Crear VLAN con switch CRS de Mikrotik


Crear una VLAN con switch Mikrotik serie CRS (A partir de RouterOS: v6.12)

La serie CRS lleva un chip dedicado a funciones de switch aunque según el propio manual:

Note: Multiple master-port configuration is designed as fast and simple port isolation solution, but it limits part of VLAN functionality supported by CRS switch-chip. For advanced configurations use one master-port within CRS switch chip for all ports, configure VLANs and isolate port groups with port isolation profile configuration.

Es decir que si usamos la típica configuración de crear un puerto master para uplink y los demás esclavos o haciendo bridges, perdemos “part of VLAN functionality”, sin especificar cuál.

Siguiendo la recomendación de la nota, la siguiente configuración primero

  • aisla los puertos 9 a 16 y después
  • crea una VLAN usando el 9 como trunk/uplink y el resto como access.

1. Aislar los puertos de la VLAN

El aislamiento de puertos se suele usar para VLAN privadas cuando:

  1. Uno o más puertos son compartidos por todos los usuarios para acceder a un gateway o un router.
  2. Puertos aislados para visitantes ocasionales. La comunicación es sólo a un puerto de uplink (con acceso a Internet por ejemplo).
  3. Comunicar entre si un grupo de usuarios de un departamento. La comunicación puede establecerse entre los miembros de la departamento y el puerto de uplink. El esquema habitual es compartir impresoras o algún dispositivo.

Los Cloud Router Switches de Mikrotik tienen varios perfiles de aislamiento predefinidos:

  1. Puertos de uplink: perfil de aislamiento 0.
  2. Puertos aislados (sin contacto con otros puertos pero tal vez con el de uplink): perfil de aislamiento 1.
  3. Departamentos del 0 al 30: perfil de aislamiento del 2 al 33.
/interface ethernet switch port
set ether9 isolation-leakage-profile-override=0

Configuramos el departamento. Le asignamos el perfil 2 (comunidad). Pueden verse entre ellos.

/interface ethernet switch port
set ether10 isolation-leakage-profile-override=2
set ether11 isolation-leakage-profile-override=2
set ether12 isolation-leakage-profile-override=2
set ether13 isolation-leakage-profile-override=2
set ether14 isolation-leakage-profile-override=2
set ether15 isolation-leakage-profile-override=2
set ether16 isolation-leakage-profile-override=2

/interface ethernet switch port-isolation
add port-profile=2 ports=ether9,ether10,ether11,ether12, ether13,ether14,ether15,ether16 type=dst

2. Crear la VLAN

Poner initial VLAN (PVID) al tráfico que llega (ingress) sin tag (puertos access)

/interface ethernet switch ingress-vlan-translation
add ports=ether10 customer-vid=0 new-customer-vid=171 sa-learning=yes
add ports=ether11 customer-vid=0 new-customer-vid=171 sa-learning=yes
add ports=ether12 customer-vid=0 new-customer-vid=171 sa-learning=yes
add ports=ether13 customer-vid=0 new-customer-vid=171 sa-learning=yes
add ports=ether14 customer-vid=0 new-customer-vid=171 sa-learning=yes
add ports=ether15 customer-vid=0 new-customer-vid=171 sa-learning=yes
add ports=ether16 customer-vid=0 new-customer-vid=171 sa-learning=yes

Trunkeamos el puerto 9 para la VLAN171. Los paquetes siempre salen (egress) tageados.

/interface ethernet switch egress-vlan-tag
add tagged-ports=ether9 vlan-id=171

Editamos tabla de pertenencia de puertos a VLANs (para que el tráfico sea válido)

/interface ethernet switch vlan
add ports=ether9,ether10,ether11,ether12,ether13,ether14,ether15,ether16 vlan-id=171 learn=yes

Deshabilitamos tráfico de VLANs desconocidas

/interface ethernet switch
set drop-if-invalid-or-src-port-not-member-of-vlan-on-ports=ether9,ether10,ether11,ether12,ether13,ether14,ether15,ether16

Fuentes:
Manual Mikrotik
mikrotik-routeros.com (Usa configuración tradicional)

Written with StackEdit.