Как пропустить тегированный трафик через мост из 2-х портов?

[Vadik7]

Добрый день.

Стоит задача - провести по филиалам замену шлюзов Зюксель на Микротик (1100х4, CCR1009). Пока их придется скрещивать с центральным Зюкселем, до полной филиальной замены, потом будет вторая часть марлезонского балета.

Провайдер дает 2 канала Интернет по одному кабелю - один канал без тегов, второй находится в VLAN. На каждом канале есть по 1 белых IP.
Нужно - принять физику на Микротике, и пропустить трафик и с тегами и без них через него дальше на Зюксель.
Для чего это нужно - спокойно настроить связку Микротик - центральное оборудование (IPSec), и как только все будет работать - выключить на микротике порты, к которым подключен Зюксель, и перейти целиком и полностью работать через Микротик.
Вопрос - как это реализовать? Провайдер выделит еще пару IP адресов для Микротика, но скорее всего, они будут лежать в отдельных VLAN.
Если я объединю пару портов Eth в бридж - пролезет ли через него одновременно и тегированный и нетегированный трафик?

[Vlad-2]

Если я объединю пару портов Eth в бридж - пролезет ли через него одновременно и тегированный и нетегированный трафик?

Да!

[Vadik7]

Если я объединю пару портов Eth в бридж - пролезет ли через него одновременно и тегированный и нетегированный трафик?

Да!

Я прикрепил схемку. То есть делаю так - 2 порта на Микротике в бридж, на бридж вешаю 2 IP для Микротика. Все остальное утекает через второй порт на Зюксель (и с тегами и без тегов). Доп. вопрос - при этой реализации схемы транзит трафика будет нормально идти для любого VLAN-а? А то я читал сегодня, что при назначении на порт (бридж в данном контексте) любого адреса с vlan порт автоматом переходит в транк.

[Vlad-2]

Добавлю:

При объединение портов в бридж, уже бридж - главный интерфейс, а не порты, поэтому:
а) адресацию ставят на бридже (для нетигированного трафика)
б) вилан делают на бридже (а не на порту), и уже тоже, для тегированного трафика - адресацию ставят
на этом созданном вилане, который ещё раз повторюсь - создаётся/работает на бридже.

При указании в файрволе, в НАТ правилах, указывается как бридж, так и вилан, это всё интерфейсы,
и они обычные и порядок работы с ними обычный.

(Всё выше это для работы с трафиком в рамках микротика).
Для пропуска и использовании микротика как свитча = одного бриджа хватит.

[Vadik7]

Добавлю:

При объединение портов в бридж, уже бридж - главный интерфейс, а не порты, поэтому:
а) адресацию ставят на бридже (для нетигированного трафика)
б) вилан делают на бридже (а не на порту), и уже тоже, для тегированного трафика - адресацию ставят
на этом созданном вилане, который ещё раз повторюсь - создаётся/работает на бридже.

При указании в файрволе, в НАТ правилах, указывается как бридж, так и вилан, это всё интерфейсы,
и они обычные и порядок работы с ними обычный.

(Всё выше это для работы с трафиком в рамках микротика).
Для пропуска и использовании микротика как свитча = одного бриджа хватит.

Я сумбурно тут написал просто :)
Переиначу вопрос - если на бридже будут назначены 2 адреса, один из которых в VLAN - пропустит ли он через себя транзитом трафик других VLAN-ов (естественно, не обрезая теги)?
Заранее спасибо за ответ.

[Vlad-2]

Я сумбурно тут написал просто :)

Вопросы тоже сумбурные

Переиначу вопрос - если на бридже будут назначены 2 адреса, один из которых в VLAN

Ещё раз, у Вас два трафика, НЕтегированный и адрес 1.1.1.1 и тегированный адрес 2.2.2.2,
адрес второй(2.2.2.2) ставится НА ВИЛАН (который Вы создаёте на бридже). Если поставите
2.2.2.2 на бридже = не будет толку.
Ещё раз - один адрес на бридже, второй на вилане.

- пропустит ли он через себя транзитом трафик других VLAN-ов (естественно, не обрезая теги)?
Заранее спасибо за ответ.

Если никаких иных действий не сделано, пропустит.
Бридж соединяет многие разные интерфейсы в микротике, так что бридж пропускает всё.

[Vadik7]

Я сумбурно тут написал просто :)

Вопросы тоже сумбурные

Переиначу вопрос - если на бридже будут назначены 2 адреса, один из которых в VLAN

Ещё раз, у Вас два трафика, НЕтегированный и адрес 1.1.1.1 и тегированный адрес 2.2.2.2,
адрес второй(2.2.2.2) ставится НА ВИЛАН (который Вы создаёте на бридже). Если поставите
2.2.2.2 на бридже = не будет толку.
Ещё раз - один адрес на бридже, второй на вилане.

- пропустит ли он через себя транзитом трафик других VLAN-ов (естественно, не обрезая теги)?
Заранее спасибо за ответ.

Если никаких иных действий не сделано, пропустит.
Бридж соединяет многие разные интерфейсы в микротике, так что бридж пропускает всё.

Спасибо! Интересовал именно пропуск трафика через бридж.

[Vlad-2]

Спасибо! Интересовал именно пропуск трафика через бридж.

Не за что.

И обратите внимание в будущем, у Вас модели роутеров, которые частично ещё
имеют чип коммутации. Это всё к тому, что виланы можно потом
обрабатывать на чипе коммутации. Конечно надо проверить по даташитам ещё раз.
Но не сказать/не намекнуть не мог.
Тем более их (виланы на чипе очень хорошо знает и любит algerka, думаю
он не откажет в лёгком совете и Вам.

И да, бридж простой тупо всё пропускает.
Если на бридже вилан, то Вы таким образом микротик вгоняете в этот вилан,
делаете его членом этого вилана(на физическом уровне), а задав адрес и на логическом,
если потом этот вилан через отдельный ещё один бридж соединить с портмо скажем 4,
то на порту будет рас-тегированный трафик вилана этого.

Такими нехитростями можно подключаться приставки, и разные устройства,
которые требуют виланы на свой вход, или наоборот, требуют нетегированный трафик,
но в сложных вариациях подключения.