VLAN segmentatie is de eerste stap naar een serieus thuisnetwerk. Met een MikroTik hEX of CCR kun je dit volledig in RouterOS afhandelen zonder extra managed switch nodig te hebben.
Netwerk ontwerp
Vier VLANs voor een typisch homelab setup:
| VLAN | ID | Subnet | Doel |
|---|---|---|---|
| MGT | 10 | 10.10.10.0/24 | Router, switches, IPMI |
| SRV | 20 | 10.10.20.0/24 | Proxmox, k3s, NAS |
| TRU | 30 | 10.10.30.0/24 | Laptops, werkstations |
| IOT | 40 | 10.10.40.0/24 | Camera's, domotica |
Bridge VLAN filtering instellen
# Bridge aanmaken met VLAN filtering
/interface bridge add name=bridge1 vlan-filtering=yes
# Alle fysieke poorten toevoegen aan de bridge
/interface bridge port
add bridge=bridge1 interface=ether2 pvid=30
add bridge=bridge1 interface=ether3 pvid=20
add bridge=bridge1 interface=ether4 pvid=40
add bridge=bridge1 interface=ether5 pvid=20
# Trunk poort naar uplink switch (tagged voor alle VLANs)
add bridge=bridge1 interface=ether1VLAN interfaces voor routing
# VLAN interfaces op de bridge
/interface vlan
add interface=bridge1 name=vlan10-mgt vlan-id=10
add interface=bridge1 name=vlan20-srv vlan-id=20
add interface=bridge1 name=vlan30-tru vlan-id=30
add interface=bridge1 name=vlan40-iot vlan-id=40
# IP adressen (router-on-a-stick)
/ip address
add address=10.10.10.1/24 interface=vlan10-mgt
add address=10.10.20.1/24 interface=vlan20-srv
add address=10.10.30.1/24 interface=vlan30-tru
add address=10.10.40.1/24 interface=vlan40-iotFirewall regels voor segmentatie
# IoT mag NIET naar servers of management
/ip firewall filter
add chain=forward in-interface=vlan40-iot out-interface=vlan20-srv action=drop comment="IoT -> SRV blokkeren"
add chain=forward in-interface=vlan40-iot out-interface=vlan10-mgt action=drop comment="IoT -> MGT blokkeren"
# Servers mogen wel naar buiten
add chain=forward in-interface=vlan20-srv connection-state=established,related action=acceptDHCP per VLAN
/ip pool
add name=pool-srv ranges=10.10.20.100-10.10.20.200
add name=pool-tru ranges=10.10.30.100-10.10.30.200
add name=pool-iot ranges=10.10.40.100-10.10.40.200
/ip dhcp-server
add address-pool=pool-srv interface=vlan20-srv name=dhcp-srv
add address-pool=pool-tru interface=vlan30-tru name=dhcp-tru
add address-pool=pool-iot interface=vlan40-iot name=dhcp-iotHiermee heb je een volledig gesegmenteerd netwerk waarbij IoT devices nooit bij je servers of management interfaces kunnen komen.
Wat is het verschil tussen bridge VLAN filtering en het oude /interface vlan model?
Bridge VLAN filtering verwerkt alle VLAN logic op de bridge chip zelf, wat hardware-acceleratie mogelijk maakt op ondersteunde apparaten. Het oude model creëert aparte /interface vlan objecten en is langzamer op goedkopere hardware.
Kan ik trunk poorten combineren met access poorten op dezelfde MikroTik bridge?
Ja. In bridge VLAN filtering stel je per poort in of hij tagged (trunk) of untagged (access) traffic doorlaat. Trunk poorten krijgen meerdere VLANs tagged mee, access poorten krijgen één PVID untagged.
Dit artikel lezen in het Engels?
Read in English →