Информация к новости
  • Просмотров: 6684
  • Автор: sulicompany
  • Дата: 4-05-2013, 20:00
 (голосов: 0)
4-05-2013, 20:00

Провайдинг

Категория: IT » Сети » Mikrotik


 

При создании сети нужно правильно выбрать технологию доступа. Многие совершают ошибку, и пытаются вручную задавать IP-адреса компьютерам клиентов - в итоге со временем появляется путаница с адресами, клиенты начинают сами их менять и нормальная работа сети нарушается. Другая ошибка - использование туннелей VPN для доступа в Интернет. Но и эта технология имеет недостаток - работает поверх IP сети и предназначена для доступа к серверам через Интернет, а не для получения доступа к Интернету из локальной сети. Любые проблемы с подстановкой IP-адресов так же выводят работу сети из строя. Все это создает недовольства у абонентов и уменьшает количество новых подключений. Технология IPoE создана для решения всех проблем, при ее использовании клиенту достаточно подключить свой компьютер к сети и получить доступ в Интернет, но у нее есть и минус - требуется дорогое управляемое оборудование, которое на начальном развитии сети никогда не окупится.

Поэтому единственная возможная технология для подключения клиентов в малых сетях, это PPPoE - для работы не требуется указание IP-адресов, достаточно знать логин и пароль. При этом все клиентские адреса хранятся на сервере, удобно вести мониторинг и отключать за не уплату. В дальнейшем можно с помощью биллинговой системы полностью автоматизировать процесс оплаты и отключения клиентов.

Для того, что бы стать провайдером нужно в первую очередь купить какую-то модель микротика для работы центральным маршрутизатором. Для малой нагрузки отлично подойдет  или любой  серии, например , который мы и будем использовать для примера.

Для начальной настройки Mikrotik RB2011UAS-2HnD-IN нужно подключить кабель от компьютера во второй сетевой порт, потому что первый в начальной конфигурации заблокирован.

Первое что нужно сделать - отменить начальную конфигурацию, нажав на кнопку Remove Configuration. Если окно начальной конфигурации не появилось, значит оборудование уже включали.

Далее заходим на сайт mikrotik.com в раздел Download и качаем самую последнюю версию ПО для оборудования. На данный момент это 5.24. Для обновления нужно выбрать Upgrade Package. Сохраняем файл на компьютер.

Открываем окно микротика и окно проводника. Перетаскиваем мышкой файл на окно микротика. После загрузки файла нужно перезагрузить устройство через меню SYSTEM->Reboot. Обновление занимает около 2-3 минут, питание оборудования отключать нельзя.

В меню SYSTEM->Routerboard производим обновление загрузчика, нажимаем кнопку Upgrade.

В меню SYSTEM->Reset Configuration сбрасываем конфигурацию еще раз, устанавливая галочки No DefaultConfiguration и Do Not Backup.

Для доступа в сеть нужно настроить канал интернета от провайдера. Если получение IP-адреса происходит автоматически, тогда в меню IP->DHCP Client нужно создать новое правило на + и указать интерфейс, в который подключен кабель от провайдера, например Ether1.

При успешном получении адреса в разделе Status появится соответствующая информация.

Если IP-адрес нужно устанавливать вручную, тогда заходим в меню IP->Addresses и нажимаем на +, далее указываем адрес, который выдал провайдер, например 192.168.0.199/24 и выбираем интерфейс Ether1. 24 на конце означает маску подсети 255.255.255.0 если провайдер использует другую маску, то следует найти в сети Интернет через поисковую систему "калькулятор маски подсети" и провести в нем необходимые вычисления.

Кроме IP-адреса нужно указать и шлюз. На микротике его указывают в меню IP->Routes. Создаем новое правило на + и указываем адрес шлюза, который выдал провайдер. В нашем случае это 192.168.0.1.

Провайдер может предоставлять Интернет и через PPPoE. Для настройки подключения нужно зайти в раздел PPPи нажав на + выбрать из списка PPPoE_Client. В открывшемся окне указать интерфейс, куда подключен кабель провайдера - Ether1.

На вкладке Dial Out нужно указать логин и пароль на доступ. В нашем случае имя пользователя - test, а пароль -test12345. Для получения адреса DNS сервера нужно поставить галочку Use Peer DNS.

При успешном подключении в окне статуса появится информация о выданных адресах и имени сервера.

 

Для того, что бы микротик работал в качестве DNS сервера, нужно в меню IP->DNS поставить галочку Allow Remote Requests.

Теперь переходим к настройке PPPoE сервера. Заходим в раздел PPP на вкладку Profiles и нажимаем на + для создания нового. В открывшемся окне указываем:

NameTarif_1024K/515K - имя профиля. Каждый профиль может иметь свое ограничение скорости, поэтому для удобства нужно указывать его в названии.

Local Address10.1.0.1 - внутренний адрес сервера. Обычно одинаковый во всех профилях.

Так же устанавливаем галочку Change TCP MSS в значение Yes.

На вкладке Protocols устанавливаем все галочки в значение No. Отключаем MPLS, сжатие и шифрование - все это совершенно не нужные функции для обеспечения доступа в Интернет. Шифрование повышает нагрузку на процессор и уменьшает производительность маршрутизатора.

На вкладке Limits задается ограничение скорости, например 512k/1024k и устанавливается галочка Only One - Yes, что разрешает подключение только одного клиента с одними и теми же учетными данными.

В ограничении скорости буква K означает килобиты, а буква M - мегабиты.

Rx - прием данных от клиента (исходящий трафик у клиента), Tx - передача данных к клиенту (входящий трафик у клиента).

Создаем второй профиль. Для быстрой настройки нажимаем кнопку Copy и создаем точную копию, у которой изменяем имя - Tarif_2048K/1024K.

И ограничение скорости, так же как указали в названии - 1024k/2048k.

В итоге создаем 3 профиля с разными ограничениями скорости. В примере видно, что входящая скорость намного больше исходящей. При использовании беспроводных каналов связи тарифы нужно делать не симметричными, т.к. исходящий трафик создает дополнительную нагрузку на сеть, особенно если пользователи будут осуществлять раздачи с торрентов. Несколько таких абонентов без ограничения исходящей скорости могут занять весь ресурс базовой станции, не оставив возможности работать остальным.

Для создания учетных записей клиентов заходим на вкладку Secrets. Нажимаем на + и создаем нового абонента. Указываем:

Nametest - логин для доступа в сеть.

Passwordtest - пароль для доступа в сеть.

ServicePPPoE - клиент может подключаться только по PPPoE.

ProfileTarif_1024K/512K - имя профиля с ограничением скорости.

Remote Address10.1.0.2 - адрес клиента. Можно устанавливать по порядку до 10.1.0.254, потом меняется первая цифра и раздается следующая подсеть 10.1.1.1 - 10.1.1.254 и так далее.

Для создания второго клиента так же копируем данные, изменяем имя, пароль, тариф и увеличиваем адрес на 1. Увеличивать можно до 254, потом нужно увеличивать предыдущую цифру на 1 а последнюю цифру адреса устанавливать в 1 - 10.1.0.254 далее будет 10.1.1.1.

В итоге все клиенты отображаются в табличке. Ее удобно сортировать по IP-адресу, либо по имени клиента. Однако нужно очень тщательно подойти к выбору имен клиентов. Если подключаются абоненты в многоквартирном доме, то лучше указывать в имени адрес улицы и квартиру, например lenina_14lesnaya_45 и т.п. Тут сразу понятно где абонент находится. Если планируется так же подключать и клиентов частного сектора, тогда лучше как-то отделять их друг от друга. Например клиенты многоквартирных домов будут lenina_kv14 и lesnaya_kv45, а частные дома обозначать просто - mira_20, тогда сразу станет ясно кто есть кто.

В любой момент можно зайти в свойства клиента и поменять ему тариф или адрес. Однако настройки применятся только после отключения и повторного подключения клиента.

Один клиент выключен и работать не может, эту функцию следует использовать при отключении клиентов за неоплату. Вверху в меню есть крестик для отключения и галочка для включения.

Теперь нужно привязать PPPoE сервер к интерфейсу. Для этого выбирается интерфейс, например Ether2 (можно использовать и другие, например влан или бридж), указываем таймаут 30 секунд и профиль по умолчанию. Так же ставим галочку One Session Per Host, что бы не разрешать подключение нескольких клиентов с одного компьютера или роутера. Это поможет сразу находить неисправности - например если где-то в радиоканале забыли включить режим WDS - клиенты начнут постоянно переподключатся, что сразу привлечет внимание администратора сети.

После подключения клиент появляется на вкладке Active Connection. Там показан MAC-адрес клиента, его адрес и время подключения. Для отключения клиента нужно его выбрать из списка и нажать на - вверху. По времени работы можно определять проблемы. Например если клиентские устройства по радио работают в режиме роутера и включены постоянно, то и время соединения должно с каждым днем увеличиваться. Если же клиент переподключается, то и время работы начинает отсчет с нуля, что так же можно использовать для поиска неисправностей.

На вкладке Interface можно просматривать загрузку каждого абонентского подключения, например отсортировав клиентов по входящей или исходящей скорости. Если нажать 2 раза мышкой по любому соединению откроется окно статуса, где можно просматривать график скорости и пакетную нагрузку. В данном случае видно, как работает ограничение скорости.

При подключении клиента автоматически создается правило ограничения скорости в меню Queues.

Однако в данный момент клиенты PPPoE сервера могут общаться только с роутером, в Интернет им не попасть. Нужно настроить NAT. Для этого в меню IP->Firewall нажимаем на + открывается окно.

В котором указываем: 

Src.Address10.1.0.0/16 - все клиенты с адресами от 10.1.0.1 и до 10.1.254.254 будут работать через NAT.

Dst.Address! 10.0.0.0/8 - кроме доступа на все адреса, начинающиеся на 10.

То есть все клиенты смогут иметь доступ в сеть через один внешний адрес провайдера, но если они будут пытаться получить доступ друг к другу, то данные пойдут напрямую без NAT. Может быть не очень понятно, но именно так правильно настраивается NAT, что бы без проблем в дальнейшем управлять сетью и осуществлять удаленный доступ через Интернет. Указывать просто подсеть адресов, или выходной интерфейс не верно - из-за этого будут проблемы с маршрутизацией.

На вкладке Action выбираем Masquerade что и является NAT'ом.

В итоге появляется одно правило.

Теперь клиенты могут получить доступ в Интернет. Кстати с PPPoE очень удобно смотреть на какие адреса и что скачивают клиенты. Если выбрать одного абонента из списка клиентов, нажать по нему правой кнопкой мышки и выбрать Torch, поставить все галочки в разделе Collect и нажать Start, можно увидеть все соединения, скорость и количество пакетов. По любому столбику можно делать сортировку.

Ели в списке адресов будет много соединений с одним и тем же адресом, или наоборот с многими разными адресами, и по каждому будут идти данные в большом объеме - значит клиент пользует программы Torrent или DC++.

В меню IP->DNS при нажатии на кнопку Cache можно посмотреть список сайтов, которые посещали клиенты - они все сохраняются в кэше. При необходимости его можно очистить нажатием на кнопку Flush Cache.

Если нужно заблокировать доступ на какой-то сайт, например odnoklassniki.ru, то можно создать статическую DNS запись, где указано имя сайта и не существующий адрес, например 127.0.0.1. Но так как иногда перед именем сайта автоматически приписывается www, нужно создавать 2 записи, вторую www.odnoklassniki.ru.

После установки ограничения сайты могут продолжать открываться некоторое время, т.к. на компьютерах пользователей так же имеется кэш DNS, в котором временно сохраняются имена посещаемых сайтов. Для очистки нужно запустить командную строку и ввести ipconfig /flushdns.

После добавления статическая запись показывается в кэше DNS. Однако фильтр по имени сайта работает только в том случае, если клиент использует DNS сервер микротика. Если он вручную укажет любой другой - ограничение не сработает.

В заключении настроек в меню SYSTEM->Users дважды нажимаем мышкой по пользователю Admin и в открывшемся окне на кнопку Password - вводим пароль на доступ к устройству. В нашем случае test. Теперь никто не сможет попасть на устройство, кроме администратора.

 

На этом настройка подключения к провайдеру, PPPoE сервера, профилей пользователей, NAT, DNS и блокировки сайтов по доменному имени завершена. Уже сейчас можно подключать клиентов к сети Интернет и начинать работать. Однако не забывайте заходить на наш сайт и читать новые обзоры по настройке оборудования.

Важное замечание - при использовании PPPoE все беспроводное оборудование должно работать в режиме WDS (база и клиенты, а так же все мосты точка-точка).

 

В качестве БС будем использовать плату Mikrotik RB433L с радиокартой R52n-M.

 имеет 3 сетевых порта для подключения к кабельной сети, а так же 3 mini-PCI разъема для установки радиокарт. В данном случае установлена , ее используют для работы на частоте 2ГГц.

Благодаря 3-м сетевым портам, устройство можно использовать после повреждения грозовым разрядом. Если первый порт выходит из строя, можно использовать второй и третий, после выхода из строя второго - третий. Для подачи питания потребуется раздвоить линии питания и данных, т.к. PoE поддерживает только первый разъем.

Заходим на наш маршрутизатор, который настраивали в предыдущей статье. В разделе Bridge создаем новый бридж с названием bridge_main.

На вкладке Ports добавляем в него второй сетевой порт - ether2.

И по аналогии еще 4 порта - 3, 4 и 5. Можно добавить и все оставшиеся сетевые порты - все они объединяются между собой и устройство можно использовать как коммутатор.

Далее в меню IP->Addresses добавляем адрес 10.0.0.1/24 на интерфейс bridge_main. Теперь маршрутизатор может общаться с другими устройствами внутренней сети.

Для изоляции трафика клиентов каждой беспроводной точки доступа создаем влан. В меню Interfaces на вкладке VLAN нажимаем на + и в открывшемся окне вводим следующую информацию:

Name: vlan_10 - имя интерфейса в системе, желательно указывать понятные имена, обычно через подчеркивание указывают номер влана, что бы иметь возможность ориентироваться в интерфейсах.

VLANID: 10 - номер влана, должен быть одинаковый на всех устройствах, которые могут передавать данные через него.

Interface: bridge_main - интерфейс, на котором снимается влан. В нашем случае сетевые порты 2-5 объединены в бридж, следовательно влан с номером 10 будет доступен в каждом из них. Если вы укажете влан на интерфейсе, например ether2, то он работать не будет, потому что этот интерфейс объединен в бридж.

PPPoE сервер переводим с интерфейса ether2 на vlan_10, выбрав нужный интерфейс из списка в меню PPP на вкладке PPPoE Servers.

Переходим к настройке базовой станции. При первом включении следует отменить начальную конфигурацию, нажав на кнопку Remove Configuration.

Обновляем программное обеспечение - перетаскиваем мышкой файл с новой прошивкой и по окончании загрузки перезагружаем устройство через меню System->Reboot.

У Mikrotik RB433L 3 сетевых интерфейса, и дополнительно установлен беспроводной адаптер, он выделен серым потому что выключен. Любой новый беспроводной адаптер, установленный в любой борд микротика по умолчанию отключен.

В меню Bridge создаем новый бридж с именем bridge_ether для объединения сетевых портов.

А так же bridge_AP_2GHz для работы беспроводного адаптера.

На вкладке Ports в бридж bridge_ether добавляем интерфейс ether1.

По аналогии так же добавляем остальные сетевые порты, в бридж bridge_AP_2GHz добавляем интерфейс wlan1.

В разделе Interfaces на вкладке VLAN создаем новый влан - vlan_10 с номером 10 на интерфейсе bridge_ether.

И добавляем только что созданный интерфейс vlan_10 в бридж bridge_AP_2GHz.

В меню IP->Addresses добавляем адрес 10.0.0.10/24 на бридж bridge_ether.

Слева на заднем фоне видно, что влан установлен на этом же бридже - он вынесен вправо сразу под ним.

А так же в меню IP->Routes добавляем новый шлюз на сеть 0.0.0.0/0 (на все адреса) через маршрутизатор 10.0.0.1.

Для проверки работы сети запустим пинг через меню Tools->Ping. Указываем адрес сервера - 10.0.0.1 и нажимаем кнопку Start, если все в порядке то появляются ответы с указанного адреса, все работает правильно.

Теперь переходим к настройке беспроводного адаптера. Начнем с профиля шифрования, он используется для работы в режимах 802.11 и Nstreme. В меню Wireless на вкладке Security Profile редактируем профиль default. Указываем:

Mode: dynamic keys.

Authentication Types: WPA PSK и WPA2 PSK - типы шифрования.

Unicast и Group Ciphers: tkip и aes ccm - первое программное шифрование, второе аппаратное. В принципе tkipможно не устанавливать, однако некоторые старые устройства, или не правильно настроенные, могут не подключиться к такой БС, поэтому обычно устанавливают все галочки.

WPA и WPA2 Pre-Shared Key: test123456 - ключи шифрования, должны быть одинаковые на базовой станции и клиентских устройствах.

Переходим на вкладку Interfaces и заходим в свойства беспроводного адаптера. На вкладке General меняем имя на wlan_AP_2GHz. Далее нажимаем кнопку Advanced Mode что бы получить доступ ко всем разделам настроек.

Основные настройки производятся на вкладке Wireless:

Mode: ap bridge - режим работы базовая станция.

Band: 2GHz-B/G/N - поддерживаемые режимы, в данном случае 2ГГц B/G/N, можно выбрать и просто B/G, либоonly-G.

Channel Width: 20 - ширина рабочей полосы, можно выбрать 5, 10, 20, 20/40 HT Above или 20/40 HT Below.

Frequency: 2412 - рабочая частота. При установки нескольких базовых станций рядом их частоты должны отличаться как минимум на 20 и более МГц.

SSID: TEST - имя беспроводной сети.

Radio Name - имя устройства, отображается при сканировании сетей.

Scan List: 2300-2734 - сканлист, в котором производится сканирование беспроводных сетей.

Wireless Protocol: NV2 - протокол работы. NV2 - самый современный поллинговый протокол, его следует использовать для получения максимальной скорости, Nstreme - предыдущая версия поллингового протокола, используется в тех случаях, когда NV2 работает плохо в следствии помех. Поллинговые протоколы поддерживают базы и клиенты Mikrotik, другие устройства подключиться не смогут. 802.11 - работа в режиме стандартного вайфая, только в нем могут подключаться другие устройства, например ноутбуки.

Security Profiles: default - профиль шифрования.

Frequency Mode: superchannel - включает режим, при котором доступен весь диапазон частот.

Снимаем галочку Default Forward для блокировки трафика между клиентами при работе без WDS.

На вкладке Data Rates производится управление канальными скоростями.

Пункт Rate Selection всегда следует устанавливать в режим advanced, в этом случае скорость выбирается исходя из количества ошибок, помех и иных факторов, что увеличивает стабильность.

Supported Rates - канальные скорости, поддерживаемые беспроводным адаптером.

Basic Rates - канальные скорости, на которых передается служебный трафик.

Режим B следует всегда отключать, если отсутствуют проблемы совместимости с клиентскими устройствами. Если клиенты Mikrotik или Ubiquiti - то галочки со всех скоростей B режимов следует снять.

При выборе поллингового протокола NV2 на вкладке Advanced ничего изменять не нужно.

Если требуется работа в Nstreme или 802.11, то вкладка Advanced принимает совершенно другой вид. На ней следует произвести следующие настройки:

Periodic Calibration: enabled - включение автоматического переопределения уровня шума.

Calibration Interval: 00:00:10 - интервал времени, через который будет определен и установлен текущий уровень шума, измеренный для радиокарты.

Hw/Protection Mode: rts cts - включения механизма защиты от скрытого узла.

Adaptive Noise Immunity: ap and client mode - включение встроенной защиты от помех (на самом деле помогает не сильно).

На вкладке HT производится управление каналами на передачу. Если радиокарта имеет 2 не зависимых канала приема/передачи, можно включать и выключать каждый канал галочками:

HT Tx Chains - каналы передачи.

HT Rx Chains - каналы приема.

Chain0 - первый разъем радиокарты, Chain1 - второй.

HT Guard Interval всегда при работе на улице следует устанавливать в значение long.

На вкладке HT MCS производится управление канальными скоростями в режиме N.

Канальные скорости MCS0 - MCS7 работают без MIMO, если все галочки, что выше снять, то даже при использовании двухполяризационной антенны через каждый канал будут передаваться одни и те же данные, этот режим используется, когда в MIMO нормально не работает в следствии помех или перекосов уровней сигналов. Канальные скорости MCS8 - MCS15 работают только с MIMO антеннами.

На вкладке WDS включается автоматическое добавление клиентов в бридж. Для этого нужно выбрать WDS Mode -dynamic, и указать WDS Default Bridge - bridge_AP_2GHz.

Если этого не сделать, то база в WDS нормально работать не сможет, без ручного добавления статических WDS записей.

На вкладке Nstreme производится настойка поллингового протокола предыдущей версии, нужно поставить все галочки:

Enable Nstreme - включает поллинговый протокол.

Enable Polling - включает циклический опрос клиентов.

Disable CSMA - отключает проверку занятости среды перед передачей.

И установить:

Framer Policy: dynamic size - режим автоматического выбора максимального размера для упаковки пакетов.

Framer Limit: 3200 - максимальный размер большого пакета, в который упаковываются передаваемые по сети данные.

На вкладке NV2 производится настройка параметров поллингового протокола.

TDMA Period Size: 2 - время, отведенное на передачу данных. При уменьшении до 1 уменьшается задержка и падает максимальная скорость, при увеличении до 10 увеличивается задержка и увеличивается скорость. Оптимальное значение лежит в пределах 2-5. Минимальное 1, максимальное - 10.

Cell Radius: 30 - максимальная дальность работы клиентов. Минимальное значение 10.

Галочка Security - включает шифрование, у этого протокола настройки не берутся из профиля шифрования и задаются отдельно в поле ниже.

Preshared Key: test123456 - ключ для доступа к сети, должен быть одинаковый на базе и на клиентах.

На вкладке Tx Power задается уровень мощности передатчика. Не следует увеличивать мощность сверх меры, рекомендованное значение 18dBm.

Параметр Tx Power Mode может принимать следующие значения:

All Rates Fixed - одинаковая мощность на всех канальных скоростях.

Card Rates - одинаковая мощность на всех канальных скоростях, но не превышающая максимально допустимую мощность. На более высоких канальных скоростях будет автоматически уменьшена.

Manual - мощность для каждой канальной скорости задается отдельно.

Default - мощность установлена на максимально возможное значение - этот параметр никогда не следует использовать.

Нельзя включать оборудование без антенны. При тестировании на столе следует уменьшать мощность до 1-3dBm что бы не повредить оборудование.

На этом настройка беспроводного адаптера завершена.

Для блокировки трафика клиентов в пределах базы, что бы они не могли непосредственно обмениваться данными друг с другом, создадим правило фильтра в бридже, для этого нужно зайти в раздел Bridge на вкладку Filters.

Нажимаем на + и в открывшемся окне раскрываем пункт Interface, где указываем:

In. Interface: vlan_10 - входной интерфейс данных не влан с номером 10.

Out. Interface: vlan_10 - выходной интерфейс данных не влан с номером 10.

Для установки восклицательного знака нужно нажать мышкой в квадрат перед интерфейсом.

И на вкладке Action выбираем действие drop. Теперь все данные которые пришли не через влан, или отправлены не в сторону влана будут заблокированыи и клиенты не смогут общаться друг с другом в пределах одной базы.

Не забываем установить пароль на доступ к устройству в разделе System->Users заходим в пользователя admin и нажимаем на кнопку Password указываем новый пароль и подтверждение.

После этого можно подключать антенну и включать беспроводной адаптер нажатием на кнопку Enable в свойствах.

После этого на вкладке Current Tx Power будет показана мощность на передачу по каждому каналу, и суммарно по обоим.

На этом настройка базовой станции завершена. В одной сети можно установить большое количества таких БС, для управления каждой следует установить уникальный IP-адрес, а для передачи данных до центрального маршрутизатора уникальный номер влана. При этом в сети не будет мусорного широковещательного трафика, который занимает пропускную способность магистральных каналов и создает лишнюю нагрузку на оборудование.

Для изоляции трафика друг от друга очень часто используют вланы. Это простой и удобный способ разделения трафика между клиентами или базовыми станциями на магистральных каналах. Но часто с настройкой вланов на микротике возникают трудности, ведь схема работы несколько отличается от той, которая используется в управляемых коммутаторах.

В операционной системе  влан это такой же интерфейс, как и все. Создать его можно не только на физическом сетевом порту, но и на бридже, и даже туннеле EoIP. Для примера разберем 2 типовых схемы работы на примерах.

Допустим имеется 5 вланов с номерами - 10 для управления, 20 для второго порта, 30 для третьего порта, 40 для четвертого и 50 для пятого. Нужно настроить микротик так, что бы во влане с номером 10 производилось управление оборудованием, а трафик из вланов 20, 30, 40 и 50 выдавался без тегов в соответствующие сетевые порты.

Заходим на микротик через винбокс - доступны 5 сетевых портов.

В разделе Interface заходим на вкладку VLAN и добавляем 5 вланов на следующих портах:

Ether1 - vlan_10

Ether2 - vlan_20

Ether3 - vlan_30

Ether4 - vlan_40

Ether5 - vlan_50

Список интерфейсов пополнился вланами, иерархически показано что все они расположены на интерфейсеether1. В меню IP->Address добавляем адрес для управления 10.10.10.10/24 на интерфейс vlan_10.

В меню IP->Route добавляем маршрут на все адреса 0.0.0.0/0 и указываем шлюз 10.10.10.1. Теперь попасть на него можно будет из любого места сети.

В меню Bridge создаем 5 бриджей, каждый называем в соответствии с используемым портом, например bridge_50- бридж для 50 влана.

На вкладке Ports в каждый бридж добавляем соответствующий влан и сетевой порт:

Bridge_20 - ether2 и vlan_20

Bridge_30 - ether3 и vlan_30

Bridge_40 - ether4 и vlan_40

Bridge_50 - ether5 и vlan_50

Теперь трафик каждого влана выдается в соответствующий порт устройства. А через влан управления можно получить доступ на оборудование.

Теперь усложним задачу - требуется в каждый порт, кроме снятия вланов, передавать влан с номером 10 для управления. Для этого создаем на каждом бридже по влану с номером 10:

Bridge_20 - vlan2_10

Bridge_30 - vlan3_10

Bridge_40 - vlan4_10

Bridge_50 - vlan5_10

Создаем в меню Bridge еще один бридж с именем bridge1_10.

И на вкладке Ports в бридж bridge1_10 добавляем следующие порты:

Vlan_10.

Vlan2_10.

Vlan3_10.

Vlan4_10.

Vlan5_10.

Теперь влан с номером 10 будет доступен на всех портах устройства.

Для управления микротиком следует перенести IP-адрес с интерфейса vlan_10 на bridge1_10, ведь когда интерфейс добавлен в бридж, то на нем не будут работать установленные адреса, их нужно перенести на бридж.

И в заключение -  поддерживает Q-in-Q, влан во влане. Можно делать 10 и более вложенных вланов, только размер MTU уменьшается с каждым разом на 4 байта, поэтому на практике используется не более 2-4 вложений.