به طور پیش فرض یک سوئیچ MikroTik هر بار که یک بسته یا پکیج جدید دریافت می کند، آنها را به همه پورت های متصل ارسال می کند. هنگامی که سوئیچ متوجه شد کدام آدرس مک (MAC) به کدام پورت ها پاسخ می دهد، فقط بسته ها را برای پورت های صحیح ارسال می کند و پهنای باند داخلی را ذخیره می کند. اگر دستگاه دیگری را به یک پورت وصل کنید؛ کارت شبکه جدید یک آدرس MAC دیگر خواهد داشت و سوئیچ دوباره بسته را به همه پورت ها ارسال می کند تا متوجه شود که آدرس مک صحیح در حال حاضر کدام است و بعد از آن دوباره عملیات point-to-point را میان پورت های مربوطه انجام خواهد داد.
همه دستگاه های میکروتیک به عنوان سوئیچ مدیریتی کار می کنند و همه دستگاه ها شامل مجموعه کامل ویژگی RouterOS هستند. سوئیچ ها روی لایه دوم OSI کار می کنند به این معنا که آنها از آدرس های IP اطلاعی ندارند. برای جایجایی بسته ها بر اساس آدرس های IP به لایه 3 نساز است و به دستگاهی که این عملیات را انجام می دهد روتر گفته می شود.
تراشه سوئیچ MikroTik
اکثر دستگاههای MikroTik میتوانند هم بهعنوان سوئیچ و هم بهعنوان روتر کار کنند که این امر به خاطر استفاده از تراشه سوئیچ داخلی، استفاده از CPU یا ترکیبی از سوئیچ و CPU، برای جابجایی بستهها است. برخی از دستگاه ها حتی دارای چندین تراشه سوئیچ هستند. دستگاه های CCR رده بالا، فقط از CPU استفاده می کنند زیرا تمرکز آنها روی مسیریابی است و تراشه سوئیچ ندارند. میتوانید پورتها را برای استفاده از سوئیچ/cup به دلخواه خود پیکربندی کنید. تنظیم یک پورت به عنوان نوع None ، آن را به پورت اصلی چیپ سوئیچ تبدیل می کند، و سپس می توانید تمام پورت های دیگر را به عنوان پورت اصلی روی این پورت تنظیم کنید. در این پیکربندی، همه پورت ها از طریق تراشه سوئیچ ارتباط برقرار می کنند.
VLAN ها
در سوئیچ ها، VLAN ها به طور گسترده ای برای ایزوله کردن ترافیک، با استفاده از سه حالت VLAN (Access, Trunk و Hybrid ) روی پورت ها استفاده می شوند. 802.1Q VLANها با افزودن 4 بایت به هدر کار می کنند و در نتیجه اندازه بسته را از 1518 به 1522 بایت افزایش می دهند. پس از افزودن این 4 بایت به هدر، بسته به عنوان برچسب گذاری شناخته می شود- می توانید آن را به عنوان برچسب هایی در نظر بگیرید که به چمدان شما در فرودگاه چسپانده می شوند. از 4 بایت، 12 بیت برای شناسایی شناسه VLAN از 0 تا 4095 استفاده می شود. VLAN id 0، به این معنی است که VLAN وجود ندارد. سیسکو تمام بسته ها را به عنوان پیش فرض روی شناسه 1 قرار می دهد.
در VMware id 4095 برای برودکست به تمام VLAN ها استفاده می شود. شناسه های 1-99 اغلب در شبکه های مجازی داخلی استفاده می شوند. شناسه های 100-999 معمولاً توسط ISP ها استفاده می شود. شناسههای 1002-1005 هنوز برای فناوریهای قدیمی در بسیاری از روترها محفوظ است. شناسه های VLAN که با 2000 شروع می شوند، معمولاً برای استفاده امن هستند. توجه داشته باشید که اگر تجهیزات سیسکو دارید، شناسه های 1006-4094 را توسط VTP منتشر نمی کنند.”پیکربندی چند پورت اصلی به عنوان راه حل ایزوله پورت سریع و ساده طراحی شده است، اما بخشی از عملکرد VLAN پشتیبانی شده توسط تراشه سوئیچ CRS را محدود می کند.
برای پیکربندی های پیشرفته از یک پورت اصلی در تراشه سوئیچ CRS برای همه پورت ها استفاده کنید، VLAN ها را پیکربندی و ایزوله کنید. ورودیهای VLAN رزرو شده پویا (VLAN4091؛ VLAN4090؛ VLAN4089؛ و غیره) در سوئیچ CRS ایجاد میشوند که گروههای پورت سوئیچ شده با تنظیم پورتهای اصلی جدید اضافه شوند. این VLAN ها برای عملکرد داخلی ضروری هستند و نسبت به VLAN های پیکربندی شده کاربر اولویت کمتری دارند.اگر از سوئیچ فقط در لایه 2 استفاده کنید، ترافیک در VLAN ها کاملاً از سایر ترافیک ها جدا می شود. اگر یک آدرس IP به رابط ها اضافه کنید، میکروتیک به یک روتر لایه 3 تبدیل می شود و تمام ترافیک بین VLAN ها را هدایت می کند. سپس می توانید از ACL برای جداسازی ترافیک استفاده کنید.
مرحله 1: VLAN را روی سوئیچ MikroTik ایجاد کنید
ورودی یا Ingress – بسته هایی که به سوئیچ می روند
Ingress یا ورودی بسته هایی است که به سوئیچ شما هدایت می شوند. چیزی که شما با ورود به پورت تغییر می دهید، برای بسته ای که از خارج وارد پورت می شود اتفاق می افتد. این مسیر بسته شامل Other hardware ⇢ Ingress ⇢ (switching/routing) ⇢ Egress ⇢ Other hardware می شود. یک کاربرد بسیار رایج ترجمه ورودی های VLAN است که در آن از Ingress برای تنظیم یک شناسه VLAN برای همه بسته ها از یک کلاینت یا سرور متصل به پورت سوئیچ استفاده می شود.
مرحله 2: بسته های کلاینت خود را برای پورت های سوئیچی که به آنها متصل هستند ترجمه کنید.
خروجی یا Egress – بسته های در حال خروج از سوئیچ
Egress یا خروجی بسته هایی است که از سوئیچ شما در حال خارج شدن است. در تنظیمات رایج VLAN، شما نیازی به خروج از ترجمه ندارید، زیرا معمولا بسته قبلا با ورود بسته های به VLAN ترجمه شده اند. می توانید از ترجمه خروجی برای ترجمه بسته ها در یک VLAN خاص در یک پورت خاص، به یک شناسه VLAN دیگر استفاده کنید.
مرحله 3: شناسه های VLAN را در پورت های UpLink تگ کنید تا این بسته های VLAN از سوئیچ خارج شوند
مثال: 1 آپلینک ترانک شده و 2 پورت دسترسی با سرورها
در این مثال ما 2 سرور متصل به یک سوئیچ داریم و سرورها باید به VLAN های مختلف متصل شوند. سوئیچ با یک Uplink به یک روتر متصل است.
برای ترجمه ورودی VLAN: ابتدا ما باید VLAN های ضروری را به تمام بسته هایی که از سرور وارد سوئیچ ما می شوند اضافه کنیم. ما بسته های بدون برچسب را به شناسه VLAM مورد نظر ترجمه می کنیم:
# Change path to ingress-vlan-translation (Winbox ⇢ Switch ⇢ VLAN ⇢ In. VLAN Tran.)
/interface ethernet switch ingress-vlan-translation
# Add VLAN 100 to all packets going into the router from the server at port 2
add ports=ether2 new-customer-vid=100 sa-learning=yes
# Add VLAN 200 to all packets going into the router from the server at port 3
add ports=ether3 new-customer-vid=200 sa-learning=yes
موارد فوق VLAN 100/200 را به تمام بسته های پورت اضافه می کند. اگر بستههای برچسبگذاری شدهای دارید که از همان پورت وارد سوئیچ میشوند، میتوانید customer-vid=0 را به خطوط بالا اضافه کنید، بنابراین فقط بستههایی با vid=0 به VLAN 100/200 ترجمه میشوند. vid=0 به معنای بستههای بدون برچسب است، بدون vid=0 همه بستهها روی vid جدید تنظیم میشوند، حتی اگر قبلاً برچسبگذاری شده باشند. برچسب گذاری Egress VLAN: در مرحله بعد باید تمام VLAN ها را در پورت uplink ترانک کنیم تا به بسته های دارای برچسب VLAN اجازه دهیم از طریق پورت uplink ترانک شده عبور کنند.
# Change path to egress-vlan-tag (Winbox ⇢ Switch ⇢ VLAN ⇢ Eg. VLAN Tag)
/interface ethernet switch egress-vlan-tag
# Add VLAN id 100 to be allowed on the uplink port (ether1)
add tagged-ports=ether1 vlan-id=100
# Add VLAN id 200 to be allowed on the uplink port (ether1)
add tagged-ports=ether1 vlan-id=200
اگر قبلاً شناسه VLAN را به پورت تگ شده اضافه کردهاید، باید تگ VLAN خروجی ایجاد شده را ویرایش کنید. از print برای پیدا کردن شناسه egress VLAN tag استفاده کنید و سپس edit X tagged-ports را وارد کنید تا ویرایشگری باز شود که در آن می توانید پورت ها را تغییر دهید (یک نام پورت در هر خط). یا می توانید remove X را وارد کنید و سپس از خط بالا استفاده کنید، همچنین می توانید پورت های بیشتری را در همان خط با add tagged-ports=ether1,ether7,ether9 vlan-id=200 اضافه کنید. برای VLAN membership در جدول VLAN سوئیچ باید VLAN ها تنظیم شوند.
# Change path to the VLAN table (Winbox ⇢ Switch ⇢ VLAN ⇢ VLAN)
/interface ethernet switch vlan
# Add the uplink and the access ports for each VLAN
add ports=ether1,ether2 vlan-id=100 learn=yes
add ports=ether1,ether3 vlan-id=200 learn=yes
VLAN های خود را ایمن کنید: پس از اینکه تمام پیکربندی های VLAN را انجام دادید، اکنون می توانید با غیرفعال کردن آن در تنظیمات سوئیچ عمومی، انتقال VLAN ناشناخته/نامعتبر را حذف کنید:
/interface ethernet switch
set drop-if-invalid-or-src-port-not-member-of-vlan-on-ports=ether1,ether2,ether3
مراقب باشید و از حالت ایمن استفاده کنید، اگر VLAN مدیریت خود را اشتباه پیکربندی کرده اید، ممکن است دسترسی خود را به سوییچ حذف کنید!
Q-in-Q، QinQ
Queue in Queue به معنای افزودن VLAN دیگر در اولین VLAN است. تونل های ارائه شده توسط ISP ها اغلب به صورت QinQ ارائه می شوند و به مشتری اجازه می دهند VLAN های خود را در داخل تونل VLAN ارائه شده ISP اضافه کنند. QinQ 802.1ad به سادگی با افزودن هدر VLAN چهار بایتی دیگر به بسته ایجاد می شود. در MikroTik RouterOS، با تنظیم رابط VLAN خود بر روی QinQ VLAN، می توانید به سادگی یک VLAN را در داخل یک QinQ VLAN قرار دهید.
منبع: tikdis
