Как правильнее организовать работу с VLAN?

[Timofey-p]

Добрый день!
С микротиками сталкивался давно, нечасто и на простейших задачах. Сейчас задачи становятся сложнее и некоторые "приколы" микротиков не понятны или не укладываются в стройную систему, в основном из-за бриджей, а так же из-за того что ВЛАНы встречаются и в бриджах, и в интерфейсах.

Есть небольшой офис шлюзом в котором является RB750r3. Имеется несколько сегментов, которые должны быть разграничены: локалка, Wi-Fi, видеонаблюдение и т.д. Эти сегменты разделил по ВЛАНам.
В начале я начал делать бриджи, выделять им подсети, разграничивать файрволом. Потом ввёл ВЛАНы, т.к. стало необходимо использовать один пачкорд для передачи разных подсетей (к другому коммутатору или гипервизору с виртуалками). На данный момент "накостылил" и у меня работает почти как надо, а вот что-то перенастроить уже не получается: путаюсь, одно за другое цепляется и конечный результат не достигается... Посоветуйте как лучше работать с ВЛАНами в микротике? (прошу пояснить логику создания и связки)
1) Делать несколько бриджей и привязывать их каким-то образом к ВЛАНам?
2) Сделать один бридж с ВЛАНами и потом линковать с интерфейсами? На этот вариант меня натолкнула статья https://mikrotiklab.ru/nastrojka/artga-vlan.html, где очень красиво расписана схема.

Буду благодарен разъяснениям логики работы или ссылки на толковые статьи.
Надеюсь описал понятно.

[karton]

Попытался изобразить настройку VLAN так как понял их я, буду рад если кто-то поправит.
Левая верхняя схема это маршрутизатор без бриджей, ниже просто создан бридж без настроек, ну а справа бридж с вланами.

[Timofey-p]

Попытался изобразить настройку VLAN так как понял их я, буду рад если кто-то поправит.
Левая верхняя схема это маршрутизатор без бриджей, ниже просто создан бридж без настроек, ну а справа бридж с вланами.

Для меня этого уже мало.
Например такая ситуация: у меня стоит сервер как гипервизор, на него через одну сетевуху заходит несколько ВЛАН, которые распределяются между ВМ. Но гипервизором тоже как-то надо управлять и в случае когда он управляется по отдельному "служебному" ВЛАНу он становится недоступен, если вышел из строя сетевой коммутатор к которому он подключен. Поэтому я сделал что он управляется нетегированным трафиком входящим в сервер. Вкратце: нетегированный трафик для управления гипервизором, тегированный - распределяется между виртуалок.
На данный момент виртуалки получают свои сети, а управлять гипервизором я не могу.

[karton]

Как я понял вам нужен native VLAN, нашёл вот такую инструкцию - https://yurix.ch/blog/mikrotik-hybrid-vlan-port.html, у меня по ней всё получилось.

[Timofey-p]

В общем, да, оно.
Я искал что такое PVID и вышел на подобные статьи.
Одна настройка (frame-types) мне не понятна в этой статье:

Код: Выделить всё

add frame-types=admit-only-vlan-tagged name=bridge1

Если применять только к тегированному трафику, то что будет с нетегированным? Отбрасываться? Или можно оставить admit-all?
Это мне надо для понимания что я делаю

[karton]

Можно оставить admit-all, как я понял это правило на фреймы внутри самого бриджа, а внутри него всё с тэгами

[Timofey-p]

Сегодня пытался правильно и удобно организовать сеть в офисе, что-то получалось, но потом встал в тупик.
Опишу часть задачи, которую хочу осуществить и что пытался осуществить с VLAN (в скобках - то что в планах добавить):
eth2 - trunk.2 (+ access.99, trunk.3, trunk.4)
eth3 - trunk.2, trunk.50 (+ trunk.99, trunk.111) - идёт в другой кабинет, сети должны быть разделены (локалка, видео, Wi-Fi, ...)
eht4 - access.50
eht5 - access.2
Если брать отдельно влан (2 или 50), то всё получалось, но объединить их на eth3 никак не получается.
Делал всё через winbox (извините, с терминалом ещё не очень дружу, командами не пользуюсь), сейчас стараюсь восстановить и описать что делал:
Для VLAN.50. В Bridge:

• создал bridge-Video; сразу включил VLAN Filtering c PVID=50

• В bridge ports связал bridge-Video с ether3, bridge-Video с ether4 (чувствую что тут что-то не так делаю)

• В bridge VLANs создал VLAN IDs = 50 для bridge-Video, добавил тегированные порты: bridge-Video, ether3; не тегированные: ether4

В интерфейсах:

• Создал vlan.50

• В адресах назначил интерфейсу vlan.50 подсеть (DHCP не назначал, незачем)

С этими настройками всё видео бегает как надо. Когда решаю добавить локалку, то или не работает или различные ошибки появляются, в частности в bridge ports я не могу связать bridge-LAN (VLAN.2) с ether3, так как ether3 уже добавлен.
Вот не укладывается у меня в голове система микротиков с ВЛАН-ами , потому что у них добавилась абстракция в виде бриджей... Иногда что-то делаю, начинает получаться, думаю, что понял и в какой-то момент
Буду благодарен за помощь или объяснение.

[karton]

Вам не нужно создавать бридж под каждый VLAN, все VLAN настраиваются на одном бридже, можете рассматривать бридж логически как единый коммутатор на котором вы и создаёте VLAN, посмотрите картинку которую я вам ранее отправлял

[Timofey-p]

Вам не нужно создавать бридж под каждый VLAN, все VLAN настраиваются на одном бридже, можете рассматривать бридж логически как единый коммутатор на котором вы и создаёте VLAN, посмотрите картинку которую я вам ранее отправлял

Шикарно! Спасибо!
Могу перенастраивать рабочую систему только вечером удалённо, иначе днём поломаю работу работникам.
Судя по объёму трафика по интерфейсам в Winbox и ping-ам принтеров, всё, вроде, работает как и работало, но я стал понимать как это работает и могу (очень надеюсь) оперативно менять настройки. Плюс ко всему настроил гибридный порт.
Сейчас буду искать дальнейшие решения моих задач или создавать новые темы с вопросами.
Ещё раз спасибо за терпение и ответы по существу!