Ziel der Konfiguration
- VLAN 5 für das Management-Netz
- VLAN 10 für interne WLAN-Geräte
- VLAN 20 für das Gast-WLAN
- Trennung der VLANs auf Layer 2
- Automatische VLAN-Zuweisung für Management-Ports (PVID → VLAN 5)
- Out-of-Band-Port (OOB) für lokalen Zugriff ohne VLAN
- Nutzung des Switch-Chips (FastPath) zur vollen Performance
Hardwarebasis
- Switch: MikroTik CRS112-8P-4S
- RouterOS: Version 7.19.3
- Uplink-Port:
ether8::UPLINK - OOB-Port:
ether7::OOB(direkt ohne VLAN) - DHCP für Management: über VLAN 5
Konfigurationsüberblick
1. Bridge anlegen
Die Bridge verbindet alle Ports, wird aber nicht für VLAN-Processing auf Layer 3 verwendet.
/interface bridge
add name=bridge
2. Ports benennen (optional für Übersicht)
/interface ethernet
set [ find default-name=ether1 ] name=ether1::PC-ADMIN
set [ find default-name=ether2 ] name=ether2::PC
set [ find default-name=ether3 ] name=ether3::AP
set [ find default-name=ether7 ] name=ether7::OOB
set [ find default-name=ether8 ] name=ether8::UPLINK
3. VLAN-Interface für Management
Das VLAN-Interface wird benötigt, um DHCP über VLAN 5 zu beziehen.
/interface vlan
add interface=bridge name=vlan5::MGMT vlan-id=5
/ip dhcp-client
add default-route-tables=main interface=vlan5::MGMT
4. Ports der Bridge hinzufügen
/interface bridge port
add bridge=bridge interface=ether1::PC-ADMIN
add bridge=bridge interface=ether2::PC
add bridge=bridge interface=ether3::AP
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=ether6
add bridge=bridge interface=ether8::UPLINK
add bridge=bridge interface=sfp9
add bridge=bridge interface=sfp10
add bridge=bridge interface=sfp11
add bridge=bridge interface=sfp12
5. VLAN-Zuweisung per Switch-Chip
Ingress VLAN Translation (PVID)
Hier wird untagged Traffic auf bestimmten Ports automatisch ins Management-VLAN 5 eingeordnet:
/interface ethernet switch ingress-vlan-translation
add customer-vid=0 new-customer-vid=5 ports=ether1::PC-ADMIN
→ Untagged Geräte am Admin-Port erhalten automatisch VLAN 5 (Management).
Egress-VLAN-Tagging
Hier wird festgelegt, welche Ports VLAN-Tags erhalten:
/interface ethernet switch egress-vlan-tag
add tagged-ports=switch1-cpu,ether3::AP,ether8::UPLINK vlan-id=5
add tagged-ports=ether3::AP,ether8::UPLINK vlan-id=10
add tagged-ports=ether3::AP,ether8::UPLINK vlan-id=20
→ Diese Ports senden getaggte VLAN-Pakete.
VLAN-Mitgliedschaften definieren
Alle relevanten Ports werden den jeweiligen VLANs zugeordnet:
/interface ethernet switch vlan
add ports=switch1-cpu,ether1::PC-ADMIN,ether3::AP,ether8::UPLINK vlan-id=5
add ports=ether3::AP,ether8::UPLINK vlan-id=10
add ports=ether3::AP,ether8::UPLINK vlan-id=20
6. Sicherheit: VLAN Enforcement
Um sicherzustellen, dass keine VLAN-fremden Pakete akzeptiert werden:
/interface ethernet switch
set drop-if-invalid-or-src-port-not-member-of-vlan-on-ports=ether1::PC-ADMIN,ether3::AP,ether8::UPLINK
Ergebnis
- Volle Performance durch Hardware-Offloading
- Klare VLAN-Trennung auf Layer 2
- Automatische VLAN-Zuweisung für Admin-PCs
- OOB-Port bietet direkten Zugriff ohne VLAN
- DHCP für Management-Netz funktioniert zuverlässig
Fazit
Mit dem richtigen Setup kann auch ein günstiger MikroTik Switch wie der CRS112-8P-4S professionell eingesetzt werden – ohne CPU-Overhead und mit sauberem VLAN-Handling auf Layer 2. Besonders durch die Nutzung von Ingress VLAN Translation und Switch-Chip VLAN-Regeln bleibt die Konfiguration performant und flexibel.