
.mode=ap .ssid=Office-5 .tx-power=18 disabled=no name=wlan-5GHz-main \
security.authentication-types=wpa2-psk,wpa3-psk .passphrase=password2 .wps=disable
add configuration.hw-protection-mode=rts-cts .mode=ap .ssid=Office-5-Guest \
disabled=no master-interface=wlan-5GHz-main name=wlan-5GHz-guest \
security.authentication-types=wpa2-psk,wpa3-psk .passphrase=password-guest2 \
.wps=disable
set [ find default-name=wifi1 ] channel.band=6ghz-ax .frequency=\
5955-6425 .reselect-interval=2h..4h .width=20/40mhz \
configuration.country=Superchannel .hw-protection-mode=rts-cts .mode=ap \
.ssid=Office-6 .tx-power=18 disabled=no name=wlan-6GHz-main \
security.authentication-types=wpa3-psk .passphrase=password3 .wps=disable
add configuration.hw-protection-mode=rts-cts .mode=ap .ssid=Office-6-Guest \
disabled=no master-interface=wlan-6GHz-main name=wlan-6GHz-guest \
security.authentication-types=wpa3-psk .passphrase=password-guest3 .wps=disable
/system/identity/
set name=AP1
Специфика настройки VLAN на MikroTik
Общая информация
На устройствах MikroTik существует три различных способа настройки VLAN, сравнение которых сделано в приведенной далее таблице.
| Характеристика | Способ настройки VLAN | ||
|---|---|---|---|
| Switch VLAN | Bridge VLAN Filtering (BVF) | Interface VLAN | |
| Актуальность | Устарел | Актуальный | Актуальный |
| Совместимость с любыми топологиями и конфигурациями | Частичная | Полная | Частичная |
| Сложность настройки | Высокая | Средняя | Низкая |
| Поддержка | На некоторых устройствах | На любых устройствах | На любых устройствах |
| Совместимость с аппаратной разгрузкой (HW offloading) | Есть | На некоторых устройствах | На некоторых устройствах |
| Возможность создания VLAN-интерфейса | Нет | Нет | Есть |
| Возможность назначить IP-адрес | Нет | Нет | Есть |
Из приведенной выше таблицы следует, что актуальным на сегодняшний день способом настройки VLAN на устройствах MikroTik является Bridge VLAN Filtering. Недостатками данного способа настройки VLAN на устройствах MikroTik является то, что он не подразумевает возможность создания VLAN-интерфейса и, как результат, отсутствует возможность назначить IP-адрес, связанный с VLAN. Эти недостатки компенсируются возможностью использовать Bridge VLAN Filtering совместно с Interface VLAN, который подразумевает обязательное создание виртуального VLAN-интерфейса, которому можно будет назначить IP-адрес. По описанным в данном абзаце причинам материал статьи ориентирован на настройку Bridge VLAN Filtering или связки из Bridge VLAN Filtering и Interface VLAN.
На любых устройствах со свитч-чипами Marvell Prestera использование BVF возможно одновременно с аппаратной разгрузкой (HW offloading). Данные свитч-чипы используются на коммутаторах CRS3xx и более старших, а так же на маршрутизаторах CCR2xxx, если на них есть свитч-чип. На устройствах с другими свитч-чипами активация Bridge VLAN Filtering может как автоматически отключить, так и не отключить аппаратную разгрузку. Конкретное поведение зависит от модели свитч-чипа.
При настройке VLAN независимо от способа настройки все кадры делятся на два вида:
- тегированные кадры (tagged) – кадры, содержащие, хотя бы один VLAN-тег;
- нетегированные кадры (untagged) – кадры, не содержащие, ни одного VLAN-тега.
Порты также могут быть тегированными и нетегированными:
- тегированные порты (tagged) – порты из которых исходят и в которых входят кадры с VLAN-тегом,
- нетегированные порты (untagged) – порты из которых исходят и в которых входят кадры без VLAN-тега.
- гибридные порты (hybrid) – порты из которых исходят и в которых входят кадры как с VLAN-тегом, так и без VLAN-тега.
В терминологии Cisco для обозначения тегированных портов используется термин «транк порт» (trunk), для обозначения нетегированных портов – «порты доступа» (access), а для гибридных портов – «гибридный порт» (hybrid).
На схеме сети, которая разбирается в данной статье:
- R1 sfp1 – тегированный порт,
- SW1 sfp1 – тегированный порт,
- SW1 ether1 – тегированный порт,
- SW1 ether2 – нетегированный порт,
- SW1 ether3 – тегированный порт,
- SW2 ether1 – тегированный порт,
- SW2 ether2 – нетегированный порт,
- SW2 ether3 – гибридный порт,
- AP1 ether1 – тегированный порт.
SW2 ether3 является гибридным портом потому, что телефон будет отправлять и принимать тегированные кадры для VLAN 30, а компьютер будет отправлять и принимать нетегированные кадры для VLAN 20. А SW2 ether2 также работает с двумя разными VLAN, но при этом, данный порт не является гибридным, т.к. кадры для обоих VLAN в обоих направлениях будут отправляться и получаться без VLAN-тега, а соотнесение коммутатором SW2 кадров с VLAN 10 будет выполняться на основе связки из MAC-адреса компьютера и IP-адреса получателя.
Специфика Bridge VLAN Filtering
При настройке Bridge VLAN Filtering в разделе конфигурации Bridge → вкладка VLAN (/interface/bridge/vlan/) создаются таблицы VLAN. В каждой таблице можно указать четыре параметра:
- Bridge – обязательный параметр в котором задается bridge-интерфейс к которому относятся настройки.
- VLANs – обязательный параметр в котором задаются VLAN к которым должна относится данная таблица VLAN.
- Tagged – необязательный параметр, в котором задаются интерфейсы из которых будут выходит тегированные кадры, относящиеся к VLAN, указанным в параметре VLANs.
- Untagged – необязательный параметр, в котором задаются интерфейсы из которых будут выходит нетегированные кадры, относящиеся к VLAN, указанным в параметре VLANs.
При настройке Bridge VLAN Filtering также учитывается параметр PVID, находящий в настройках Bridge Port (Bridge → вкладка Ports → запись порта → вкладка VLAN или /interface/bridge/port/), в котором указывается VLAN, к которому будут относится любые нетегированные кадры пришедшие на данный порт.
Пример конфигурации с использованием данных параметров:
/interface/bridge/ add name=bridge1 vlan-filtering=yes /interface/bridge/port/ add bridge=bridge1 interface=ether1 pvid=1 add bridge=bridge1 interface=ether2 pvid=20 add bridge=bridge1 interface=ether3 pvid=30 /interface/bridge/vlan/ add bridge=bridge1 vlan-ids=20 tagged=ether1 untagged=ether2 add bridge=bridge1 vlan-ids=30 tagged=ether1 untagged=ether3
Приведенная выше конфигурация трактуется следующим способом:
add name=bridge1 vlan-filtering=yes– на bridge-интерфейсе bridge1 активировано использование BVF;add bridge=bridge1 interface=ether1 pvid=1– в состав bridge-интерфейса bridge1 входит порт ether1, а кадры, пришедшие на данный порт без VLAN-тега, должны быть сопоставлены c VLAN 1 (значение по умолчанию);add bridge=bridge1 interface=ether2 pvid=20– в состав bridge-интерфейса bridge1 входит порт ether2, а кадры, пришедшие на данный порт без VLAN-тега, должны быть сопоставлены c VLAN 20;add bridge=bridge1 interface=ether3 pvid=30– в состав bridge-интерфейса bridge1 входит порт ether3, а кадры, пришедшие на данный порт без VLAN-тега, должны быть сопоставлены c VLAN 30.add bridge=bridge1 vlan-ids=20 tagged=ether1 untagged=ether2– для VLAN 20 порт ether1 является тегированным, а ether2 – нетегированным;add bridge=bridge1 vlan-ids=30 tagged=ether1 untagged=ether3– для VLAN 30 порт ether1 является тегированным, а ether3 – нетегированным.
Существует ряд правил, которым должны подчиняться записи в таблице VLAN:
- для каждого VLAN может существовать только одна запись в таблице VLAN в пределах одного bridge-интерфейса;
- если на разных bridge-интерфейсах используются одинаковые VLAN, то для них должны существовать разные записи в таблице VLAN для каждого из таких bridge-интерфейсов;
- в одной записи может быть указано более одного VLAN;
- один и тот же порт, входящий в состав bridge-интерфейса, может использоваться в одной и более записях в таблице VLAN;
- в одной записи в таблице VLAN могут быть указаны:
- одновременно тегированные и нетегированные порты,
- только тегированные порты,
- только нетегированные порты.
С точки зрения безопасности рекомендуется разрешать на входе в порт, входящий в состав bridge-интерфейса, и на выходе из него только те типы кадров, которые действительно должны проходить через данный порт. Типы кадров выбираются с помощью параметра Frame Types (frame-types) в настройках порта или bridge-интерфейса. Данный параметр может иметь следующие значения:
- Admit all (admit-all) – разрешить любые кадры (значение по умолчанию),
- Admit only VLAN tagged (admit-only-vlan-tagged) – разрешить только кадры с VLAN-тегом,
- Admit only untagged and priority tagged (admit-only-untagged-and-priority-tagged) – разрешить только кадры без VLAN-тега или с меткой приоритета.
Для нетегированных портов рекомендуется использовать frame-types=admit-only-untagged-and-priority-tagged, для тегированных портов – frame-types=admit-only-vlan-tagged, а для гибридных портов – frame-types=admit-all.
Любые настройки, имеющие отношение к Bridge VLAN Filtering, учитываются, только если BVF активирована (vlan-filtering=yes). На практике, рекомендуется вначале создавать все настройки на всех устройствах и только после этого активировать Bridge VLAN Filtering сразу на всех устройствах по очереди, начиная с устройств, которые принимают нетегированные кадры, т.е. используются для подключения конечных устройств.
С точки зрения безопасности также следует учитывать, что на всех устройствах необходимо использовать защиту канального уровня, так как при ее отсутствии будет возможность получить доступ к настройкам оборудования по MAC-адресу в обход управляющей VLAN. Настройка оборудования без учета данной рекомендации может привести к отсутствию доступа к оборудованию.
Связь между Bridge VLAN Filtering и другим функционалом RouterOS
Bridge-интерфейс в контексте BVF называется ЦП-портом и используется для связи между BVF и процессором устройства MikroTik. Такая связь позволяет осуществлять взаимодействие между одной и той же VLAN, настроенной с помощью BVF и Interface VLAN. Для создания такой связи необходимо:
- добавить bridge-интерфейс в качестве тегированного интерфейса,
- Interface VLAN подчинить bridge-интерфейсу.
Маршрутизация между VLAN
Для маршрутизации между VLAN (Inter VLAN routing) используется маршрутизатор. IP-адреса сетей разных VLAN обязательно должны различаться.
На рассматриваемой в статье схеме маршрутизатор R1 является RoaS. RoaS (Router on a Stick, маршрутизатор на палочке) – это вариант физической топологии, в которой между коммутатором и маршрутизатором имеется одно соединение (физическое или логическое). Для связи между VLAN трафик должен покинуть коммутатор SW1, попасть на маршрутизатор R1 и после вернуться на коммутатор SW1.
По умолчанию из любой VLAN можно попасть в любую другую VLAN за счет маршрутизации через роутер. Если требуется настроить запрет прохождения трафика между VLAN, то это следует делать на роутере с помощью файрвола. Описание таких настроек находится за рамками данной статьи.
Настройка VLAN на маршрутизаторе R1
Для настройки VLAN на маршрутизаторе R1 будет использована настройка VLAN, известная под названием «маршрутизация между VLAN с помощью RoaS с Bridge VLAN Filtering». Для этого потребуется выполнить следующие шаги:
- Создать bridge-интерфейс и указать для него frame-type=admit-only-vlan-tagged (при использовании GUI указание возможно только после включения Bridge VLAN Filtering (шаг 7)).
- Добавить в bridge-интерфейс SFP-интерфейс sfp-sfpplus1 и указать для него frame-type=admit-only-vlan-tagged.
- Создать таблицу VLAN в которой необходимо указать, что для VLAN 10, 20, 30, 40 и 50 тегированными портами являются bridge-VLAN и sfp-sfpplus1. Нетегированные порты указывать не надо, так как их нет.
- Создать VLAN-интерфейсы и подчинить их bridge-интерфейсу.
- Назначить IP-адреса VLAN-интерфейсам.
- Включить Bridge VLAN Filtering.
- Настроить безопасность канального уровня (L2-безопасность).
Через графический интерфейс
С помощью WinBox 3
| Рисунок 2. Создание bridge-интерфейса |
| Рисунок 3. Добавление sfp-интерфейса в bridge |
| Рисунок 4. Настройка фильтрации по типу кадров для sfp-интерфейса |
| Рисунок 5. Создание таблицы VLAN |
| Рисунок 6. Создание интерфейса vlan10 |
| Рисунок 7. Создание интерфейса vlan20 |
| Рисунок 8. Создание интерфейса vlan30 |
| Рисунок 9. Создание интерфейса vlan40 |
| Рисунок 10. Создание интерфейса vlan50 |
| Рисунок 11. Назначение IP-адреса на интерфейсе vlan10 |
| Рисунок 12. Назначение IP-адреса на интерфейсе vlan20 |
| Рисунок 13. Назначение IP-адреса на интерфейсе vlan30 |
| Рисунок 14. Назначение IP-адреса на интерфейсе vlan40 |
| Рисунок 15. Назначение IP-адреса на интерфейсе vlan50 |
| Рисунок 16. Список IP-адресов |
| Рисунок 17. Включение фильтрации VLAN bridge-интерфейса |
| Рисунок 18. Создание списка интерфейсов |
| Рисунок 19. Включение интерфейса vlan10 в список интерфейсов LAN |
| Рисунок 20. Разрешение обнаружения соседей только для списка доверенных интерфейсов |
| Рисунок 21. Разрешение консольных подключений по MAC-адресу только для списка доверенных интерфейсов |
| Рисунок 22. Разрешение WinBox-подключений по MAC-адресу только для списка доверенных интерфейсов |
| Рисунок 23. Запрет MAC-ping |
С помощью WinBox 4
| Рисунок 24. Создание bridge-интерфейса |
| Рисунок 25. Добавление sfp-интерфейса в bridge |
| Рисунок 26. Настройка фильтрации по типу кадров для sfp-интерфейса |
| Рисунок 27. Создание таблицы VLAN |
| Рисунок 28. Создание интерфейса vlan10 |
| Рисунок 29. Создание интерфейса vlan20 |
| Рисунок 30. Создание интерфейса vlan30 |
| Рисунок 31. Создание интерфейса vlan40 |
| Рисунок 32. Создание интерфейса vlan50 |
| Рисунок 33. Назначение IP-адреса на интерфейсе vlan10 |
| Рисунок 34. Назначение IP-адреса на интерфейсе vlan20 |
| Рисунок 35. Назначение IP-адреса на интерфейсе vlan30 |
| Рисунок 36. Назначение IP-адреса на интерфейсе vlan40 |
| Рисунок 37. Назначение IP-адреса на интерфейсе vlan50 |
| Рисунок 38. Список IP-адресов |
| Рисунок 39. Включение фильтрации VLAN bridge-интерфейса |
| Рисунок 40. Создание списка интерфейсов |
| Рисунок 41. Включение интерфейса vlan10 в список интерфейсов LAN |
| Рисунок 42. Разрешение обнаружения соседей только для списка доверенных интерфейсов |
| Рисунок 43. Разрешение консольных подключений по MAC-адресу только для списка доверенных интерфейсов |
| Рисунок 44. Разрешение WinBox-подключений по MAC-адресу только для списка доверенных интерфейсов |
| Рисунок 45. Запрет MAC-ping |
Через командную строку
/interface/bridge/ add frame-types=admit-only-vlan-tagged name=bridge-VLAN /interface/bridge/port/ add bridge=bridge-VLAN frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1 /interface/bridge/vlan/ add bridge=bridge-VLAN tagged=bridge-VLAN,sfp-sfpplus1 vlan-ids=10,20,30,40,50 /interface/ethernet/ set [ find default-name=ether1 ] name=ether1-WAN1 /interface/vlan/ add interface=bridge-VLAN name=vlan10 vlan-id=10 add interface=bridge-VLAN name=vlan20 vlan-id=20 add interface=bridge-VLAN name=vlan30 vlan-id=30 add interface=bridge-VLAN name=vlan40 vlan-id=40 add interface=bridge-VLAN name=vlan50 vlan-id=50 /ip/address/ add address=100.64.111.100/24 interface=ether1-WAN1 network=100.64.111.0 add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0 add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0 add address=192.168.30.1/24 interface=vlan30 network=192.168.30.0 add address=192.168.40.1/24 interface=vlan40 network=192.168.40.0 add address=192.168.50.1/24 interface=vlan50 network=192.168.50.0 /ip/firewall/nat/ add action=src-nat chain=srcnat out-interface=ether1-WAN1 to-addresses=100.64.111.100 /ip/route/ add dst-address=0.0.0.0/0 gateway=100.64.111.1 /interface/bridge/ set bridge-VLAN vlan-filtering=yes /interface/list/ add name=LAN /interface/list/member/ add interface=vlan10 list=LAN /ip/neighbor/discovery-settings/ set discover-interface-list=LAN /tool/mac-server/ set allowed-interface-list=LAN /tool/mac-server/mac-winbox set allowed-interface-list=LAN /tool/mac-server/ping/ set enabled=no /system/identity/ set name=R1
Настройка VLAN на коммутаторе SW1
Для настройки VLAN на коммутаторе SW1 будет использована настройка VLAN, известная под названием «настройка access- и trunk-интерфейсов на коммутаторах уровня доступа и уровня распределения». Для этого потребуется выполнить следующие шаги:
- Создать bridge-интерфейс и указать для него frame-type=admit-only-vlan-tagged (при использовании GUI указание возможно только после включения Bridge VLAN Filtering (шаг 7)).
- Добавить в bridge-интерфейс:
- интерфейс ether1 и указать для него frame-type=admit-only-vlan-tagged;
- интерфейс ether2, а также указать для него pvid=40 и frame-type=admit-only-untagged-and-priority-tagged;
- интерфейс ether3 и указать для него frame-type=admit-only-vlan-tagged;
- интерфейс sfp-sfpplus1 и указать для него frame-type=admit-only-vlan-tagged.
- Создать таблицы VLAN для каждого VLAN:
- для VLAN 10 тегированными портами являются bridge1, sfp-sfpplus1, ether1 и ether3, а нетегированных портов нет;
- для VLAN 20 тегированными портами являются sfp-sfpplus1, ether1 и ether3, а нетегированных портов нет;
- для VLAN 30 тегированными портами являются sfp-sfpplus1 и ether3, а нетегированных портов нет;
- для VLAN 40 тегированным портом является sfp-sfpplus1, а нетегированным – ether2;
- для VLAN 50 тегированными портами являются sfp-sfpplus1 и ether1, а нетегированных портов нет.
- Создать VLAN-интерфейс и привязать его к bridge-интерфейсу.
- Назначить IP-адрес VLAN-интерфейсу.
- Добавить маршрут по умолчанию.
- Включить Bridge VLAN Filtering.
- Настроить безопасность канального уровня (L2-безопасность).
Через графический интерфейс
С помощью WinBox 3
| Рисунок 46. Создание bridge-интерфейса |
| Рисунок 47. Добавление интерфейса ether1 в bridge |
| Рисунок 48. Настройка фильтрации по типу кадров для интерфейса ether1 |
| Рисунок 49. Добавление интерфейса ether2 в bridge |
| Рисунок 50. Настройка фильтрации по типу кадров для интерфейса ether2 |
| Рисунок 51. Добавление интерфейса ether3 в bridge |
| Рисунок 52. Настройка фильтрации по типу кадров для интерфейса ether3 |
| Рисунок 53. Добавление sfp-интерфейса в bridge |
| Рисунок 54. Настройка фильтрации по типу кадров для sfp-интерфейса |
| Рисунок 55. Создание таблицы VLAN |
| Рисунок 56. Создание таблицы VLAN |
| Рисунок 57. Создание таблицы VLAN |
| Рисунок 58. Создание таблицы VLAN |
| Рисунок 59. Создание таблицы VLAN |
| Рисунок 60. Создание интерфейса vlan10 |
| Рисунок 61. Назначение IP-адреса на интерфейсе vlan10 |
| Рисунок 62. Добавление статического маршрута по умолчанию |
| Рисунок 63. Включение фильтрации VLAN bridge-интерфейса |
| Рисунок 64. Создание списка интерфейсов |
| Рисунок 65. Включение интерфейса vlan10 в список интерфейсов LAN |
| Рисунок 66. Разрешение обнаружения соседей только для списка доверенных интерфейсов |
| Рисунок 67. Разрешение консольных подключений по MAC-адресу только для списка доверенных интерфейсов |
| Рисунок 68. Разрешение WinBox-подключений по MAC-адресу только для списка доверенных интерфейсов |
| Рисунок 69. Запрет MAC-ping |
С помощью WinBox 4
| Рисунок 70. Создание bridge-интерфейса |
| Рисунок 71. Добавление интерфейса ether1 в bridge |
| Рисунок 72. Настройка фильтрации по типу кадров для интерфейса ether1 |
| Рисунок 73. Добавление интерфейса ether2 в bridge |
| Рисунок 74. Настройка фильтрации по типу кадров для интерфейса ether2 |
| Рисунок 75. Добавление интерфейса ether3 в bridge |
| Рисунок 76. Настройка фильтрации по типу кадров для интерфейса ether3 |
| Рисунок 77. Добавление sfp-интерфейса в bridge |
| Рисунок 78. Настройка фильтрации по типу кадров для sfp-интерфейса |
| Рисунок 79. Создание таблицы VLAN |
| Рисунок 80. Создание таблицы VLAN |
| Рисунок 81. Создание таблицы VLAN |
| Рисунок 82. Создание таблицы VLAN |
| Рисунок 83. Создание таблицы VLAN |
| Рисунок 84. Создание интерфейса vlan10 |
| Рисунок 85. Назначение IP-адреса на интерфейсе vlan10 |
| Рисунок 86. Добавление статического маршрута по умолчанию |
| Рисунок 87. Включение фильтрации VLAN bridge-интерфейса |
| Рисунок 88. Создание списка интерфейсов |
| Рисунок 89. Включение интерфейса vlan10 в список интерфейсов LAN |
| Рисунок 90. Разрешение обнаружения соседей только для списка доверенных интерфейсов |
| Рисунок 91. Разрешение консольных подключений по MAC-адресу только для списка доверенных интерфейсов |
| Рисунок 92. Разрешение WinBox-подключений по MAC-адресу только для списка доверенных интерфейсов |
| Рисунок 93. Запрет MAC-ping |
Через командную строку
Команды консоли
/interface/bridge/ add frame-types=admit-only-vlan-tagged name=bridge1 /interface/bridge/port/ add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=ether1 add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether2 pvid=40 add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=ether3 add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1 /interface/bridge/vlan/ add bridge=bridge1 tagged=bridge1,sfp-sfpplus1,ether1,ether3 vlan-ids=10 add bridge=bridge1 tagged=sfp-sfpplus1,ether1,ether3 vlan-ids=20 add bridge=bridge1 tagged=sfp-sfpplus1,ether3 vlan-ids=30 add bridge=bridge1 tagged=sfp-sfpplus1 untagged=ether2 vlan-ids=40 add bridge=bridge1 tagged=sfp-sfpplus1,ether1 vlan-ids=50 /interface/vlan/ add interface=bridge1 name=vlan10 vlan-id=10 /ip/address/ add address=192.168.10.2/24 interface=vlan10 network=192.168.10.0 /ip/route/ add dst-address=0.0.0.0/0 gateway=192.168.10.1 /interface/bridge/ set bridge1 vlan-filtering=yes /interface/list/ add name=LAN /interface/list/member/ add interface=vlan10 list=LAN /ip/neighbor/discovery-settings/ set discover-interface-list=LAN /tool/mac-server/ set allowed-interface-list=LAN /tool/mac-server/mac-winbox set allowed-interface-list=LAN /tool/mac-server/ping/ set enabled=no /system/identity/ set name=SW1
Настройка VLAN на коммутаторе SW2
Для настройки VLAN на коммутаторе SW2 будут использованы настройки VLAN, известные под названием «настройка access- и trunk-интерфейсов на коммутаторах уровня доступа и уровня распределения», «VLAN на основе MAC-адреса с использованием PVID» и «гибридный порт». Для этого потребуется выполнить следующие шаги:
- Создать bridge-интерфейс и указать для него frame-type=admit-only-vlan-tagged (при использовании GUI указание возможно только после включения Bridge VLAN Filtering (шаг 8)).
- Добавить в bridge-интерфейс:
- интерфейс ether1 и указать для него frame-type=admit-only-vlan-tagged;
- интерфейс ether2 и указать для него pvid=20 и frame-type=admit-only-untagged-and-priority-tagged;
- интерфейс ether3 и указать для него pvid=20 и frame-type=admit-all.
- Создать таблицы VLAN для каждого VLAN:
- для VLAN 10 тегированными портами являются bridge1 и ether1, а нетегированным – ether2;
- для VLAN 20 тегированным портом является ether1, а нетегированными – ether2 и ether3;
- для VLAN 30 тегированными портами являются ether1 и ether3, а нетегированных портов нет.
- Создать VLAN-интерфейс и привязать его к bridge-интерфейсу.
- Назначить IP-адрес VLAN-интерфейсу.
- Добавить маршрут по умолчанию.
- Создать правила доступа к VLAN 10 (управляющая VLAN).
- Включить Bridge VLAN Filtering.
- Настроить безопасность канального уровня (L2-безопасность).
Напрямую подключиться с компьютера на SW2 будет невозможно из-за того‚ что правила привязки трафика к VLAN на основе MAC-адреса не будут срабатывать для трафика предназначенному самому устройству SW․ Для такого трафика будет учитываться VLAN указанный в параметре pvid․ Но при этом с PC1 можно подключить на R1 и уже с R1 выполнить подключение на SW2․
На компьютере потребуется статическим образом задать дополнительный произвольный свободный IP-адрес из сети vlan10.
В текущем виде ожидаются подключения к управляющей VLAN из локальной сети только с интерфейса ether2.
Через графический интерфейс
С помощью WinBox 3
| Рисунок 94. Создание bridge-интерфейса |
| Рисунок 95. Добавление интерфейса ether1 в bridge |
| Рисунок 96. Настройка фильтрации по типу кадров для интерфейса ether1 |
| Рисунок 97. Добавление интерфейса ether2 в bridge |
| Рисунок 98. Настройка фильтрации по типу кадров для интерфейса ether2 |
| Рисунок 99. Добавление интерфейса ether3 в bridge |
| Рисунок 100. Настройка фильтрации по типу кадров для интерфейса ether3 |
| Рисунок 101. Создание таблицы VLAN |
| Рисунок 102. Создание таблицы VLAN |
| Рисунок 103. Создание таблицы VLAN |
| Рисунок 104. Создание правила доступа к управляющей VLAN |
| Рисунок 105. Создание правила доступа к управляющей VLAN |
| Рисунок 106. Создание правила доступа к управляющей VLAN |
| Рисунок 107. Создание правила доступа к управляющей VLAN |
| Рисунок 108. Создание интерфейса vlan10 |
| Рисунок 109. Назначение IP-адреса на интерфейсе vlan10 |
| Рисунок 110. Добавление статического маршрута по умолчанию |
| Рисунок 111. Включение фильтрации VLAN bridge-интерфейса |
| Рисунок 112. Создание списка интерфейсов |
| Рисунок 113. Включение интерфейса vlan10 в список интерфейсов LAN |
| Рисунок 114. Разрешение обнаружения соседей только для списка доверенных интерфейсов |
| Рисунок 115. Разрешение консольных подключений по MAC-адресу только для списка доверенных интерфейсов |
| Рисунок 116. Разрешение WinBox-подключений по MAC-адресу только для списка доверенных интерфейсов |
| Рисунок 117. Запрет MAC-ping |
С помощью WinBox 4
| Рисунок 118. Создание bridge-интерфейса |
| Рисунок 119. Добавление интерфейса ether1 в bridge |
| Рисунок 120. Настройка фильтрации по типу кадров для интерфейса ether1 |
| Рисунок 121. Добавление интерфейса ether2 в bridge |
| Рисунок 122. Настройка фильтрации по типу кадров для интерфейса ether2 |
| Рисунок 123. Добавление интерфейса ether3 в bridge |
| Рисунок 124. Настройка фильтрации по типу кадров для интерфейса ether3 |
| Рисунок 125. Создание таблицы VLAN |
| Рисунок 126. Создание таблицы VLAN |
| Рисунок 127. Создание таблицы VLAN |
| Рисунок 128. Создание правила доступа к управляющей VLAN |
| Рисунок 129. Создание правила доступа к управляющей VLAN |
| Рисунок 130. Создание правила доступа к управляющей VLAN |
| Рисунок 131. Создание правила доступа к управляющей VLAN |
| Рисунок 132. Создание интерфейса vlan10 |
| Рисунок 133. Назначение IP-адреса на интерфейсе vlan10 |
| Рисунок 134. Добавление статического маршрута по умолчанию |
| Рисунок 135. Включение фильтрации VLAN bridge-интерфейса |
| Рисунок 136. Создание списка интерфейсов |
| Рисунок 137. Включение интерфейса vlan10 в список интерфейсов LAN |
| Рисунок 138. Разрешение обнаружения соседей только для списка доверенных интерфейсов |
| Рисунок 139. Разрешение консольных подключений по MAC-адресу только для списка доверенных интерфейсов |
| Рисунок 140. Разрешение WinBox-подключений по MAC-адресу только для списка доверенных интерфейсов |
| Рисунок 141. Запрет MAC-ping |
Через командную строку
Команды консоли
/interface/bridge/
add frame-types=admit-only-vlan-tagged name=bridge1
/interface/bridge/port/
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=ether1
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether2 pvid=20
add bridge=bridge1 interface=ether3 pvid=20
/interface/bridge/vlan/
add bridge=bridge1 tagged=bridge1,ether1 untagged=ether2 vlan-ids=10
add bridge=bridge1 tagged=ether1 untagged=ether2,ether3 vlan-ids=20
add bridge=bridge1 tagged=ether1,ether3 vlan-ids=30
/interface/vlan/
add interface=bridge1 name=vlan10 vlan-id=10
/ip/address/
add address=192.168.10.3/24 interface=vlan10 network=192.168.10.0
/ip/route/
add dst-address=0.0.0.0/0 gateway=192.168.10.1
### Доступ к управляющей VLAN #########################################################
/interface/ethernet/switch/rule/
add switch=switch1 mac-protocol=arp ports=ether2 src-mac-address=D8:5E:D3:A8:2F:92/FF:FF:FF:FF:FF:FF \
dst-address=192.168.10.0/255.255.255.0 new-vlan-id=10
add switch=switch1 mac-protocol=ip ports=ether2 src-mac-address=D8:5E:D3:A8:2F:92/FF:FF:FF:FF:FF:FF \
dst-address=192.168.10.0/255.255.255.0 new-vlan-id=10
#######################################################################################
/interface/bridge/
set bridge1 vlan-filtering=yes
/interface/list/
add name=LAN
/interface/list/member/
add interface=vlan10 list=LAN
/ip/neighbor/discovery-settings/
set discover-interface-list=LAN
/tool/mac-server/
set allowed-interface-list=LAN
/tool/mac-server/mac-winbox
set allowed-interface-list=LAN
/tool/mac-server/ping/
set enabled=no
/system/identity/
set name=SW2
Настройка VLAN на точке доступа AP1
Для настройки VLAN на точке доступа AP1 будут использованы настройки VLAN, известная под названием «настройка access- и trunk-интерфейсов на коммутаторах уровня доступа и уровня распределения». Для этого потребуется выполнить следующие шаги:
- Создать bridge-интерфейс и указать для него frame-type=admit-only-vlan-tagged (при использовании GUI указание возможно только после включения Bridge VLAN Filtering (шаг 8)).
- Добавить в bridge-интерфейс:
- интерфейс ether1 и указать для него frame-type=admit-only-vlan-tagged.
- интерфейс wlan-2GHz-main, а также указать для него pvid=20 и frame-type=admit-only-untagged-and-priority-tagged;
- интерфейс wlan-5GHz-main, а также указать для него pvid=20 и frame-type=admit-only-untagged-and-priority-tagged;
- интерфейс wlan-6GHz-main, а также указать для него pvid=20 и frame-type=admit-only-untagged-and-priority-tagged;
- интерфейс wlan-2GHz-guest, а также указать для него pvid=50 и frame-type=admit-only-untagged-and-priority-tagged;
- интерфейс wlan-5GHz-guest, а также указать для него pvid=50 и frame-type=admit-only-untagged-and-priority-tagged;
- интерфейс wlan-6GHz-guest, а также указать для него pvid=50 и frame-type=admit-only-untagged-and-priority-tagged;
- Создать таблицы VLAN для каждого VLAN:
- для VLAN 10 тегированными портами являются bridge1 и ether1, а нетегированных портов нет;
- для VLAN 20 тегированным портом является ether1, а нетегированными портами являются wlan-2GHz-main, wlan-5GHz-main и wlan-6GHz-main;
- для VLAN 50 тегированным портом является ether1, а нетегированными портами являются wlan-2GHz-guest, wlan-5GHz-guest и wlan-6GHz-guest.
- Создать VLAN-интерфейс и привязать его к bridge-интерфейсу.
- Назначить IP-адрес VLAN-интерфейсу.
- Добавить маршрут по умолчанию.
- Включить Bridge VLAN Filtering.
- Настроить безопасность канального уровня (L2-безопасность).
Через графический интерфейс
С помощью WinBox 3
| Рисунок 142. Создание bridge-интерфейса |
| Рисунок 143. Добавление интерфейса ether1 в bridge |
| Рисунок 144. Добавление интерфейса wlan-2GHz-main в bridge |
| Рисунок 145. Добавление интерфейса wlan-5GHz-main в bridge |
| Рисунок 146. Добавление интерфейса wlan-6GHz-main в bridge |
| Рисунок 147. Добавление интерфейса wlan-2GHz-guest в bridge |
| Рисунок 148. Добавление интерфейса wlan-5GHz-guest в bridge |
| Рисунок 149. Добавление интерфейса wlan-6GHz-guest в bridge |
| Рисунок 150. Настройка фильтрации по типу кадров для интерфейса ether1 |
| Рисунок 151. Настройка фильтрации по типу кадров для интерфейса wlan-2GHz-main |
| Рисунок 152. Настройка фильтрации по типу кадров для интерфейса wlan-5GHz-main |
| Рисунок 153. Настройка фильтрации по типу кадров для интерфейса wlan-6GHz-main |
| Рисунок 154. Настройка фильтрации по типу кадров для интерфейса wlan-2GHz-guest |
| Рисунок 155. Настройка фильтрации по типу кадров для интерфейса wlan-5GHz-guest |
| Рисунок 156. Настройка фильтрации по типу кадров для интерфейса wlan-6GHz-guest |
| Рисунок 157. Создание таблицы VLAN |
| Рисунок 158. Создание таблицы VLAN |
| Рисунок 159. Создание таблицы VLAN |
| Рисунок 160. Создание интерфейса vlan10 |
| Рисунок 161. Назначение IP-адреса на интерфейсе vlan10 |
| Рисунок 162. Добавление статического маршрута по умолчанию |
| Рисунок 163. Включение фильтрации VLAN bridge-интерфейса |
| Рисунок 164. Создание списка интерфейсов |
| Рисунок 165. Включение интерфейса vlan10 в список интерфейсов LAN |
| Рисунок 166. Разрешение обнаружения соседей только для списка доверенных интерфейсов |
| Рисунок 167. Разрешение консольных подключений по MAC-адресу только для списка доверенных интерфейсов |
| Рисунок 168. Разрешение WinBox-подключений по MAC-адресу только для списка доверенных интерфейсов |
| Рисунок 169. Запрет MAC-ping |
С помощью WinBox 4
| Рисунок 170. Создание bridge-интерфейса |
| Рисунок 171. Добавление интерфейса ether1 в bridge |
| Рисунок 172. Добавление интерфейса wlan-2GHz-main в bridge |
| Рисунок 173. Добавление интерфейса wlan-5GHz-main в bridge |
| Рисунок 174. Добавление интерфейса wlan-6GHz-main в bridge |
| Рисунок 175. Добавление интерфейса wlan-2GHz-guest в bridge |
| Рисунок 176. Добавление интерфейса wlan-5GHz-guest в bridge |
| Рисунок 177. Добавление интерфейса wlan-6GHz-guest в bridge |
| Рисунок 178. Настройка фильтрации по типу кадров для интерфейса ether1 |
| Рисунок 179. Настройка фильтрации по типу кадров для интерфейса wlan-2GHz-main |
| Рисунок 180. Настройка фильтрации по типу кадров для интерфейса wlan-5GHz-main |
| Рисунок 181. Настройка фильтрации по типу кадров для интерфейса wlan-6GHz-main |
| Рисунок 182. Настройка фильтрации по типу кадров для интерфейса wlan-2GHz-guest |
| Рисунок 183. Настройка фильтрации по типу кадров для интерфейса wlan-5GHz-guest |
| Рисунок 184. Настройка фильтрации по типу кадров для интерфейса wlan-6GHz-guest |
| Рисунок 185. Создание таблицы VLAN |
| Рисунок 186. Создание таблицы VLAN |
| Рисунок 187. Создание таблицы VLAN |
| Рисунок 188. Создание интерфейса vlan10 |
| Рисунок 189. Назначение IP-адреса на интерфейсе vlan10 |
| Рисунок 190. Добавление статического маршрута по умолчанию |
| Рисунок 191. Включение фильтрации VLAN bridge-интерфейса |
| Рисунок 192. Создание списка интерфейсов |
| Рисунок 193. Включение интерфейса vlan10 в список интерфейсов LAN |
| Рисунок 194. Разрешение обнаружения соседей только для списка доверенных интерфейсов |
| Рисунок 195. Разрешение консольных подключений по MAC-адресу только для списка доверенных интерфейсов |
| Рисунок 196. Разрешение WinBox-подключений по MAC-адресу только для списка доверенных интерфейсов |
| Рисунок 197. Запрет MAC-ping |
Через командную строку
Команды консоли
/interface/wifi/ set [ find default-name=wifi3 ] channel.band=2ghz-ax .frequency=2412-2472 \ .reselect-interval=2h..4h .width=20mhz configuration.country=Superchannel \ .hw-protection-mode=rts-cts .mode=ap .ssid=Office-2 .tx-power=16 disabled=no name=wlan-2GHz-main \ security.authentication-types=wpa2-psk,wpa3-psk .passphrase=password1 \ .wps=disable add configuration.hw-protection-mode=rts-cts .mode=ap .ssid=Office-2-Guest \ disabled=no master-interface=wlan-2GHz-main name=wlan-2GHz-guest \ security.authentication-types=wpa2-psk,wpa3-psk .passphrase=password-guest1 .wps=disable set [ find default-name=wifi2 ] channel.band=5ghz-ax .frequency=\ 5180-5240,5260-5320,5660-5720,5745-5825 .reselect-interval=2h..4h \ .width=20/40mhz configuration.country=Superchannel .hw-protection-mode=rts-cts .mode=ap .ssid=Office-5 \ .tx-power=18 disabled=no name=wlan-5GHz-main security.authentication-types=\ wpa2-psk,wpa3-psk .passphrase=password2 .wps=disable add configuration.hw-protection-mode=rts-cts .mode=ap .ssid=Office-5-Guest \ disabled=no master-interface=wlan-5GHz-main name=wlan-5GHz-guest \ security.authentication-types=wpa2-psk,wpa3-psk .passphrase=password-guest2 .wps=disable set [ find default-name=wifi1 ] channel.band=6ghz-ax .frequency=\ 5955-6425 .reselect-interval=2h..4h \ .width=20/40mhz configuration.country=Superchannel .hw-protection-mode=rts-cts .mode=ap .ssid=Office-6 \ .tx-power=18 disabled=no name=wlan-6GHz-main security.authentication-types=\ wpa3-psk .passphrase=password3 .wps=disable add configuration.hw-protection-mode=rts-cts .mode=ap .ssid=Office-6-Guest \ disabled=no master-interface=wlan-6GHz-main name=wlan-6GHz-guest \ security.authentication-types=wpa3-psk .passphrase=password-guest3 .wps=disable /interface/bridge/ add frame-types=admit-only-vlan-tagged name=bridge1 /interface/bridge/port/ add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=ether1 add bridge=bridge1 interface=wlan-2GHz-main frame-types=admit-only-untagged-and-priority-tagged pvid=20 add bridge=bridge1 interface=wlan-5GHz-main frame-types=admit-only-untagged-and-priority-tagged pvid=20 add bridge=bridge1 interface=wlan-6GHz-main frame-types=admit-only-untagged-and-priority-tagged pvid=20 add bridge=bridge1 interface=wlan-2GHz-guest frame-types=admit-only-untagged-and-priority-tagged pvid=50 add bridge=bridge1 interface=wlan-5GHz-guest frame-types=admit-only-untagged-and-priority-tagged pvid=50 add bridge=bridge1 interface=wlan-6GHz-guest frame-types=admit-only-untagged-and-priority-tagged pvid=50 /interface/bridge/vlan/ add bridge=bridge1 tagged=bridge1,ether1 vlan-ids=10 add bridge=bridge1 tagged=ether1 untagged=wlan-2GHz-main,wlan-5GHz-main,wlan-6GHz-main vlan-ids=20 add bridge=bridge1 tagged=ether1 untagged=wlan-2GHz-guest,wlan-5GHz-guest,wlan-6GHz-guest vlan-ids=50 /interface/vlan/ add interface=bridge1 name=vlan10 vlan-id=10 /ip/address/ add address=192.168.10.4/24 interface=vlan10 network=192.168.10.0 /ip/route/ add dst-address=0.0.0.0/0 gateway=192.168.10.1 /interface/bridge/ set bridge1 vlan-filtering=yes /interface/list/ add name=LAN /interface/list/member/ add interface=vlan10 list=LAN /ip/neighbor/discovery-settings/ set discover-interface-list=LAN /tool/mac-server/ set allowed-interface-list=LAN /tool/mac-server/mac-winbox/ set allowed-interface-list=LAN /tool/mac-server/ping/ set enabled=no /system/identity/ set name=AP1
Комбинации топологий и видов настроек VLAN на оборудовании MikroTik
В рамках данной статьи были разобраны 4 из 24 возможных комбинаций топологий и видов настроек VLAN на оборудовании MikroTik. Детально изучить все комбинации можно в курсе «Коммутация на MikroTik». Полный список таких комбинаций приведен далее (разобранные в статье комбинации выделены жирным):
- Настройка access- и trunk-интерфейсов на коммутаторах уровня доступа и уровня распределения.
- Настройка access- и trunk-интерфейсов на коммутаторах, соединенных кольцом, с access- и trunk-портами.
- Маршрутизация между VLAN с помощью RoaS без Bridge VLAN Filtering.
- Назначение VLAN-интерфейсу статического IP-адреса.
- Назначение VLAN-интерфейсу IP-адреса по DHCP.
- Маршрутизация между VLAN с помощью RoaS с Bridge VLAN Filtering.
- Маршрутизация между VLAN на маршрутизаторе с двумя транками с одинаковыми VLAN.
- Маршрутизация между VLAN на маршрутизаторе с двумя транками с разными VLAN.
- Маршрутизация между VLAN на маршрутизаторе с двумя транками с разными и одинаковыми VLAN.
- Гибридные порты.
- VLAN на основе MAC-адреса с использованием PVID.
- VLAN на основе MAC-адреса без использования PVID.
- Совмещение разных способов назначения VLAN.
- VLAN и Wi-Fi на пакете wireless. Назначение разных беспроводных сетей разным VLAN.
- VLAN и Wi-Fi на пакетах wifi-qcom и wifi-qcom-ac. Назначение разных беспроводных сетей разным VLAN.
- VLAN и Wi-Fi на пакете wireless. Разные VLAN в одном SSID с распределением по MAC-адресу.
- VLAN и Wi-Fi на пакетах wifi-qcom и wifi-qcom-ac. Разные VLAN в одном SSID с распределением по MAC-адресу.
- VLAN и Wi-Fi на пакете wireless. Разные VLAN в одном SSID с распределением по MAC-адресу и использованием VLAN по умолчанию.
- VLAN и Wi-Fi на пакетах wifi-qcom и wifi-qcom-ac. Разные VLAN в одном SSID с распределением по MAC-адресу и использованием VLAN по умолчанию.
- 802.1ad (Q-in-Q).
- Управляющая VLAN с нетегированным доступом и с IP-адресом на bridge-интерфейсе.
- Управляющая VLAN с нетегированным доступом и с IP-адресом на VLAN-интерфейсе.
- Управляющая VLAN с тегированным доступом и с наличием в управляющей VLAN тегированных и нетегированных интерфейсов.
- Управляющая VLAN с тегированным доступом и с наличием в управляющей VLAN только тегированных интерфейсов.