Паразитный траффик

Обсуждение ПО и его настройки
Ответить
dycost
Сообщения: 15
Зарегистрирован: 20 авг 2015, 15:37

Есть Микротик RB4011iGS+ с RouterOS v6.47.10 на борту.
Настроены 3 бриджа:
bridge_wan - аплинк от провайдера
bridge_switch - для управления вланами
bridge_users - сеть пользователей

В bridge_switch 2 интерфейса:
ether2 - пользователи
eoip-tunnel-1 - удаленный микротик (ядро сети)
на всех интерфейсах только тегированный траффик, влан 11
на bridge_switch повешен влан 11 и этот влан засунут в bridge_users:

Код: Выделить всё

> int vlan print where vlan-id=11
Flags: X - disabled, R - running 
 #   NAME                                                                          MTU ARP             VLAN-ID INTERFACE                                                                      
 0 R vlan.users                                                                   1500 enabled              11
 
 > bridge_switch >interface bridge port print where bridge=bridge_users 
Flags: X - disabled, I - inactive, D - dynamic, H - hw-offload 
 #     INTERFACE                                                       BRIDGE                                                       HW  PVID PRIORITY  PATH-COST INTERNAL-PATH-COST    HORIZON
 0     vlan.users                                                      bridge_users                                                        1     0x80         10                 10       none
learning на ether2 и eoip-tunnel-1 при добавленни в бридж bridge_switch включен.

Проблема вот в чем - весь Rx траффик с интерфейса ether2 (по сути запросы абонентов) кроме шлюза дублируется в порт eoip-tunnel-1.
Если кто подскажет куда копать, буду благодарен.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

dycost писал(а): 29 авг 2021, 11:22 на bridge_switch повешен влан 11 и этот влан засунут в bridge_users:
Так нельзя делать.
Это нерабочая конфигурация.
https://wiki.mikrotik.com/wiki/Manual:L ... n_a_bridge


Telegram: @thexvo
dycost
Сообщения: 15
Зарегистрирован: 20 авг 2015, 15:37

xvo писал(а): 29 авг 2021, 11:39 Так нельзя делать.
Это нерабочая конфигурация.
https://wiki.mikrotik.com/wiki/Manual:L ... n_a_bridge
Я видимо не полностью описал схему.
vlan-filtering=yes как раз включен на bridge_switch.
т.е. все сделано по мануалу https://wiki.mikrotik.com/wiki/Manual:L ... Solution_5
только этот влан еще задан явно и помещен в мост bridge_users на который назначен IP являющийся шлюзом для пользователей.

Код: Выделить всё

/interface bridge
add name=bridge_switch vlan-filtering=yes
/interface bridge port
add bridge=bridge_switch interface=eoip-tunnel-1
add bridge=bridge_switch interface=ether2
/interface bridge vlan
add bridge=bridge_switch tagged=eoip-tunnel-1,ether2 vlan-ids=11
/interface vlan add interface=bridge_switch vlan-id=11 name=vlan.users
В принципе самый верхний мост можно убрать и шлюз повесить на vlan.users, так просто сделано для унификации.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

dycost писал(а): 29 авг 2021, 11:58 только этот влан еще задан явно и помещен в мост bridge_users
Вот именно это и делает конфигурацией нерабочей.


Telegram: @thexvo
dycost
Сообщения: 15
Зарегистрирован: 20 авг 2015, 15:37

xvo писал(а): 29 авг 2021, 12:00 Вот именно это и делает конфигурацией нерабочей.
Ладно.
Удаляем bridge_user и вешаем шлюз на vlan.users.
Ситуация не изменяется.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Надо не bridge_user удалить, а vlan.users из bridge.users.
vlan.users должен быть создад на bridge.users, а не быть его портом.
Так же как и все остальные vlan-интерфейсы, если они есть.
Один бридж с vlan-filtering и все vlan-интерфейсы торчат из него, только так.


Telegram: @thexvo
dycost
Сообщения: 15
Зарегистрирован: 20 авг 2015, 15:37

xvo писал(а): 29 авг 2021, 13:09 Надо не bridge_user удалить, а vlan.users из bridge.users.
vlan.users должен быть создад на bridge.users, а не быть его портом.
Так же как и все остальные vlan-интерфейсы, если они есть.
Один бридж с vlan-filtering и все vlan-интерфейсы торчат из него, только так.
Бридж с vlan-filtering это bridge_switch, и как раз на нем создан vlan.user, все как в официальном мануале.


dycost
Сообщения: 15
Зарегистрирован: 20 авг 2015, 15:37

Код: Выделить всё

/interface bridge
add name=bridge_switch vlan-filtering=yes
/interface bridge port
add bridge=bridge_switch interface=eoip-tunnel-1
add bridge=bridge_switch interface=ether2
/interface bridge vlan
add bridge=bridge_switch tagged=eoip-tunnel-1,ether2 vlan-ids=11
/interface vlan add interface=bridge_switch vlan-id=11 name=vlan.users
/ip address add interface=vlan.users address=172.16.106.254/24


dycost
Сообщения: 15
Зарегистрирован: 20 авг 2015, 15:37

Прошу прощения, мой косяк был разобрался.
Там был еще один бридж, под управление, сделанный аналогнично, и я не подумал, что его настройки могут влиять на функционирование.

Код: Выделить всё

/interface bridge
add name=bridge_switch vlan-filtering=yes
/interface bridge port
add bridge=bridge_switch interface=eoip-tunnel-1
add bridge=bridge_switch interface=ether2
/interface bridge vlan
add bridge=bridge_switch tagged=eoip-tunnel-1,ether2,bridge_switch vlan-ids=11
add bridge=bridge_switch tagged=eoip-tunnel-1,ether2,bridge_switch vlan-ids=10
/interface vlan add interface=bridge_switch vlan-id=11 name=vlan.users
/interface vlan add interface=bridge_switch vlan-id=10 name=vlan.management
/ip address add interface=vlan.users address=172.16.106.254/24
/ip address add interface=vlan.management address=172.16.1.254/21


Ответить