RouterOS Bridge VLAN简化trunk配置导致的错误(RouterOS配置误导性极强)

这个VLAN配置问题,对于没有使用过RouteOS bridge vlan配置的网络老司机来说,也会导致这样的错误,因为配置的误导性很强,trunk端口的多个或连续vlan-id配置,在华为,H3C和锐捷交换机上都可以通过”逗号“或”横杠“设置,但RouterOS是个例外!

在二层网络中多个终端设备连接到交换机的不同端口,并被不同的vlan隔离,这些端口的流量被标记并发送到trunk端口。Access端口使用pvid属性进行配置。由于trunk端口会对多个VLAN打上标签,因此,在配置vlan trunk时,在bridge vlan中创建规则使用逗号分隔的VLAN来简化配置。当跨越大量VLAN时,例如VLAN -id=100-200,通过这样的设置非常简便,参见下面的网络图和配置。

 

 

在命令行配置:

/interface bridgeadd name=bridge1 vlan-filtering=yes/interface bridge portadd bridge=bridge1 interface=ether2add bridge=bridge1 interface=ether3 pvid=10add bridge=bridge1 interface=ether4 pvid=20

ether3和ether4在port下配置端口的PVID,在bridge vlan下自动创建,winbox显示如下,vlan id 10和20对应的ether3和ether4是两条独立的规则:

 

然后配置ether2的trunk,多个vlan大家肯定会想简化配置,通过逗号间隔(错误配置)

/interface bridge vlanadd bridge=bridge1 tagged=ether2 vlan-ids=10,20

winbox的配置如下:

问题:

虽然流量被正确地从access端口转发和标记到trunk端口ether2,但会出现广播或组播数据包实际上在两个untagged未标记的access端口之间扩散。VLAN20和30之间不再被隔离,因此可以嗅探来自不同VLAN网络的流量。当查看网桥VLAN表时,会注意到已经为VLAN 10和20创建了一个规则条目,这个trunk规则允许vlan20和30可以在ether3和ether4同时使用,RouterOS也用红字发出了警告:

 

症状

  • 造成流量在不同的Access VLAN穿透,VLAN隔离失效

解决方法

当使用pvid属性配置了access端口时,它们会被动态地添加到对应的VLAN列表中。当创建了包含多个VLAN或VLAN范围的静态VLAN规则后,具有匹配pvid的untagged接入端口也将被包含在同一个VLAN组或VLAN范围中。对于配置多个trunk端口时,这样的方式可能很简便,但在配置access端口的VLAN时应格外小心。对于本例,多个vlan-id在access口,又配置了trunk端口,应该创建单独的VLAN规则如下:

/interface bridge vlanadd bridge=bridge1 tagged=ether2 untagged=ether3 vlan-ids=10add bridge=bridge1 tagged=ether2 untagged=ether4 vlan-ids=20

关于这个问题,我求证了MikroTik官方,意思是就是这样配置,如果交换机只有trunk端口,这样配置没有问题,但如果有PVID的access端口,就必须这样每个VLAN id独立配置一个trunk。