Jak działa VLAN w MikroTik i jak go skonfigurować? [RouterOS 7.x]

VLAN (Virtual Local Area Network) to technologia, która pozwala logicznie wydzielić różne segmenty sieci w obrębie jednej fizycznej infrastruktury. W MikroTik konfiguracja VLAN stała się znacznie bardziej przejrzysta od wersji RouterOS 7 dzięki przebudowanemu modelowi mostów i interfejsów.

W tym wpisie pokażę Ci:

  • jak działa VLAN,
  • kiedy warto go używać,
  • jak go poprawnie skonfigurować na najnowszym MikroTiku (RouterOS 7.x),
  • jak sprawdzić, czy działa prawidłowo.

Po co VLAN?

Wyobraź sobie, że masz firmę z trzema działami: administracja, księgowość i dział IT. Chcesz, by każdy dział miał własną sieć lokalną, mimo że korzystają z tego samego fizycznego switcha i routera. VLAN pozwala na stworzenie takich „wirtualnych sieci”, dzięki czemu:

  • możesz izolować ruch między działami,
  • zwiększasz bezpieczeństwo,
  • lepiej zarządzasz ruchem w sieci.

Jak działa VLAN w MikroTik?

W RouterOS 7 konfiguracja VLAN opiera się na mostach (bridge) oraz dodawaniu tzw. interfejsów VLAN (Virtual Interfaces). MikroTik obsługuje zarówno VLAN tagging (802.1Q), jak i untagged (access porty).

Przykład konfiguracji VLAN w MikroTik (RouterOS 7)

Załóżmy, że chcemy utworzyć dwie sieci VLAN:

  • VLAN 10 – sieć pracowników (192.168.10.0/24)
  • VLAN 20 – sieć gości (192.168.20.0/24)

1. Tworzymy bridge

shell

/interface bridge

add name=bridge1 vlan-filtering=yes

2. Dodajemy porty fizyczne do bridge’a

shell

/interface bridge port

add bridge=bridge1 interface=ether1

add bridge=bridge1 interface=ether2

add bridge=bridge1 interface=ether3

3. Tworzymy VLAN interfejsy

shell

/interface vlan

add interface=bridge1 name=vlan10 vlan-id=10

add interface=bridge1 name=vlan20 vlan-id=20

4. Tworzymy adresy IP dla VLAN

shell

/ip address

add address=192.168.10.1/24 interface=vlan10

add address=192.168.20.1/24 interface=vlan20

5. Konfigurujemy VLAN tagging na portach

shell

/interface bridge vlan

add bridge=bridge1 tagged=ether1 untagged=ether2 vlan-ids=10

add bridge=bridge1 tagged=ether1 untagged=ether3 vlan-ids=20

  • Port ether1 – trunk (niesie oba VLAN-y)
  • Port ether2 – access VLAN 10 (sieć pracowników)
  • Port ether3 – access VLAN 20 (sieć gości)

Jak sprawdzić, czy VLAN działa?

  • Podłącz urządzenia do ether2 i ether3.
  • Nadaj im IP z odpowiednich zakresów (statycznie lub przez DHCP).
  • Spróbuj wykonać ping między nimi – powinien nie działać (izolacja).
  • Ping do bramy VLAN (np. 192.168.10.1) powinien działać.

Podsumowanie Konfiguracja VLAN w MikroTik z RouterOS 7 jest prosta, gdy zna się podstawowe pojęcia: bridge, VLAN ID, tagging, access/trunk. Dzięki temu możesz zbudować bezpieczną, segmentowaną sieć – idealną do biura, szkoły czy nawet w domu.