0887 371 498 support@itservice-bg.net
24.07.2023 · Самуил Арсов · MikroTik, Рутери

Port Isolation в MikroTik RouterOS CRS 3XX

Port Isolation позволява на мрежовия администратор да предотврати комуникацията между определени портове на суич, дори ако те са в една и съща VLAN. Логиката е проста: клиентски порт вижда само uplink порта, но не и другите клиентски портове. Типичен случай: порт 1 и порт 2 не комуникират директно помежду си, но и двата достигат до порт 10 (uplink). Uplink портовете могат да бъдат повече от един.

Кога се използва Port Isolation

  • Хотели и общежития — стаите не трябва да комуникират директно помежду си, само с интернет.
  • Публичен Wi-Fi — клиентите на hotspot точки са изолирани един от друг.
  • IoT устройства — сензорите и камерите достигат само до сървъра, без да виждат работните станции.
  • Мулти-тенант офис — различни наематели на един суич не трябва да имат достъп един до друг.

Конфигурация на CRS3xx

Port Isolation на CRS3xx суичове се конфигурира чрез свойството private=yes на bridge портовете. Портовете, маркирани като private, не могат да комуникират помежду си — само с портове, които не са маркирани като private (uplink портовете).

Пример: ether1–ether8 са клиентски портове, ether10 е uplink към рутера:

/interface bridge port
set [find interface=ether1] private=yes
set [find interface=ether2] private=yes
set [find interface=ether3] private=yes
set [find interface=ether4] private=yes
set [find interface=ether5] private=yes
set [find interface=ether6] private=yes
set [find interface=ether7] private=yes
set [find interface=ether8] private=yes
# ether10 (uplink) - НЕ се маркира като private

Важно: Свойството private=yes работи само когато хардуерното превключване (hardware offloading) е активирано. На CRS3xx то е активно по подразбиране. Проверете с /interface bridge print дали fast-forward=yes.

Проверка

Проверка на текущото състояние на портовете:

/interface bridge port print where private=yes

За да се уверите, че изолацията работи — опитайте ping между два клиентски порта. При правилна конфигурация той трябва да е неуспешен, докато ping до uplink устройството трябва да е успешен.

Заключение

Port Isolation е прост и ефективен начин за добавяне на допълнителен слой изолация без сложна VLAN конфигурация. На MikroTik CRS3xx суичовете функционалността е реализирана на хардуерно ниво, което означава нулево натоварване на процесора. Идеален за всички среди, в които клиентите трябва да достигат само до мрежата, но не и един до друг.

Категории: MikroTik Рутери
Тагове: isolation MikroTik port routeros

© 2026 АЙТИСЪРВИС 2009 ЕООД — ВСИЧКИ ПРАВА ЗАПАЗЕНИ

ВСИЧКИ СИСТЕМИ РАБОТЯТ