| 0
- 17.01.2020 - 21:27
|
ДОброго времени суток Имеется роутер Микротик hAP ac lite Порт 1 смотрит в провайдера Хочу порт 5 сделать магистральным Порт 4 влан 2 Порты 2,3 wifi 2 ггц и wiwi 5 ггц влан 3 Только разбираюсь с влан. Кучу мануалов перепробовал, не получается Все мои попытки приводят к потери доступа к роутеру и сбросу В общем помогите люди добрые     | | ||
| Модератор 1
- 18.01.2020 - 05:08
| Что такое магистральный порт на микротике? | | ||
| 2
- 18.01.2020 - 10:46
| Ну который для связи с другими коммутаторами и по которому все VLANs передаются | | ||
| 3
- 19.01.2020 - 18:44
| 2-Romul_78 > Так а в 5й порт что должно уходить? Тегированные vlan 2 и 3? | | ||
| 4
- 19.01.2020 - 18:55
| Блин, набирал сообщение, все похерилось. | | ||
| 5
- 19.01.2020 - 19:05
|
В микротике связь портов делается через бриджи и порты. Я сам в это долго въезжал, хотя с VLAN на Циско работаю свободно. Даю пример только для vlan2, остальное по аналогии будет. 1. Создаешь в Bridge-Brigde мост с осмысленным называнием типа bridge-vlan2 (через мост будешь объединять) 2. В разделе Brigde-Ports интерфейс ethernet4 засовываешь в bridge-vlan2 (трафик бриджа bridge-vlan2 будет отправляться в ethernet4 нетегированным) 3. В разделе Interfaces (тут можно двумя путями, второй через вкладку VLAN) - Interface добавляешь интерфейс VLAN а) даешь ему нормальное название типа vlan2_eth5 б) указываешь VLAN ID 2 в) указываешь интерфейс eth5 (укаываешь, что на интерфейсе eth5 есть vlan c именем vlan2_eth5 и vlan id 2) 4. В разделе Bridge-Ports интерфейс vlan2_eth5 добавляешь в бридж bridge-vlan2 (тегирвоанный трафик на порту eth5 и vlan id 2 запихивать в бридж bridge-vlan2) | | ||
| 6
- 19.01.2020 - 19:08
| Цитата:
| | ||
| 7
- 19.01.2020 - 20:13
| если ты хочешь иметь доступ из одной влан в другую, то надо делать для них разные сабнеты и настраивать рауты. | | ||
| 8
- 22.01.2020 - 10:37
| Цитата:
| | ||
| 9
- 22.01.2020 - 11:07
| Цитата:
Сделал бридж Bridge-VLAN3. Создал интерфейс vlan3 с ID 3. Добавил в порты Bridge-VLAN3 созданный VLAN3 и интерфейсы LAN2, LAM3 и wifi. Добаdил адрес для Bridge-VLAN3. Создал ДХСП на Bridge-VLAN3 Сделал бридж Bridge-VLAN2. Создал интерфейс vlan2. Добавил в бридж Bridge-VLAN2 интерфейс vlan2 и интерфейс LAN2. Создал адрес для моста Bridge-VLAN2 и ДХСП на нем настроил. Вроде как правильно все? Мне не очень понятно с 5 портом, который должен передавать тегированный трафик дальше на коммутатор. Как передать тегированный трафик на 5 порту и передать ip адреса по вланам | | ||
| 10
- 22.01.2020 - 14:11
|
Сам недавно узнал, что с vlan можно работать чуть по-другому, чем я себе представлял. Эта работа больше похожа на подход cisco - нет отдельных бриджей, все работает в одном бридже. В его настройках ставится опция VLAN Filtering и после этого портам можно назначать разные vlan tagged и untagged. Но эта реализация больше свичовая. Я же свою инструкцию писал больше с подхода именно роутинга. Тогда продолжаем. Если я правильно понял, то в порт 4 vlan 2 должен уходить нетегированным. Как и порт 2, 3 и WIFI должны быть с vlan 3 и тоже нетегированными. Вот тут ты создаешь интерфейсы Цитата:
Цитата:
Тоже самое и для vlan 3. Ты создаешь bridge-vlan3, в этот бридж ты засовываешь eth2, eth3 и wifi = трафик туда отдается нетегированный. А так же создаешь интерфейс vlan3-eth5 и тоже его засовываешь в bridge-vlan3, тогда трафик из бриджа этого в интерфейс eth5 будет улетать тегированный. IP адреса по VLAN и так должны передаваться, если железка умеет принимать этот VLAN. Если после микротика стоит свич, то этот свич должен уметь "раздеть" маркированный пакет, прежде чем отдать устройству, которое не может понимать vlanы. | | ||
| 11
- 22.01.2020 - 16:25
|
примерно так: /interface bridge port add bridge=bridge1 interface=wlan1 pvid=3 add bridge=bridge1 interface=wlan2 pvid=3 add bridge=bridge1 interface=ether4 pvid=2 /interface bridge vlan add bridge=bridge1 tagged=ether5,bridge1 vlan-ids=2 add bridge=bridge1 tagged=ether5,bridge1 vlan-ids=3 /interface bridge add name=bridge1 vlan-filtering=yes /interface vlan add interface=bridge1 name=vlan2 vlan-id=2 add interface=bridge1 name=vlan3 vlan-id=3 /ip address add address=x.x.x/x interface=vlan2 add address=x.x.x/x interface=vlan3 add address=x.x.x/x interface=ether1 | | ||
| 12
- 22.01.2020 - 17:00
|
cnyx, что то я запутался)) У мення есть BridgeVlan3 с добавленными в него физическими интерфейсами eth2, eth3 и wifiи с добавленным в этот бридж виртуальным интерфейсом vlan3 с id 3 Есть BridgeVlan2 с добавленным в него физическим интерфейсом eth4 и виртуальным vlan 2 Вопрос такой куда мне запихнуть физический интерфейс eth5, который должен быть транковым | | ||
| 13
- 22.01.2020 - 17:13
| Написал в личку. | | ||
| 14
- 22.01.2020 - 20:43
| Цитата:
Тоже самое делаешь с vlan 3. | | ||
| 15
- 22.01.2020 - 21:18
|
Собрал на стенде, все работает Полный листинг, ниже будет короткий. Только 2й eth я использую для управления. И нет WIFI. /interface bridge add name=bridge-vlan2 add name=bridge-vlan3 /interface ethernet set [ find default-name=ether4 ] mac-address=52:54:00:A3:9B:9B name=ether1 set [ find default-name=ether5 ] mac-address=52:54:00:3A:3F:3B name=ether2 set [ find default-name=ether1 ] name=ether3 set [ find default-name=ether2 ] name=ether4 set [ find default-name=ether3 ] name=ether5 /interface vlan add interface=ether5 name=vlan2-eth5 vlan-id=2 add interface=ether5 name=vlan3-eth5 vlan-id=3 /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /tool user-manager customer set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw /interface bridge port add bridge=bridge-vlan3 interface=ether2 add bridge=bridge-vlan3 interface=ether3 add bridge=bridge-vlan2 interface=ether4 add bridge=bridge-vlan2 interface=vlan2-eth5 add bridge=bridge-vlan3 interface=vlan3-eth5 /ip address add address=1.1.1.1/30 interface=ether1 network=1.1.1.0 /ip cloud set update-time=no /ip dhcp-client # DHCP client can not run on slave interface! add disabled=no interface=ether2 /ipv6 nd set [ find default=yes ] advertise-dns=no /system lcd set contrast=0 enabled=no port=parallel type=24x4 /system lcd page set time disabled=yes display-time=5s set resources disabled=yes display-time=5s set uptime disabled=yes display-time=5s set packets disabled=yes display-time=5s set bits disabled=yes display-time=5s set version disabled=yes display-time=5s set identity disabled=yes display-time=5s set bridge-vlan2 disabled=yes display-time=5s set bridge-vlan3 disabled=yes display-time=5s set ether1 disabled=yes display-time=5s set ether2 disabled=yes display-time=5s set ether3 disabled=yes display-time=5s set ether4 disabled=yes display-time=5s set ether5 disabled=yes display-time=5s set vlan2-eth5 disabled=yes display-time=5s set vlan3-eth5 disabled=yes display-time=5s /tool user-manager database set db-path=user-manager ==== Короткий, по идее только это тебе нужно для твоей задачи. /interface bridge add name=bridge-vlan2 add name=bridge-vlan3 /interface vlan add interface=ether5 name=vlan2-eth5 vlan-id=2 add interface=ether5 name=vlan3-eth5 vlan-id=3 /interface bridge port add bridge=bridge-vlan3 interface=ether2 add bridge=bridge-vlan3 interface=ether3 add bridge=bridge-vlan2 interface=ether4 add bridge=bridge-vlan2 interface=vlan2-eth5 add bridge=bridge-vlan3 interface=vlan3-eth5 | | ||
| 16
- 22.01.2020 - 22:50
|
draft почти правильно написал. Еще можно так /interface bridge add name=bridge1 vlan-filtering=yes (интерфейс в самом начале надо добавить, иначе другие команды не сработают) /interface bridge port add bridge=bridge1 interface=ether3 pvid=3 add bridge=bridge1 interface=ether4 pvid=2 add bridge=bridge1 interface=ether5 (обязательно дать PVID, иначе в eth5 не хочет отправлять tagged) /interface bridge vlan add bridge=bridge1 tagged=ether5,bridge1 vlan-ids=2 add bridge=bridge1 tagged=ether5,bridge1 vlan-ids=3 | | ||
| 17
- 23.01.2020 - 08:25
| Цитата:
| | ||
| 18
- 23.01.2020 - 08:39
| Цитата:
Гораздо проще и правильнее через вилан фильтеринг. ( Это также рекомендация от микротика) | | ||
| 19
- 23.01.2020 - 09:26
|
18-draft > Ну новая система, как я понял, появилась относительно недавно. По крайней мере года 3 назад шеф настраивал по моей методике. Вернее я у него эту методику перенял. Потребности в пропуске десятков vlan нет, потому особых затруднений нет. А на счет добавления кучи бриджей. Дак через vlan filtering тоже не в два клика настраивается. Хотя сам подход больше похож на цисковский. | | ||
| 20
- 24.01.2020 - 21:52
| Я правильно понимаю логику, что на транковом порту и создаются виртуальные интервейсы с соответствующими id по количеству равному количеству вланов и потом добавляются в каждый бридж? | | ||
| 21
- 24.01.2020 - 22:04
| Т.е на транковом порту создаются интервейсы с id 2 и с id 3 и потом добавляются с id 2 в bridge2 и c id 3 в bridge 3соответственно? | | ||
| 22
- 25.01.2020 - 00:28
|
21-Romul_78 > Да. Но, я тут пообщался с коллегами, все-таки правильнее делать как draft писал: через один бридж, выделение tagged и untagged портов vlanov на порт + pvid. Хотя и по моему варианту работать будет. "Новый" метод работы с vlan был добавлен в 6.41 прошивке. --- Все зло от того, что RouterOS работает и как роутер и как свитч. Причем не такой switch, как cisco (где нет бриджей), а switch с бриджами аля linux. Если сравнивать с cisco. Когда ты делаешь vlan interface на каком-то eth интерфейсе (мой варинат), то это аналог subinterface в cisco. Это подход маршрутизаторный. Не обязательно на этот "субинтерфейс" назначать IP адрес. Но в случае с cisco, этот субинтерфейс бесполезен без ip адреса. А в mikrotik же, его можно засунуть в bridge - добавить в типа виртуальный hub. Если в этот виртуальный hub засунуть другой субинтерфейс (или другой интерфейс eth), то они объединятся в switch и какие-то порты будут тегированные, а какие-то нет. Если рассматривать со стороны свичей у cisco нет субинтерфейсов в свичах, зато есть interface vlan <#VLAN>, где ты можешь назначить свичу ip адрес. Там есть режимы портов access или trunk, есть назначение разных vlan для порта и как их отдавать в конкретный eth: тегированными или нет. Это подход свичовый. И он вроде как более правильный, с точки зрения разруливания разных vlan. И производитель рекомендует этот подход. Но если смотреть на количетсво портов какого-нибудь RB951 и смотреть на название операционки, а она называется RouterOS, то сложно назвать эту железку свичом, ибо она больше похожа на роутер =) С другой стороны никто не запрещает юзать этот RB как свитч. Смотря какие у вас задачи. За это Микротики и любят. Гибкие и много могут. --- ппц я тут накатал +) | | ||
| 23
- 25.01.2020 - 12:27
|
Ну тут для начала хотя бы так разобраться, а уж потом на свитч чипе пытаться сделать В данном примере у мен есть 2 бриджа на физических портах, 1 транковый порт и 2 влана. А как сделать 100 вланов? Создавать 100 бриджей без включения в них физических eth портов и создавать на транковом порту 100 влан интерфейсов с включения 1 влан интерфейса в 1 бридж, 2 во второй бридж, 99 в 99 бридж? И ДХСП вешать на соответствующий бридж? Правильно? | | ||
| 24
- 25.01.2020 - 15:28
|
23-Romul_78 > не надо 100 бриджей - создайте один и на нем разруливайте виланы. Также и вашем примере нужен только один бридж. Я же выше приводил пример как разруливать виланы. Скопируйте мой конфиг на микрот, предварительно сбросив настройки, и все станет ясно. Совет - когда создаете бридж, он по умолчанию имеет вилан фильтеринг выключен. Включайте его только тогда, когда весь конфиг будет готов. DHCP естественно подымать на соответствующем вилане. /interface bridge add name=bridge1 vlan-filtering=no ...... после всех манипуляций: /interface bridge ... vlan-filtering=yes В принципе ничего сложного. Через Winbox настройка занимает пару минут. | | ||
| 25
- 25.01.2020 - 19:55
| Цитата:
В "неправильном" подходе, чтобы принять транковый vlan на одном порту и передать на другой порт тоже транком, придется делать 2 отдельных интерфейса на каждом eth + отдельный bridge. А в правильном подходе, вы просто указываете, на какие порты отдавать конкретный vlan и отдавать его тегированным или нет. | | ||
| 26
- 26.01.2020 - 08:52
|
Если брать неправильный метод в примере со 100 VLAN. Мы создаем 100 bridg и на 5 транковом порту создаем 100 влан интерфейсов, которые потом добавляем в соответствующие бриджи. Вопрос, а зачем делать бридж то, если туда кроме одного влан интервейса ничего входить то не будет? Или я что-то не так понял? | | ||
| 27
- 26.01.2020 - 17:48
| 26-Romul_78 > Я не спец по микротам, и тем более не сертифицированный по ним. Честно говоря, я не знаю, в каком виде ходят пакеты внутри бриджа. Если они остаются тегированными, то по идее 100 бриджей и не нужно. А если растегируются, то тогда в бридже смешаются разные vlan. | | ||
| 28
- 26.01.2020 - 19:42
|
Вот в чем косяк как минимум будет. Если ты захочешь на какой-то eth отдать нетегированный vlan, то как определить, какой именно отдавать из бриджа? Ну и краткий эксперимент на стенде показал, что если в бридж засунуть субинтерфейс с vlan'ом, то внутри бриджа пакеты будут ходить без меток = все перепутается. Потому при таком подходе приходится городить кучу бриджей на каждый vlan. з.ы. Вообще есть такая штука, как EVE-NG, позволяет делать виртуальные стенды с разным оборудованием. Не скажу, что настройка тривиальная, но зато позволяет экспериментировать. | | ||
| 29
- 28.01.2020 - 18:22
| Romul_78 > ну что? Настроил? | | ||
| 30
- 05.02.2020 - 12:41
|
В общем в одном месте сетка построена на неуправляемых коммутаторах. И там где последний коммутатор компы нужно изолировать от остальной сети. Варианта 2 было от микротика отдельный кабель за 2500 или менять все неуправляемые на управляемые за 15000+. Так что руководство сказало делать кабелем | | ||
| 31
- 13.11.2020 - 07:58
|
interface bridge vlan add bridge=bridge1 tagged=ether5,bridge1 vlan-ids=2 add bridge=bridge1 tagged=ether5,bridge1 vlan-ids=3 /interface bridge add name=bridge1 vlan-filtering=yes /interface vlan add interface=bridge1 name=vlan2 vlan-id=2 add interface=bridge1 name=vlan3 vlan-id=3 /ip address add address=x.x.x/x interface=vlan2 add address=x.x.x/x interface=vlan3 add address=x.x.x/x interface=ether1 Сделал по этой аналогии. Несколько раз сбрасывал роутер в итоге, все потому что не указывал bridge-vlans в качестве тегированного собственно сам bridge, а указывал конкретные порты. Очень странно. Далее вопрос, в данном примере работали с vlan, созданными на каких-то eth в бридже. А как разруливать, если нужно создать допустим еще один vlan, который не будет привязан к eth, а нужен будет дальше уже на коммутаторах? 2. Как в данной схеме сделать 2 транковых порта? Просто изъять один из eth из бриджа, и указывать его в bridge-vlans в качестве тэгированного для всех vlans в бридже? Еще вопрос, как разные вланы будут получать адрес ДНС сервера в другой под сети? | | ||
| 32
- 20.11.2020 - 11:11
|
Какой-то поток сознания из которого не понятно вообще ничего. Вот в этом видео рассказывается про новый подход к конфигурированию, который вроде как более правильный, если из Микротика хочешь сделать коммутатор https://www.youtube.com/watch?v=wbmHmCDce5Y Сам я этим методом в продакшене не пользовался, но только что погонял в лабе. Попытаюсь объяснить, как я понимаю этот новый подход. 1. Создаешь bridge (или используешь дефолтный) и делаешь этот bridge своим коммутатором. /interface bridge add name=bridge1 vlan-filtering=yes 2. Далее в этот коммутатор ты добавляешь eth порты (Bridge->Ports). При этом обязательно нужно для каждого eth порта указать PVID. Это похоже на native vlan в cisco, если порт в транке. Это дает указание твоему коммутатору, любой пакет без тега VLAN, который пришел в eth порт, пометить тегом PVID. Если PVID не задан, то по дефолту PVID=1 /interface bridge port add bridge=bridge1 interface=ether1 pvid=10 add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 3. Далее в Bridge->VLANs ты создаешь нужные тебе VLANы и в качестве тегированного порта обязательно указываешь свой bridge, а так же указываешь в какие порты этот VLAN отправлять с тегом или без. /interface bridge vlan add bridge=bridge1 tagged=bridge1 untagged=ether1 vlan-ids=10 add bridge=bridge1 tagged=bridge1,ether2 untagged=ether3 vlan-ids=20 add bridge=bridge1 tagged=bridge1,ether3 vlan-ids=30 Прошу заметить один важный момент. Вот тут уже я специально допустил "ошибку". Местами будет работать не так, как ожидается. Обрати внимание, я не дал PVID для eth3 /interface bridge port add bridge=bridge1 interface=ether3 значит любой входящий в eth3 трафик без тега будет попадать в дефолтный VLAN 1. Но при этом с исходящего трафика от VLAN 20 тег будет сниматься. Других нетегированных VLAN, кроме номера 20, в eth3 не уходит. /interface bridge vlan add bridge=bridge1 tagged=bridge1,ether2 untagged=ether3 vlan-ids=20 И если попытаться пингануть, например, обычный комп за этим портом из другого места, то трафик придет на Микротик по VLAN 20, при выходе из порта растегируется, но ответ от компа он не получит, так как пришедший от компа ответ попадет не в VLAN 20, а в VLAN 1. Хотя и тут не совсем так. Там даже до пингов дело не дойдет, ибо пинги работают по IP, а у нас проблема на L2 уровне. VLAN 20 и VLAN 1 изолированы друг от друга. В cisco с этим проще. Там если порт в access режиме и указываешь только один vlan switchport access vlan 20 А если порт транковый, то не надо в двух разных местах задавать untagged + PVID. Там это задается командой switchport trunk native vlan 666 и тогда для уходящих пакетов метки снимаются только с VLAN 666, а входящие пакеты без метки получают метку 666. С другой стороны в подходе Mikrotik можно из разных VLAN валить в один порт, снимая метки, но зачем оно сильно может понадобиться хз. Может для multicast трафика какого-нибудь в пассивном режиме только на получение. | | ||
| 33
- 04.03.2021 - 10:29
| https://ibb.co/4fVzK5P https://ibb.co/dftT69c https://ibb.co/XtNK3C0 Интернет и телефония по одному кабелю. Voip. Требования провайдера VOIP через vlan 1762 Подскажите, как это реализовать? Отредактировано Romul_78; 04.03.2021 в 10:31. Причина: 1 | | ||
| 34
- 04.03.2021 - 10:38
| https://ibb.co/QNhFWzh Экспорт с Zyxel interface Switch0 port 4 mode access access vlan 1 ! port 3 mode access access vlan 1762 ! port 2 mode access access vlan 1762 ! port 1 mode access access vlan 1 ! port 0 mode access mode trunk access vlan 2 trunk vlan 1762 ! up ! | | ||
| 35
- 04.03.2021 - 14:55
| Так же, как и все вышеперечисленное в данной теме =) | | ||
| Модератор 36
- 05.03.2021 - 21:32
| принять два влана тагом/транком или один тагом/транком второй унтагом/аццессом | |
Интернет-форум Краснодарского края и Краснодара |
