Preskoči na glavni sadržaj

VLAN inter-switch trunk konfiguracija (UniFi vs MikroTik vs Aruba)

switching advanced AV Market tim

VLAN inter-switch trunk konfiguracija (UniFi vs MikroTik vs Aruba)

Kada povezuješ dva switch-a različitih proizvođača i hoćeš da prebaciš 4 VLAN-a preko jednog uplink kabla, svaki vendor ima svoju filozofiju. UniFi sve radi kroz “Switch Profile” (allowed VLAN list + native), MikroTik kroz bridge vlan tabele i pvid na portovima, Aruba CX kroz “tagged/untagged” semantiku. Cilj je isti — IEEE 802.1Q tagged trunk — ali jedna sitna greška (npr. native VLAN mismatch) izaziva STP topology change i mreža padne na 30s. Ovaj članak pokazuje kompletnu konfiguraciju identičnog scenarija na sva tri vendora, sa show commands i ping testom za verifikaciju.

Šta je trunk i šta tagged/untagged znači

Pre konfiguracije, brzi recap. Standardni Ethernet frame nema VLAN polje — switch interno označava VLAN kroz “VLAN ID” u svojoj tabeli. Kad frame mora da pređe na drugi switch, treba ga tagovati sa 802.1Q header-om (4 bajta: TPID 0x8100 + TCI sa 12-bit VLAN ID).

  • Access port: svi frames untagged, switch interno tagguje na “Port VLAN ID (PVID)”
  • Trunk port: više VLAN-ova prelazi tagged, plus opciono jedan untagged (“native VLAN”)

Native VLAN je tu zbog kompatibilnosti sa starijim uređajima koji ne razumeju 802.1Q (legacy hub-ovi, neki management interfejsi). U modernoj mreži najbolje je da native VLAN bude neki neaktivan VLAN ID (npr. 999) — to sprečava VLAN hopping napade.

Standardni trunk skup za office mrežu:

  • VLAN 10 — interno LAN (tagged)
  • VLAN 20 — gosti WiFi (tagged)
  • VLAN 30 — VoIP (tagged)
  • VLAN 40 — CCTV (tagged)
  • VLAN 999 — native (untagged, prazan, samo da apsorbuje untagged frames)

Scenario: 3 switch-a u trio konfiguraciji

[MikroTik CRS354] -- trunk -- [USW-Pro-24] -- trunk -- [Aruba CX 6300]
   Core router          Office floor 1          Office floor 2
   VLAN 10/20/30/40    VLAN 10/20/30/40       VLAN 10/20/30/40

Svi switch-evi moraju da nose VLAN 10, 20, 30, 40 tagged i 999 untagged native preko link-ova ether10 (MikroTik) ↔ port 24 (UniFi) ↔ 1/1/24 (Aruba). Posle konfiguracije, PC u VLAN 10 na MikroTik switch-u mora da pinguje PC u VLAN 10 na Aruba switch-u (kroz UniFi).

MikroTik konfiguracija (RouterOS 7.x sa bridge VLAN filtering)

# 1) Definiši bridge sa VLAN filtering uključenim
/interface bridge add name=br0 vlan-filtering=yes \
  ether-type=0x8100 frame-types=admit-all

# 2) Dodaj sve potrebne portove
/interface bridge port add bridge=br0 interface=ether1 pvid=10  ;# access VLAN 10
/interface bridge port add bridge=br0 interface=ether2 pvid=20  ;# access VLAN 20
/interface bridge port add bridge=br0 interface=ether3 pvid=30  ;# access VLAN 30 (VoIP)
/interface bridge port add bridge=br0 interface=ether10 \
  pvid=999 frame-types=admit-all  ;# trunk port, native 999

# 3) Definiši VLAN tabelu — koji VLAN-ovi prolaze kroz koje portove
/interface bridge vlan add bridge=br0 vlan-ids=10 \
  tagged=ether10 untagged=ether1
/interface bridge vlan add bridge=br0 vlan-ids=20 \
  tagged=ether10 untagged=ether2
/interface bridge vlan add bridge=br0 vlan-ids=30 \
  tagged=ether10 untagged=ether3
/interface bridge vlan add bridge=br0 vlan-ids=40 \
  tagged=ether10  ;# CCTV samo na trunk-u, biće untagged na drugom switch-u
/interface bridge vlan add bridge=br0 vlan-ids=999 \
  untagged=ether10  ;# native, kompatibilnost

# 4) Verifikacija
/interface bridge vlan print
# Columns: BRIDGE, VLAN-IDS, CURRENT-TAGGED, CURRENT-UNTAGGED
# 0 br0  10   ether10           ether1
# 1 br0  20   ether10           ether2
# 2 br0  30   ether10           ether3
# 3 br0  40   ether10
# 4 br0  999                    ether10

# Provera prosleđivanja
/interface bridge port print where dynamic

Bitno: vlan-filtering=yes mora biti uključeno NA KRAJU, posle što se cela vlan tabela popuni. Ako uključiš filtering ranije, postojeći traffic kreša jer ne postoji još tabela.

UniFi konfiguracija (Network Application 8.x — “Switch Profile”)

UniFi nema CLI komande za switch (osim SSH swctrl debugging). Konfiguracija ide kroz Network Application web UI. Ekvivalent gornjeg MikroTik scenarija:

Korak 1: Settings → Networks → Create New Network → “VLAN Only”

  • LAN10 → VLAN ID 10, Subnet 10.10.10.0/24
  • LAN20 → VLAN ID 20, Subnet 10.10.20.0/24
  • VOICE → VLAN ID 30, Subnet 10.10.30.0/24
  • CCTV → VLAN ID 40, Subnet 10.10.40.0/24
  • NATIVE-DEAD → VLAN ID 999, “VLAN Only” (no DHCP)

Korak 2: Settings → Profiles → Switch Ports → Create New Profile

  • Profile name: “TRUNK-CORE-FLOORS”
  • Native VLAN: NATIVE-DEAD (999)
  • Tagged VLANs: LAN10, LAN20, VOICE, CCTV (multi-select checkboxes)
  • POE Mode: Off (uplink ne treba PoE)

Korak 3: Devices → USW-Pro-24 → Ports → Port 24 → Edit → Profile → “TRUNK-CORE-FLOORS”

Korak 4: Verifikacija preko SSH (samo za debug):

ssh [email protected]
ubnt@USW-Pro-24# swctrl vlan show
# VLAN ID: 10  Name: LAN10
#   Tagged ports: 24
#   Untagged ports: 1, 2, 3, 4, 5
# VLAN ID: 20  Name: LAN20
#   Tagged ports: 24
#   Untagged ports: 6, 7, 8
# VLAN ID: 30  Name: VOICE
#   Tagged ports: 24
#   Untagged ports: 9, 10, 11
# VLAN ID: 40  Name: CCTV
#   Tagged ports: 24
# VLAN ID: 999  Name: NATIVE-DEAD
#   Untagged ports: 24

Bitan UniFi quirk: kreiraš VLAN tek kad ga assignuješ na switch port preko Switch Profile-a — UniFi ne propušta VLAN-ove kroz uplink ako nigde nije naveden u profilu.

HP Aruba CX konfiguracija (AOS-CX 10.x)

Aruba ima najčistiju sintaksu — eksplicitno “tagged” / “untagged” po VLAN-u na portu:

configure terminal

# 1) Definiši VLAN-ove
vlan 10
  name LAN10
vlan 20
  name LAN20
vlan 30
  name VOICE
vlan 40
  name CCTV
vlan 999
  name NATIVE-DEAD

# 2) Konfiguriši access portove (untagged samo jedan VLAN)
interface 1/1/1
  no shutdown
  no routing
  vlan access 10
exit

interface 1/1/2
  no shutdown
  no routing
  vlan access 20
exit

# 3) Konfiguriši trunk port (1/1/24 ka UniFi)
interface 1/1/24
  no shutdown
  no routing
  vlan trunk native 999
  vlan trunk allowed 10,20,30,40
exit

# 4) Verifikacija
show vlan port 1/1/24
# Port      VLANs
# 1/1/24    10 (tagged)
# 1/1/24    20 (tagged)
# 1/1/24    30 (tagged)
# 1/1/24    40 (tagged)
# 1/1/24    999 (untagged)

show interface 1/1/24
# State: Up, Speed 1Gbps Full, Mode: Trunk
# Native VLAN: 999, Allowed VLANs: 10,20,30,40
# Input  packets: 28192738  Output packets: 27845921

Aruba prednost: “vlan trunk allowed” sintaksa je intuitivna i identična Cisco IOS-u, što olakšava migraciju.

Verifikacija sa kraja na kraj

Nakon što su sva tri switch-a konfigurisana, ping test od PC1 (VLAN 10 na MikroTik strani) prema PC3 (VLAN 10 na Aruba strani):

# PC1 (10.10.10.10/24, gateway 10.10.10.1)
$ ping -c 5 10.10.10.30
PING 10.10.10.30 (10.10.10.30) 56(84) bytes of data.
64 bytes from 10.10.10.30: icmp_seq=1 ttl=64 time=0.842 ms
64 bytes from 10.10.10.30: icmp_seq=2 ttl=64 time=0.789 ms
64 bytes from 10.10.10.30: icmp_seq=3 ttl=64 time=0.812 ms
64 bytes from 10.10.10.30: icmp_seq=4 ttl=64 time=0.793 ms
64 bytes from 10.10.10.30: icmp_seq=5 ttl=64 time=0.831 ms
--- 5 packets transmitted, 5 received, 0% packet loss
rtt min/avg/max/mdev = 0.789/0.813/0.842/0.020 ms

Sub-millisekundni ping kroz 3 switch-a — switching je hardware (ASIC), trunk-tagging dodaje ~50ns po hop-u.

Negativni test — pokušaj ping iz VLAN 10 prema VLAN 20 host-u na drugom switch-u (bez router-a):

$ ping -c 3 10.10.20.10
PING 10.10.20.10 (10.10.20.10) ...
--- 3 packets transmitted, 0 received, 100% packet loss

OK — VLAN segmentation radi, layer 2 izolacija je očuvana preko sva tri vendora.

Gotchas i česte greške

  • Native VLAN mismatch — najčešća greška. UniFi default native = VLAN 1, MikroTik default = nema native (svi tagged), Aruba treba eksplicitan “native”. Ako se ne poklope, switch loguje BPDU “Native VLAN mismatch” warning a STP topology change radi periodično.
  • Forgotten tagged VLAN — UniFi Switch Profile ima checkbox listu, lako je preskočiti VLAN. Test: ping iz svakog VLAN-a iz svakog switch-a do “controllera” (UniFi controller/router u VLAN 10) pre nego što puštiš u produkciju.
  • MikroTik CPU traffic kroz VLAN-ove — ako koristiš frame-types=admit-only-vlan-tagged na switch trunk-u, ping prema bridge IP-u sa drugog switch-a NE RADI (bridge IP je untagged). Za management IP iz VLAN-ova: dodaj VLAN interface na bridge: /interface vlan add interface=br0 vlan-id=10 name=mgmt-vlan10.
  • Aruba “vlan trunk allowed all” trap — ako koristiš “all” umesto eksplicitne liste, automatski uključi sve postojeće VLAN-ove plus sve novokreirana. To može da curi VLAN-ove koji nisu bili u planu.
  • PoE pass-through na trunk port — ako trunk uplink je između 2 PoE switch-a, oba imaju PoE-out konfigurisan, neki UniFi modeli pošalju 48V na uplink ako PoE prikači PD signature. Disable PoE eksplicitno na trunk portovima.
  • MikroTik CRS3xx hardware offload + VLAN filtering — ako uključiš vlan-filtering=yes ali ne dodaš sve VLAN-ove u bridge VLAN tabelu, hardware-offload se “fall back” u CPU forwarding mode i throughput pada sa 10Gbps na ~500Mbps. Provera: /interface bridge port print detailhw-offload mora biti “yes”.

Vendor-specific quirk

MikroTik (CRS3xx, CCR2xxx): najfleksibilniji, ali takmičio je learning curve. bridge vlan filtering mora biti uključen poslednje, hardware offload zahteva komplitan VLAN tabelu, ne podržava “auto-allow all” — sve eksplicitno. Plus: interface vlan modul za router-on-a-stick gde isti uređaj radi inter-VLAN routing.

UniFi (USW-Pro / USW-Pro-Max): GUI-only za normal use. Switch Profile pristup je odličan za bulk konfiguraciju (10 portova istog tipa = 1 profile), ali nedostaje per-port granularna CLI kontrola. Ne podržava VLAN ID-eve veće od 4094 (standardni 802.1Q limit, ali neki vendori imaju extended ranges).

HP Aruba CX 6300: najčistija CLI sintaksa, identična Cisco IOS-u. Plus: ima MAC-based VLAN assignment (port-access mac-auth) koji dynamic dodeljuje VLAN baziran na klijentovoj MAC adresi — koristan za zone-based security bez 802.1X infrastrukture.

TP-Link Omada (SG3428): GUI sličan UniFi-ju, ali sa “VLAN Settings” tab-om koji liči na Cisco-skip. Per-port podržava “Hybrid” mode (tagged i untagged simultano) što je ne-IEEE-standard ali nekad korisno za legacy.

Naša preporuka po veličini projekta

SOHO (1 switch): ne treba ti trunk. Sve VLAN-ove digni na router/AP, switch je flat. Možda 1 trunk ka AP-u.

Mali biznis (2–4 switch-a, 1 vendor): UniFi all-in. Switch Profile + Network Definition u istom UI. Single-vendor mreža je 4x brža za config nego multi-vendor.

Srednji (5–10 switch-a, mešani vendor): ostani na single-vendor ako možeš. Ako mora multi (npr. MikroTik core + UniFi access), striktno koristi standardne VLAN ID-ove (1–4094), eksplicitno postavi native VLAN na 999 (dead) na svim trunk portovima, dokumentuj VLAN allowed list u network diagramu.

Enterprise (10+ switch-eva, multi-floor): Aruba CX ili Cisco Catalyst sa MSTP + LACP combined trunk-ovima. VLAN database centralizovan u CMDB. 802.1X za dynamic VLAN assignment. UniFi i MikroTik se koriste samo na access layer-u, core ide na enterprise opremu.

Šta dalje?

Iskoristi VLAN planer kalkulator → — predlaže VLAN ID raspored i native-dead VLAN per scenario.

Povezani članci

Pojmovnik