Добрый вечер! Принимайте новенького) С Микротиком я давненько знаком, однако L2 функции обычно выполнял через процессор, создавая бриджи на всяких там рб2011 и прочем. Столкнулся с ситуацией, когда надо разрулить несколько Вланов с большой утилизацией трафика - применять софт-роутер глупо. Вот решил приобрести данное чудо - свитч микротик , в котором однако встроен проц и операционка) Итак, необходимо, чтобы: Порт eth-m был транком (tagged) для влана 950, 951, 952, 958, 959. Порт eth-37 был транком (tagged) для влана 950, 951, 952, 959. Порт eth-v был доступом (untagged) для влана 958. Порт eth-33 был доступом (untagged) для влана 951. Порт eth-39 был доступом (untagged) для влана 951. Порт eth-41 был доступом (untagged) для влана 951. Порт eth-250 был доступом (untagged) для влана 950. Порт eth-2 был доступом (untagged) для влана 952. Итого, у нас 8 физических портов (6 медь и 2 сфп), из которых 6 портов доступа и 2 порта транка, в которых вланы передаются на следующие свитчи. Изучив руководство, решено делать так: 1. Объединяем наши 8 портов в группу коммутации. В моём случае прошивка будет последняя, где уже применяется коммутация в виде бриджа с поддержкой hw-offload. /interface bridge add name=bridge1 igmp-snooping=no protocol-mode=none /interface bridge port add bridge=bridge1 interface=eth-m hw=yes add bridge=bridge1 interface=eth-37 hw=yes add bridge=bridge1 interface=eth-v hw=yes add bridge=bridge1 interface=eth-33 hw=yes add bridge=bridge1 interface=eth-39 hw=yes add bridge=bridge1 interface=eth-41 hw=yes add bridge=bridge1 interface=eth-250 hw=yes add bridge=bridge1 interface=eth-2 hw=yes После этого мы получаем, грубо говоря, тупой свитч между этими портами, насколько я понял. Тупой в том плане, что на данном этапе между портами будет передаваться любая информация, как в обычном тупарике. 2.Задаем принадлежность vlan-id к портам доступа, которые будут отдавать пакеты без тега. /interface ethernet switch ingress-vlan-translation add ports=eth-v customer-vid=0 new-customer-vid=958 sa-learning=yes add ports=eth-33 customer-vid=0 new-customer-vid=951 sa-learning=yes add ports=eth-39 customer-vid=0 new-customer-vid=951 sa-learning=yes add ports=eth-41 customer-vid=0 new-customer-vid=951 sa-learning=yes add ports=eth-250 customer-vid=0 new-customer-vid=950 sa-learning=yes add ports=eth-2 customer-vid=0 new-customer-vid=952 sa-learning=yes 3. Задаем принадлежность vlan-id к транковым портам, которые будут отдавать пакеты с тегами. /interface ethernet switch egress-vlan-tag add tagged-ports=eth-m vlan-id=950 add tagged-ports=eth-m vlan-id=951 add tagged-ports=eth-m vlan-id=952 add tagged-ports=eth-m vlan-id=958 add tagged-ports=eth-m vlan-id=959 add tagged-ports=eth-37 vlan-id=950 add tagged-ports=eth-37 vlan-id=951 add tagged-ports=eth-37 vlan-id=952 add tagged-ports=eth-37 vlan-id=959 Вот тут я чуть замешкался. В мануале рассматривается пример, когда транк (теггед) порт один, а у меня их два. И я создал два набора правил. Правильно это или нет? 4. Теперь прописываем вланы в таблице: /interface ethernet switch vlan add ports=eth-m,eth-37 vlan-id=959 learn=yes add ports=eth-m,eth-v vlan-id=958 learn=yes add ports=eth-m,eth-37,eth-2 vlan-id=952 learn=yes add ports=eth-m,eth-37,eth-250 vlan-id=950 learn=yes add ports=eth-m,eth-37,eth-33,eth-39,eth-41 vlan-id=951 learn=yes 5. А теперь, как я понял, мы задаем правило строгого соответствия, чтобы пакеты с левыми тегами или без тегов там, где они должны быть, отбрасывались и не передавались на порты. Если я неверно это понял, то поправьте, пожалуйста! /interface ethernet switch set drop-if-invalid-or-src-port-not-member-of-vlan-on-ports=eth-m,eth-v,eth-2,eth-37,eth-33,eth-39,eth-41,eth-250 Но где-то на форумах я читал, что этого не достаточно и всякий левый трафик всё таки пролетает. Как всё сделать правильно? Есть ещё другой вопрос. Как мне быть, если мне надо назначить на этом микротике некоторым вланам ай-пи адреса? Создать влан с нужным ай-ди прямо в бридже, таким образом обьявив о нем процессору, а там и айпи назначить? Буду благодарен за проверку и комментарии. Спасибо.