Bridge VLAN filtering configureren op de CRS326-24G-2S+RM
Bridge VLAN filtering configureren kan uitsluitend op de Mikrotik CRS3xx serie's worden uitgevoerd. Ondanks alle Mikrotik cloud router switches dezelfde naam delen verschillen deze van hardware. Daarom bespreek ik de bridge VLAN configuratie op de CRS326-24G-2S+RM die hier boven te zien is. Alleen de CRS1xx- en CRS2xx series ondersteunen Hardware Offload op meerdere bridgen. Want die hebben totaal andere eigenschappen dan de CRS326-24G-2S+RM. Alles hangt af van de soort switch-chip die Mikrotik gebruikt. Dus let op als je een Cloud Router Switch wil aankopen. Vraag je eerst en vooral af "wat wil ik bereiken" Ik moet zeggen dat de CRS3xx series het meest aanleunen tegen een volwaardige managed switch. Een andere VLAN configuratie kan je hier bekijken.
Configuratie uitgevoerd met een CRS328-24P-4S-RM
RouterOS versie | 6.44.3 |
Firmware | 6.44.3 |
Mikrotik CRS3xx serie eigenschappen
Zo ook de grotere broer van de CRS326-24G-2S+RM die is uitgerust met PoE. Deze zie je hieronder afgebeeld staan en is ook een prachtige Mikrotik switch.
Waarom haal ik er ook de grotere broer bij vraag je je misschien af. Omdat de Mikrotik bridge VLAN filtering configuratie ook op dezelfde werkwijze dient te gebeuren. Wat de Mikrotik routers aankunnen is sterk afhankelijk van de switch-chip. Dit kan voor verwarring zorgen.
Vanaf RouterOS 6.41 ondersteund de Mikrotik CRS3xx hardware offload mits gebruik te maken van één bridge
De CRS326-24G-2S+RM ondersteund HW-offload als je gebruik maakt van één enkele bridge. Dit heeft een groot voordeel want de performance wordt daardoor groter. Je moet wel weten dat HW-offloading wordt als je één bridge gebruikt en alle interfaces in deze bridge stopt. Indien je meerdere bridgen aanmaakt en interfaces in deze bridgen stopt zal hardware offloading niet werken. Dit is een groot nadeel voor de performance van je netwerk. Dit omdat alle data verkeer via de CPU wordt afgehandeld. De Mikrotik CRS3xx series lijken meer en meer op de traditionele managed switchen en dat kan ik alleen maar toe juichen. Wil je ten volle gebruik maken van de kracht en kabel snelheid van deze Mikrotik CRS3xx series moet je weten hoe je de bridge VLAN filtering configuratie correct moet uitvoeren. Er komt heel wat bij kijken bij de VLAN filtering configuratie.
Vermijd misconfiguraties op de Mikrotik CRS3xx series
Veel mis configuraties bij de Mikrotik switchen lijd tot een instabiel en traag netwerk. Maar het kan ook anders als je deze tutorial aandachtig volgt en toepast.
Indien je twijfelt welke Mikrotik router je moet aankopen kan je hier bekijken, of vraag het aan de verkoper welke Mikrotik router het meest geschikt is. Plaats alle interfaces in één bridge om de VLAN configuratie correct uit te voeren. Als hulpmiddel heb ik een hulppagina aangemaakt die je zal helpen om de bridge aan te maken. Ook alle interfaces worden in deze bridge geplaatst. Dit is zeer belangrijk om de hardware offloading te behouden. Het aanmaken van de bridge en het plaatsen van de interfaces in deze bridge wordt je gemakkelijk gemaakt. Je kan gebruik maken van mijn Mikrotik code pagina om alles te versnellen. Op deze manier spaar je configuratie tijd.
Een prachtige Mikrotik Cloud Router Switch met PoE ondersteuning. Hier ga ik mee aan de slag om je de Mikrotik bridge VLAN filtering aan te leren. Bekijk de video tutorial onderaan en begrijp meer van de VLAN configuratie op de Mikrotik CRS 3xx serie toestellen. Indien je van zin bent om een glasvezelkabel te gebruiken als trunk kan deze blogpost hulp bieden.
De ondersteunende routers die bridge HW-offload en VLAN filtering ondersteunen zijn deze modellen
Bovenstaande lijst laat je zien welke routers HW-offload ondersteunen als de VLAN filtering is ingeschakeld. Als je een Mikrotik router of switch aankoopt denk eerst na waarvoor je deze gaat gebruiken. De CRS125-24G-1S-RM heeft een andere switch-chip ingebouwd en deze ondersteunt dit niet.
VLAN's koppelen aan ethernet interfaces op de CRS326-24G-2S+RM zal de stabiliteit en snelheid ondermijnen
Indien je VLAN interfaces aan een ethernet interface hebt gekoppeld zal deze configuratie zorgen voor een instabiel en traag netwerk. HW-offload zal niet worden geactiveerd en het data verkeer gaat allemaal via de CPU. Dit resulteert dat de snelheid van het data verkeer in de switch tragisch naar beneden zal worden gehaald.
De bovenstaande screenshot geeft meer duidelijkheid wat ik daarmee bedoel.
Hoe moet het dan wel: Alle VLAN interfaces moeten aan de bridge worden gekoppeld
Interfaces die in de bridge zijn geplaatst worden slave interfaces, de bridge wordt dan op zijn beurt de master. Indien je een VLAN filtering configuratie aanmaakt moet je deze VLAN interfaces gaan koppelen aan de bridge. Daardoor zal al het data verkeer worden afgehandeld door de switch-chip. Dit heeft als resultaat dat je netwerk snel en stabiel zal worden.Doch je dient nog rekening te houden met enkele factoren. Maar eerst verduidelijk ik eerst de functie van hardware-offload.
Welke functie en invloed heeft hardware offload op de Mikrotik router
Sinds RouterOS v6.40rc36-v6.41rc1+ bevat RouterOS een nieuwe bridge-implementatie die hardware-offload wordt genaamd. Deze update converteert alle master-port interfaces naar een nieuwe bridge configuratie en elimineert de master-port optie. Daardoor wordt op de bridge alle Layer2 data pakketten afhandelt door de switch-chip. Dit betekent dat de CPU geen enkele negatieve invloed zal hebben op je netwerk. Dit is dus de bedoeling van hardware offload.
Hardware offloading wordt automatisch ingeschakeld
hw-offload wordt automatisch ingeschakeld op basis van toepasselijke voorwaarden. De rest van RouterOS switch specifieke configuratie blijft onaangeroerd in de gebruikelijke menu's. HW-offload veroorzaakt ook een drastische verandering in de VLAN configuraties. Indien VLAN verkeerd is geconfigureerd zal HW-offload niet meer werken met alle gekende gevolgen van dien. Een traag en instabiel netwerk daar het data verkeer door de CPU wordt geleid.
Bridge VLAN filtering bij de CRS3xx series heeft veel VLAN voordelen
Bridge VLAN-filtering zorgt ervoor dat VLAN-tags kunnen doorgestuurd en gewijzigd worden binnen de bridge. Deze functies maakt dat de bridge werking meer als een traditionele managed switch fungeert. Deze VLAN filtering maakt het ook mogelijk om problemen met Spanning Tree-compatibiliteit te overbruggen.
De bridge VLAN Filtering configuratie wordt ten zeerste aanbevolen om te voldoen aan de STP IEEE 802.1D, RSTP IEEE 802.1W normen en is noodzakelijk om MSTP IEEE 802.1s ondersteuning in RouterOS mogelijk te maken.
Het inschakelen van vlan-filtering maakt alle bridge VLAN gerelateerde functionaliteiten zoals onafhankelijke VLAN-learning mogelijk.
Naast het verbinden van de poorten voor Layer2 forwarding wordt de bridge zelf ook een interface en daarom krijgt de bridge ook een poort-VLAN-ID (pvid).
Zoals je in bovenstaande lijst kan zien zie je dat de CRS3xx series die uitgerust is met de Marvell 98DX3236 de functie van een managed switch het dichtst benaderd.
Bekijk dus eerst goed welke functies je wil voor je netwerk en bekijk dan welke Mikrotik router / Switch je wil gaan aankopen. Een paar tips kan je hier vinden.
In de bovenstaande video configureer ik de router met VLANS om later te implementeren op de CRS 326 switch configuratie. Hieronder zie je het tweede deel waar ik de CRS326 configureer. Ik hoop dat je hiermee meer inzicht krijgt in de VLAN configuratie.
Ik zal proberen meer VLAN-configuraties online te plaatsen. Hier heb je alvast een voorbeeld om een gast netwerk toe te voegen op je draadloze router.
En dit door middel van een Mikrotik Groove. Dat de Mikrotik routers een ommezwaai aan het maken zijn hoef ik misschien niet te vertellen. Maar ik heb het gevoel
dat de nieuwe op de markt komende Mikrotik routers over betere hardware zal beschikken en meer en meer zullen aanleunen aan de traditionele managed switchen.
De CRS3xx series zijn al het bewijs dat Mikrotik meer aan het nadenken is welke switch-chips ze gaan gebruiken en ik hoop dat deze zo voort doen.
Met al de verschillende switch-chips wordt een Mikrotik aankoop toch zeer verwarrend.
Bijkomende onderwerpen die een meerwaarde kunnen betekenen bij deze configuratie
Aangezien ik hier een configuratie bespreek van een switch wil ik je aanraden om ook deze blogpost te bekijken getiteld; "Dot1x configureren op Mikrotik". Er is wel een voorwaarde aan verbonden dat je uw switch en router uitrust is met RouterOS v7. Met dot1x beveilig je de switchpoorten zodat niemand kan inpluggen en op je netwerk komen. Je moet namelijk een login gebruiken om toegang te krijgen. Ook de beveiliging van je Mikrotik router is van cruciaal belang om misbruik te voorkomen. Wil je wat dieper graven in de kennis van de Mikrotik firewall filter rules ook dit vind ik een belangrijk onderwerp.