Страница 1 из 1
VLAN поверх bridge?
Добавлено: 07 окт 2022, 11:49
vsg21
Добрый день!
Небольшая каша в голове, прошу вашего совета.
Насколько я понял из обучающих материалов производитель настоятельно рекомендует включать порты в bridge, и уже поверх bridge создавать VLAN'ы.
Имеется роутер CCR1009. В него нужно завести провайдера, а также затерминировать несколько пользовательских VLAN'ов.
Правильно ли будет все интерфейсы сгруппировать в один bridge, в т.ч. интерфейс с подключенным провайдером? Или данная рекомендация производителя не относится к роутерам, а только к свичам Микротик? Ведь на роутере нет свич-платы, соответственно не будет никакой аппаратной разгрузки при передаче трафика между VLAN? И не отразится ли на безопасности включение в bridge канала провайдера?
Re: VLAN поверх bridge?
Добавлено: 07 окт 2022, 12:55
xvo
Если у вас на порту в сторону провайдера только один vlan, и никуда на другие порты он никогда не пойдет, даже теоретически, то необходимости добавлять этот порт в бридж нет.
С другой стороны никто не запрещает.
Можно вообще ещё один бридж с единственным этим портом создать (и уже на него вешать vlan-интерфейс, если надо): это удобно, потому что потом порты можно перекидывать между бриджами по необходимости, не изменяя остальной конфиг.
Re: VLAN поверх bridge?
Добавлено: 07 окт 2022, 15:42
vsg21
xvo писал(а): ↑07 окт 2022, 12:55
потому что потом порты можно перекидывать между бриджами по необходимости, не изменяя остальной конфиг.
xvo, вполне логично, спасибо!
Re: VLAN поверх bridge?
Добавлено: 07 окт 2022, 19:07
KaNelam
vsg21 писал(а): ↑07 окт 2022, 11:49
Добрый день!
Небольшая каша в голове, прошу вашего совета.
Насколько я понял из обучающих материалов производитель настоятельно рекомендует включать порты в bridge, и уже поверх bridge создавать VLAN'ы.
Имеется роутер CCR1009. В него нужно завести провайдера, а также затерминировать несколько пользовательских VLAN'ов.
Правильно ли будет все интерфейсы сгруппировать в один bridge, в т.ч. интерфейс с подключенным провайдером? Или данная рекомендация производителя не относится к роутерам, а только к свичам Микротик? Ведь на роутере нет свич-платы, соответственно не будет никакой аппаратной разгрузки при передаче трафика между VLAN? И не отразится ли на безопасности включение в bridge канала провайдера?
c 1 по 4 порт свич чип имеется,если 4 портов достаточно можно на чип посадить вланы. хотя 9 ядер.......
https://i.mt.lv/cdn/product_files/CCR10 ... 160135.png
https://wiki.mikrotik.com/wiki/Manual:S ... troduction
Re: VLAN поверх bridge?
Добавлено: 07 окт 2022, 19:22
xvo
KaNelam писал(а): ↑07 окт 2022, 19:07
c 1 по 4 порт свич чип имеется
Это только в старых свитч-чип, которые CCR1009-8G-...
В актуальных - все сразу на проц.
Re: VLAN поверх bridge?
Добавлено: 07 окт 2022, 22:15
KaNelam
xvo писал(а): ↑07 окт 2022, 19:22
KaNelam писал(а): ↑07 окт 2022, 19:07
c 1 по 4 порт свич чип имеется
Это только в старых свитч-чип, которые CCR1009-8G-...
В актуальных - все сразу на проц.
конкретики от ТС не поступило, гадаем
Re: VLAN поверх bridge?
Добавлено: 14 окт 2022, 09:52
vsg21
Добрый день!
Прошу прощения, не указал модель: CCR1009-7G-1C. Без свич чипа.
Вопрос бы главным образом, не снижается ли безопасность при бриджевании аплинк-интерфейса с интерфейсами "смотрящих" в локальную сеть? Может, я не правильно понял рекомендацию производителя - бриджевать всё в кучу, а затем сегментировать на уровне L2?
Настроил по совету xvo: локальные интерфейсы в один bridge. Интерфейсы с низким уровнем доверия в другой bridge.
Re: VLAN поверх bridge?
Добавлено: 14 окт 2022, 13:26
gmx
Про какую безопасность речь?
Чего именно вы опасаетесь? Vlan в микротике - это такой же коммутатор l2 и нет особой разницы аппаратный он или софтовый.