W podtytule napisałem o programowaniu przełączniko-routera serii CRS3XX. Jednak ze względów wydajnościowych 32 bitowego jedno rdzeniowego procesora 98DX3236 taktowanego zegarem  800 [MHz] i pamięcią [RAM] wielkości 512 [MB] oraz wyposażeniem w zasilacz ok. 500 [W] (20 [A] do max 1 [A] na port przy 18-30 [V] lub 0,45 [A] przy 30-57 [V]) zapewniający 24 portom ethernet energię w standardzie 802.3 af/at nie nadaje się on do zastosowań czysto produkcyjnych jako router. Choć należy przy tej mimo wszystko okazji pochylić czoła nad potęgę założeń zarówno programistów systemu operacyjnego firmy Mikrotik (RouterOS/SwitchOS) jak i samych inżynierów potrafiących wdrażać tak uniwersalne rozwiązania do produkcji. W efekcie wyrokuje to także pozytywnie na rozwój produktów i ich wsparcie w całym cyklu życia. 

 Programowanie VLAN-ów w przełączniku można sprowadzić do pięciu głównych punktów:

1. utworzenia interfejsu bridge (dobra praktyka dla wszystkich rozwiązań VLAN)
2. dodanie portów (interface) do bridge
3. utworzenie tabeli VLAN z oznaczeniem portów tagged (pakiety posiadają już dodaną informację przez urządzenie źródłowe z numerem VID. W literaturze pięknej możemy często spotkać się z określeniem takiej konfiguracji portu jako TRUNK) i untagged (pakiety dochodzące do portu nie posiadają pola z numerem VLAN, a co za tym idzie port w przełączniku musi sam o to zadbać by się ta informacja w nich znalazła) . Tabela będzie zawierała cztery przykładowe VLAN-y. Pierwszy 190 (MANAGEMET), drugi 191 (LAN), trzeci 192 (VOIP), czwarty 193 (TV), piąty 194 (WIFI).
   
4. konfiguracja przełącznika do współpracy z określoną siecią VLAN. Tylko z niej będzie możliwe zarządzanie urządzeniami aktywnymi sieci strukturalnej. W przypadku tego przełącznika nadam mu IP: 10.10.190.2
   
5. aktywowanie na bridge filtrowania VLAN tak by inne nie ujęte pakiety wirtualnych podsieci były ignorowane
   

Skoro mamy plan to wdrażamy go w życie. Przygotowujemy sobie stanowisko pracy: 

• resetujemy przełącznik bez aktywowania ustawień fabrycznych (przycisk Remove Configuration):

/system reset-configuration no-defaults=yes

• wprowadzamy hasło "1234" ;-P dla domyślnego konta admin:

[admin@MikroTik] > user set admin password=1234

• nazywamy w sposób jednoznaczny urządzenie

/system/identity/set name=switch-1

• powinniśmy ustawić też serwer czasu, ale przy pustej konfiguracji przełącznika będzie brak możliwości w tej chwili skontrolowania jej poprawności. Ja to zrobię teraz by później ewentualnie zapomnieć o jej skontrolowaniu. :-)

    Ad. 1    W końcu możemy przystąpić do realizacji punktu pierwszego, czyli tworzymy most łączący poszczególne fizyczne interfejsy w jeden logiczny. Zmodyfikujemy nazwę sugerowaną przez przełącznik na bridge z opisem VLAN:

/interface/bridge/add name=bridge comment=VLAN

    Ad. 2 z odniesieniem do PVID z Ad. 3.  Mimo, że czynność dodania portu ethernet do bridga jest operacją prostą,  to jednak muszę napisać kilka słów wyjaśnienia. Zakładam, że jest to przełącznik będący częścią stosu mu podobnych urządzeń, które są połączone kablami krosowymi światłowodowymi z wkładkami o przepustowości 10 [GB]. W przypadku tego modelu przełącznika CRS328-24P-4s+ zaprogramujemy cztery (4s+) porty jako TRUNK. Pozostałe 24 porty obsługujące skrętkę kat. 6A. jako dostępowe dla urządzeń końcowych (access). 23 będą realizować połączenia telefoniczne przez internet tzw. VOIP. Ostatni 24 port będzie służył do zarządzania centralą telefoniczną. Wykorzystamy 23 linje komend dla PVID=192 oraz jeden raz VLAN o numerze PVID=190. Dla czterech portów sfp-sfpplus pozostawimy domyślny PVID=1. Przystępujemy do pracy:

/interface/bridge/port/add interface=ether1 bridge=bridge pvid=192

/interface/bridge/port/add interface=ether2 bridge=bridge pvid=192 

/interface/bridge/port/add interface=ether3 bridge=bridge pvid=192 

/interface/bridge/port/add interface=ether4 bridge=bridge pvid=192 

/interface/bridge/port/add interface=ether5 bridge=bridge pvid=192 

/interface/bridge/port/add interface=ether6 bridge=bridge pvid=192 

/interface/bridge/port/add interface=ether7 bridge=bridge pvid=192 

/interface/bridge/port/add interface=ether8 bridge=bridge pvid=192 

/interface/bridge/port/add interface=ether9 bridge=bridge pvid=192

/interface/bridge/port/add interface=ether10 bridge=bridge pvid=192

/interface/bridge/port/add interface=ether11 bridge=bridge pvid=192

/interface/bridge/port/add interface=ether12 bridge=bridge pvid=192 

/interface/bridge/port/add interface=ether13 bridge=bridge pvid=192 

/interface/bridge/port/add interface=ether14 bridge=bridge pvid=192 

/interface/bridge/port/add interface=ether15 bridge=bridge pvid=192 

/interface/bridge/port/add interface=ether16 bridge=bridge pvid=192 

/interface/bridge/port/add interface=ether17 bridge=bridge pvid=192 

/interface/bridge/port/add interface=ether18 bridge=bridge pvid=192 

/interface/bridge/port/add interface=ether19 bridge=bridge pvid=192

/interface/bridge/port/add interface=ether20 bridge=bridge pvid=192

/interface/bridge/port/add interface=ether21 bridge=bridge pvid=192

/interface/bridge/port/add interface=ether22 bridge=bridge pvid=192 

/interface/bridge/port/add interface=ether23 bridge=bridge pvid=192 

/interface/bridge/port/add interface=ether24 bridge=bridge pvid=190

/interface/bridge/port/add interface=sfp-sfpplus1 bridge=bridge

/interface/bridge/port/add interface=sfp-sfpplus2 bridge=bridge

/interface/bridge/port/add interface=sfp-sfpplus3 bridge=bridge

/interface/bridge/port/add interface=sfp-sfpplus4 bridge=bridge

 Po dodaniu powyższych portów do bridge powinniśmy już mieć możliwość komunikacji po MAC ADDRES-ie w sieci lokalnej, czyli mieć możliwość dostępu do innych MikroTik-ów z WINBOX-a. 

Ad. 3    Kończymy punkt trzeci wypełniając tablicę VLAN założonymi wcześniej numerami PVID:

/interface/bridge/vlan/add bridge=bridge vlan-ids=190 comment=MANAGEMENT tagged=bridge,sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4 untagged=ether24

/interface/bridge/vlan/add bridge=bridge vlan-ids=191 comment=LAN tagged=sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4

/interface/bridge/vlan/add bridge=bridge vlan-ids=192 comment=VOIP tagged=sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4 untagged=ether1,ether2,ether3,ether4,ether5,ethe
r6,ether7,ether8,ether9,ether10,ether11,ether12,ether13,ether14,ether15,ether16,ether17,ether18,ether19,ether20,ether21,ether22,ether2

/interface/bridge/vlan/add bridge=bridge vlan-ids=193 comment=TV tagged=sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4

interface/bridge/vlan/add bridge=bridge vlan-ids=194 comment=WIFI utagged=sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4

Ad. 4    Tworzymy w Interface port VLAN zarządzający oraz przypisujemy temu interfejsowi, a co za tym całemu switch-owi adres IP 10.10.190.2 z którego będzie od tej chwili dostępny:

/interface/vlan/add interface=bridge name=vlan-menagement vlan-id=190 comment=IP_switch

/ip/address/add address=10.10.190.2/24 interface=vlan-management network=10.10.190.0

Ad. 5    Informacja dla niecierpliwych. Ten punkt jest niczym jabłko Adama. Jeśli go wykonacie, np. bez punktu 4 pozostanie Wam jedynie połączyć się z przełącznikiem portem konsolowym (115200 [bit/s]) lub skorzystać z przycisku RESET. Stąd też w tym miejscu ja również proponuje włączyć tryb programowania SAFE MODE.

/interface/bridge/set vlan-filtering=yes numbers=bridge

Pozostało jeszcze "tylko" zabezpieczyć dostęp do przełącznika i aktualizując oprogramowanie ciszyć się technologią XXI wieku. :-)

Opracowane miedzy innymi na podstawie:

• Mikrotik VLANs - CRS3XX Step by Step - Mikrotik Tutorial https://www.youtube.com/watch?v=YLtGQAQ8iS0 kanału Wilmer Almazan / The Network Trip

oraz po raz kolejny szczególne podziękowania dla (lepiej zgubić z mądrym niż znaleźć z głupim):

• firmy PLATAN Sp. z o. o. z Sopotu za uczestnictwo w szkoleniu konfiguracji VOIP, w którym VLAN okazał się jego integralną częścią
• firmy Ogarniacze Sp. z o. o. z Krakowa za krótką, acz dającą mi dużo do myślenia prezentację technologii VLAN