Добрый день.
Стоит задача - провести по филиалам замену шлюзов Зюксель на Микротик (1100х4, CCR1009). Пока их придется скрещивать с центральным Зюкселем, до полной филиальной замены, потом будет вторая часть марлезонского балета.
Провайдер дает 2 канала Интернет по одному кабелю - один канал без тегов, второй находится в VLAN. На каждом канале есть по 1 белых IP.
Нужно - принять физику на Микротике, и пропустить трафик и с тегами и без них через него дальше на Зюксель.
Для чего это нужно - спокойно настроить связку Микротик - центральное оборудование (IPSec), и как только все будет работать - выключить на микротике порты, к которым подключен Зюксель, и перейти целиком и полностью работать через Микротик.
Вопрос - как это реализовать? Провайдер выделит еще пару IP адресов для Микротика, но скорее всего, они будут лежать в отдельных VLAN.
Если я объединю пару портов Eth в бридж - пролезет ли через него одновременно и тегированный и нетегированный трафик?
Как пропустить тегированный трафик через мост из 2-х портов?
-
- Сообщения: 39
- Зарегистрирован: 22 мар 2019, 14:52
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Да!
-
- Сообщения: 39
- Зарегистрирован: 22 мар 2019, 14:52
Я прикрепил схемку. То есть делаю так - 2 порта на Микротике в бридж, на бридж вешаю 2 IP для Микротика. Все остальное утекает через второй порт на Зюксель (и с тегами и без тегов). Доп. вопрос - при этой реализации схемы транзит трафика будет нормально идти для любого VLAN-а? А то я читал сегодня, что при назначении на порт (бридж в данном контексте) любого адреса с vlan порт автоматом переходит в транк.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Добавлю:
При объединение портов в бридж, уже бридж - главный интерфейс, а не порты, поэтому:
а) адресацию ставят на бридже (для нетигированного трафика)
б) вилан делают на бридже (а не на порту), и уже тоже, для тегированного трафика - адресацию ставят
на этом созданном вилане, который ещё раз повторюсь - создаётся/работает на бридже.
При указании в файрволе, в НАТ правилах, указывается как бридж, так и вилан, это всё интерфейсы,
и они обычные и порядок работы с ними обычный.
(Всё выше это для работы с трафиком в рамках микротика).
Для пропуска и использовании микротика как свитча = одного бриджа хватит.
При объединение портов в бридж, уже бридж - главный интерфейс, а не порты, поэтому:
а) адресацию ставят на бридже (для нетигированного трафика)
б) вилан делают на бридже (а не на порту), и уже тоже, для тегированного трафика - адресацию ставят
на этом созданном вилане, который ещё раз повторюсь - создаётся/работает на бридже.
При указании в файрволе, в НАТ правилах, указывается как бридж, так и вилан, это всё интерфейсы,
и они обычные и порядок работы с ними обычный.
(Всё выше это для работы с трафиком в рамках микротика).
Для пропуска и использовании микротика как свитча = одного бриджа хватит.
-
- Сообщения: 39
- Зарегистрирован: 22 мар 2019, 14:52
Я сумбурно тут написал просто :)Vlad-2 писал(а): ↑22 мар 2019, 15:25 Добавлю:
При объединение портов в бридж, уже бридж - главный интерфейс, а не порты, поэтому:
а) адресацию ставят на бридже (для нетигированного трафика)
б) вилан делают на бридже (а не на порту), и уже тоже, для тегированного трафика - адресацию ставят
на этом созданном вилане, который ещё раз повторюсь - создаётся/работает на бридже.
При указании в файрволе, в НАТ правилах, указывается как бридж, так и вилан, это всё интерфейсы,
и они обычные и порядок работы с ними обычный.
(Всё выше это для работы с трафиком в рамках микротика).
Для пропуска и использовании микротика как свитча = одного бриджа хватит.
Переиначу вопрос - если на бридже будут назначены 2 адреса, один из которых в VLAN - пропустит ли он через себя транзитом трафик других VLAN-ов (естественно, не обрезая теги)?
Заранее спасибо за ответ.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Вопросы тоже сумбурные
Ещё раз, у Вас два трафика, НЕтегированный и адрес 1.1.1.1 и тегированный адрес 2.2.2.2,
адрес второй(2.2.2.2) ставится НА ВИЛАН (который Вы создаёте на бридже). Если поставите
2.2.2.2 на бридже = не будет толку.
Ещё раз - один адрес на бридже, второй на вилане.
Если никаких иных действий не сделано, пропустит.
Бридж соединяет многие разные интерфейсы в микротике, так что бридж пропускает всё.
-
- Сообщения: 39
- Зарегистрирован: 22 мар 2019, 14:52
Спасибо! Интересовал именно пропуск трафика через бридж.Vlad-2 писал(а): ↑22 мар 2019, 15:33Вопросы тоже сумбурные
Ещё раз, у Вас два трафика, НЕтегированный и адрес 1.1.1.1 и тегированный адрес 2.2.2.2,
адрес второй(2.2.2.2) ставится НА ВИЛАН (который Вы создаёте на бридже). Если поставите
2.2.2.2 на бридже = не будет толку.
Ещё раз - один адрес на бридже, второй на вилане.
Если никаких иных действий не сделано, пропустит.
Бридж соединяет многие разные интерфейсы в микротике, так что бридж пропускает всё.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Не за что.
И обратите внимание в будущем, у Вас модели роутеров, которые частично ещё
имеют чип коммутации. Это всё к тому, что виланы можно потом
обрабатывать на чипе коммутации. Конечно надо проверить по даташитам ещё раз.
Но не сказать/не намекнуть не мог.
Тем более их (виланы на чипе очень хорошо знает и любит algerka, думаю
он не откажет в лёгком совете и Вам.
И да, бридж простой тупо всё пропускает.
Если на бридже вилан, то Вы таким образом микротик вгоняете в этот вилан,
делаете его членом этого вилана(на физическом уровне), а задав адрес и на логическом,
если потом этот вилан через отдельный ещё один бридж соединить с портмо скажем 4,
то на порту будет рас-тегированный трафик вилана этого.
Такими нехитростями можно подключаться приставки, и разные устройства,
которые требуют виланы на свой вход, или наоборот, требуют нетегированный трафик,
но в сложных вариациях подключения.