MikroTik CRS112 Port Isolation
Port Isolation е функция на MikroTik CRS112 серията, която позволява изолиране на клиентски портове един от друг, като едновременно с това запазва достъпа им до общ Uplink порт. Реализира се чрез Private VLAN логика на ниво суич чип, без нужда от VLAN тагове.
CRS112 използва профили за изолация (isolation-leakage-profile-override) — различен механизъм от CRS3xx серията, при която се използва forwarding-override. Двата профила:
- Профил 0 — Uplink порт: вижда всички портове, не е изолиран.
- Профил 1 — Isolated порт: вижда само Uplink порта, не вижда другите клиентски портове.
Конфигурация
Стъпка 1: Създаване на bridge и добавяне на всички портове
Всички портове, участващи в изолацията, трябва да са в един bridge с хардуерно ускорение (hw=yes):
/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether1 hw=yes
add bridge=bridge1 interface=ether2 hw=yes
add bridge=bridge1 interface=ether3 hw=yes
add bridge=bridge1 interface=ether4 hw=yes
add bridge=bridge1 interface=ether5 hw=yes
add bridge=bridge1 interface=ether6 hw=yes
add bridge=bridge1 interface=ether7 hw=yes
add bridge=bridge1 interface=ether8 hw=yes
add bridge=bridge1 interface=sfp9 hw=yes
add bridge=bridge1 interface=sfp10 hw=yes
add bridge=bridge1 interface=sfp11 hw=yes
add bridge=bridge1 interface=sfp12 hw=yesСтъпка 2: Задаване на Uplink порт (профил 0)
Uplink портът (в примера sfp9) получава профил 0 — той вижда всички останали портове:
/interface ethernet switch port
set sfp9 isolation-leakage-profile-override=0Стъпка 3: Задаване на изолирани портове (профил 1)
Всички клиентски портове получават профил 1 — изолирани са един от друг, но виждат Uplink-а:
/interface ethernet switch port
set ether1 isolation-leakage-profile-override=1
set ether2 isolation-leakage-profile-override=1
set ether3 isolation-leakage-profile-override=1
set ether4 isolation-leakage-profile-override=1
set ether5 isolation-leakage-profile-override=1
set ether6 isolation-leakage-profile-override=1
set ether7 isolation-leakage-profile-override=1
set ether8 isolation-leakage-profile-override=1
set sfp10 isolation-leakage-profile-override=1
set sfp11 isolation-leakage-profile-override=1
set sfp12 isolation-leakage-profile-override=1
/interface ethernet switch port-isolation
add port-profile=1 ports=sfp9 type=dstПоследната команда (port-isolation add) казва на суич чипа, че портовете с профил 1 могат да изпращат трафик само към sfp9 като дестинация.
Проверка
/interface ethernet switch port print
# Провери колона "isolation-leakage-profile-override"
# sfp9 → 0 (Uplink)
# ether1-8, sfp10-12 → 1 (Isolated)
/interface ethernet switch port-isolation print
# Трябва да виждаш записа с port-profile=1, ports=sfp9, type=dstЗаключение
Port Isolation на CRS112 е хардуерно ускорен механизъм за изолиране на клиентски портове, подходящ за ISP среди (например GPON/EPON OLT клиенти) или обществени Wi-Fi мрежи, където клиентите не трябва да се виждат помежду си. Конфигурацията е проста — два профила, един Uplink, всички останали изолирани — и работи без VLAN тагове на клиентските устройства.