РЕШЕНО: Разделение радиоканала по VLAN'ам на Mikrotik

[dst]

Добрый день!
Появилась необходимость развернуть гостевую сеть в компании. Сейчас используем в качестве точек доступа Dlink DAP-2690 на которых настроено несколько SSID, в том числе и гостевая сеть (в отдельном vlan), но они показали себя не лучшим образом. Планирую заменить их на Mikrotik RB951.

Текущая ситуация:
Микротик подключен к тегированному порту свитча, т.е. на вход (ether2) приходит vlan локалки и vlan интернета. Настройки по обоим vlan’ам (DHCP,DNS) раздаются DHCP сервером в локальной сети и DFL-800 в гостевой сети.

Что планирую сделать:
Необходимо настроить два изолированных SSID’а на точке (гостевой и локальный) и указать микротику, что при подключении на SSID офиса пользователи подключались к локальной сети (vlan 1), а при подключении к SSID гостей – доступ только к интернету (vlan2).

Что делал:
Пробовал создать vlan’ы в /interface/vlan и объединить их в бридж с AP. Затем включил VLAN (check) в /switch на порт ether2 с параметром VLAN Header: leave as is. На вкладке /switch/VLAN добавил VLAN1 и VLAN2 с соответствующими ID на порт ether2. Но микротик никак на это не отзывается.

Как правильно обяснить микротику, что на входе у меня 2 сети и их нужно раскидать по разным интерфейсам?

 Экспорт конфига

# jan/02/1970 00:19:52 by RouterOS 6.19
# software id = 1I10-GGB3
#
/interface bridge
add l2mtu=1594 name=Guest_bridge
add l2mtu=1594 name=Local_bridge
/interface wireless
set [ find default-name=wlan1 ] disabled=no l2mtu=1600 mode=ap-bridge name=\
Office_wlan ssid=DMRAPOFF tx-power-mode=all-rates-fixed
/interface vlan
add interface=ether2 l2mtu=1594 name=Guest_virtual_network vlan-id=10
add interface=ether2 l2mtu=1594 name=Office_virtual_network vlan-id=1
/interface wireless
add disabled=no l2mtu=1600 mac-address=4E:5E:0C:2B:29:97 master-interface=\
Office_wlan name=Guest_wlan ssid=DMRAPGu wds-cost-range=0 \
wds-default-cost=0
/interface ethernet switch port
set 2 vlan-mode=check
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
dynamic-keys wpa2-pre-shared-key=""
/port
set 0 name=serial0
/interface bridge port
add bridge=Local_bridge interface=Office_wlan
add bridge=Local_bridge interface=Office_virtual_network
add bridge=Guest_bridge interface=Guest_virtual_network
add bridge=Guest_bridge interface=Guest_wlan
/interface ethernet switch vlan
add independent-learning=no ports=ether2 switch=switch1 vlan-id=1
add independent-learning=no ports=ether2 switch=switch1 vlan-id=10
/ip address
add address=192.168.0.88/22 interface=Local_bridge network=192.168.0.0
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set allow-disable-external-interface=no

РЕШЕНИЕ:
Создаем VLAN'ы в /intarface/vlan с соответствующими VLAN ID и указываем для них интерфейсом порт к которому у нас подключен кабель. Затем объединяем в бридж созданные VLAN'ы с нужными нам интерфейсами.

[gmx]

Попробуйте vlan 1 заменить на какой-то другой.
Не всегда с vlan 1 корректно будет работать.

С точки зрения микротика vlan1 - это весь трафик.

[dst]

С точки зрения микротика vlan1 - это весь трафик.

Учитывая всю цепочку свитчей отказаться от VLAN ID=1 (default на Dlink'ах) будет проблематично.
Разве не vlan с ID=0 является дефолтным в RouterOS?

[Vladimir22]

Учитывая всю цепочку свитчей отказаться от VLAN ID=1 (default на Dlink'ах) будет проблематично.

придется решать эту проблему, тк длинк не маркирует дефолтный влан тегом 1 . хотя везде указывает это .
сам много раз погорел на этом.

[gmx]

Default VLAN - 1 и это не в микротике дело, а это требование стандарта 802.1q.
Фактически трафик в VLAN 1 не тегируется. Он же, по умолчанию является NativeVLAN для всех портов. Еще иногда называют широковещательным.

У меня был случай, когда железо понимало, что VLAN1 - это тоже VLAN. Но это было давно, и я даже не уверен, что это на самом деле было, так как просто все заработало и все, но, допускаю, что делал что-то не так.

Другими словами смешивать VLAN 1 и другие VLAN не рекомендуется.

ЗЫ. Кстати, на коммутаторах он поэтому и работает, что он по-умолчанию и он доступен "всюду и со всеми".

[dst]

Правильно я понимаю, что в моём случае достаточно создать 2 VLAN'а в /intarface/vlan на порту, куда у меня приходит тегированный траффик (ether2 у меня).
Затем объединить в бридж гостевую сеть с VLAN 10 (гостевой), а офисную сеть с VLAN 20 (офисный)?

[dst]

Всем спасибо! Проблема решилась!
Создал на RB951 две сети с DHCP. Затем создал 2 VLAN с номерами отличающимися от 1 (как советовали) на интерфейсе ether1. Кинул с первого порта RB951 на первый порт RB2011.
Создал два аналогичных VLAN'а на первом роту RB2011 и объединил их в бридж с AP. Сразу всё заработало.
Теперь попробовал RB2011 подключить к D-link свитчу, заменив офисный VLAN на 1. Все работает! Похоже сам где-то напортачил, когда первый раз подключал в связке с D-Link-3100.

P.S: С VLAN ID=1 вот уже как 30 мин. полёт нормальный.

[gmx]

Ну вот, значит и D-link и Микротик обрабатывают VLAN 1 одинаково правильно.

Но все же лучше 1 VLAN не применять. Так и для понимания легче, и от возможных проблем в будущем убережет.