не пойму как правильно настроить vlan

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
alexpreys
Сообщения: 14
Зарегистрирован: 22 июн 2019, 13:08

есть сеть с оборудованием которое хочется изолировать, + гостевой влан для вайфая
влан 10 - сеть которую хочу изолировать (камеры наблюдения, регистраторы, мониторы), в ней интернеты нужны тоже, нужно ли создавать для остальных портов "дефолтный" влан, или оставить трафик нетегированым?

crs112 №1 ( порты 1,2 - влан 10, остальные - "по умолчанию", sfp9 -аплинк на crs112 №2 )
crs112 №2 ( sfp - аплинк, lan1 - аплинк на CSS326 №1, остальные порту "по умолчанию")
CSS326 №1 (sfp 1 аплинк на свич reisecom, sfp 2 аплинк на CSS326 №2, lan 24 - влан 10 (аплинк на свич камер), lan 23 - аплинк на crs112 №2, lan 8 - я для теста)
CSS326 №2 (sfp - аплинк, lan1 - в роутер интернеты, lan2-5 - влан 10)
все аплинки должны прозрачно побрасывать тег влана, т.к. регистраторы и камеры подключены в разные свичи, но всё должно быть доступно "друг для друга"

для начала хочу сделать изоляцию на CSS326 №1 чтобы с lan 8 был lan 24 и инет

на вкладке VLAN для портов 8 и 24, sfp 1 и 2
VLAN Mode = enabled
VLAN Recive = any
Default VLAN ID = 10 (я так понял это лишнее действие)

во вкладке VLANs добавляю порты 8, 23, 24, sfp 1 и 2 в 10й влан
(этим мы маркируем исходящий трафик на порту? но если трафик пришёл от к примеру лан5, получается, нам не нужно перепивываеть его заголовок на поту сфп2, но в SwOs таких менюшек как в примерах для RouterOs нет)

после этих действий изоляция действительно происходит, но и интернет пропадает.

с какой точки нужно начинать строить эти вланы, может со свича CSS326 №2, просто добавить на нём в VLANs 10й влан для 2-5 и сфп1 порта и 20й для сфп1 и лан1 (для интернета)?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Мне показалось как-то Вы плаваете в сущности виланов.
Виланы = это разделение разного типа трафика в рамках одной физики.
А интернет это уже выше уровень.
alexpreys писал(а): 22 июн 2019, 14:37 есть сеть с оборудованием которое хочется изолировать, + гостевой влан для вайфая
влан 10 - сеть которую хочу изолировать (камеры наблюдения, регистраторы, мониторы), в ней интернеты нужны тоже, нужно ли создавать для остальных портов "дефолтный" влан, или оставить трафик нетегированым?
Если Вы хотите видео-сеть скрыть, значит для сети в целом, это вилан 10, то есть общая
сеть не должна видеть трафик сети видеонаблюдения, значит он должен быть тегированным,
но так как сама аппаратура, камеры и прочее тег не понимают, значит на последнем свитче
(или ещё по-русски скажем так: на порту куда именно включаются камеры, видеосервера)
надо снимать тег, а при ответных пакетах тег id10 ставить явно.
alexpreys писал(а): 22 июн 2019, 14:37 (этим мы маркируем исходящий трафик на порту? но если трафик пришёл от к примеру лан5, получается, нам не нужно перепивываеть его заголовок на поту сфп2, но в SwOs таких менюшек как в примерах для RouterOs нет)
Всё там есть.
Почитайте ВиКи.
alexpreys писал(а): 22 июн 2019, 14:37 после этих действий изоляция действительно происходит, но и интернет пропадает.
Интернет кто раздаёт?
Если микротик, то проще ему (на роутере микротик) сделать интерфейс вилан10, задать
ему адрес, и всё, прописать кому из вилана10 нужен интернет, адрес этого интерфейса
как шлюз.
alexpreys писал(а): 22 июн 2019, 14:37 с какой точки нужно начинать строить эти вланы, может со свича CSS326 №2, просто добавить на нём в VLANs 10й влан для 2-5 и сфп1 порта и 20й для сфп1 и лан1 (для интернета)?
Обычно сначала делают на бумаге логику, номер вилана, описание его, описывают виланы на главных свитчах,
на роутере, описывают DHCP, описывают IP-маршрутизацию. Проверяют что видят на свитчах главных
МАКи роутера (вилан интерфейсов). Потом уже идёт от "центра" сети, в UpLink (делают его транковым)
закидывая туда все виланы (или явно те, что нужны), и уже на свитчах с компьютерами явно описывают,
какой порт будет нетегированным для каждого пришедшего вилана.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
alexpreys
Сообщения: 14
Зарегистрирован: 22 июн 2019, 13:08

плаваю, иначе не писал бы сюда
разве оборудование не поддерживающее влан-ы не игнорирует наличие тега?
вики и форумы много читаю, да, но просветления пока не наступает
интернет, дхцп и т.п. раздаёт сервак на убунте
на бумаге всё написал: порты на свичах для видео и гостевого вайфая (нужен в разных местах)

для теста(на оборудовании в работе CSS326) делаю вкладка VLAN
порт 1 (убунта) --- VLAN Mode - enabled --- VLAN Receive - any --- Default VLAN ID 1 --- Force VLAN ID - no
порт 12 (ATC) --- VLAN Mode - enabled --- VLAN Receive - any --- Default VLAN ID 30 --- Force VLAN ID - no
порт 17 (ноут) --- VLAN Mode - enabled --- VLAN Receive - any --- Default VLAN ID 20 --- Force VLAN ID - no
вкладка VLANs:
VLAN ID 20 порты 1,17
VLAN ID 30 порты 1,12

при такой конфигурации пингов на убунту нет, на свич есть, хотя зайти в браузере не удаётся; и даже если на вкладке VLANs атс и ноут объединить в 20й влан и Default VLAN ID задать 20 обоим портам, - пинги между ноутом и атс всё равно не появляются, хотя из других портов свича атс пингуется даже при VLAN Receive - only tagged
что именно я делаю не так?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

alexpreys писал(а): 24 июн 2019, 10:44 плаваю, иначе не писал бы сюда
разве оборудование не поддерживающее влан-ы не игнорирует наличие тега?
"тупая" железка за 400-800 рублей да, свитч который понимает что такое тег,
наоборот, не пропустит тег без явного определения(настройки).
alexpreys писал(а): 24 июн 2019, 10:44 интернет, дхцп и т.п. раздаёт сервак на убунте
Если логика (L3-уровень) у Вас на сервере, то как компьютер или АТС - как
они должны увидеть шлюз свой?
Если Вы мальчиков и девочек разделили, а еда находиться у папы, а он в коридоре
стоит, как они смогут взять еды у него? Да никак.
Либо убунта должна сама быть во всех 3х виланах и в каждом вилане она там
будет доступна, либо уже программно маршрутизировать и комп и атс должны
видеть убунту по её одному адресу, но через маршрутизацию.

Поэтому в классическом варианте я делаю так:
каждый вилан - это отдельная сеть IP - и в этой сети есть IP который для других является
шлюзом.
alexpreys писал(а): 24 июн 2019, 10:44 что именно я делаю не так?
Не знаю, скорее логика не та. Даю пример чужой с описанием:

Изображение
Пояснение:
ПОРТЫ: 1,2 и SFP = порты одинаково(универсально) настроены(помечены зелёным), там бегает сеть + тегированный трафик
ПОРТЫ: 3 и 4 = описаны для телефонии, при приходе вилана 227 тег снимается (то есть для телефона это будет обычный трафик)
ПОРТ: 5 (самый сложный в этом примере): это точка доступа, тут сделано так, что сама точка сидит в нетегированной сети вилана 222
(сделано также как и с телефоном, точка получает адрес в своей сети доступна для управления), но + точка раздаёт 3 SSID'а (три сети),
сети к ней приходят тегом и тегом уходит (точка умеет отдавать теги на сети которые она раздаёт).

Изображение
Тут всё тоже самое описано что я Выше описал, только на выход.

Повторюсь:
что IP-сети в примерах (222 и 227) имеют каждый свой шлюз, который доступен только для них,
и через этот шлюз у них есть связь и с другими сетями и доступ в Интернет.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
alexpreys
Сообщения: 14
Зарегистрирован: 22 июн 2019, 13:08

Если логика (L3-уровень) у Вас на сервере, то как компьютер или АТС - как
они должны увидеть шлюз свой?
Если Вы мальчиков и девочек разделили, а еда находиться у папы, а он в коридоре
стоит, как они смогут взять еды у него? Да никак.
Либо убунта должна сама быть во всех 3х виланах и в каждом вилане она там
будет доступна,
я думал что когда я добавляю порт убунты во ВЛАН трафик между портами являющимися членами одного ВЛАНА должен ходить
Изображение

и ещё, в каких "трёх" вланах должна быть доступна убунта? есть двадцатый и тридцатый, - туда я её занёс руками, ещё есть же дефолный, №1 - это он "третий"?

а вот настройки егресс трафика у себя я не вижу, насколько я понял из вики именно ДефолтВланАйди отвечает за него
Изображение

Изображение
"тупая" железка за 400-800 рублей да,
под оборудованием игнорирующим вланы я имел ввиду оконечное оборудование, типа ноута с виндой


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

alexpreys писал(а): 24 июн 2019, 13:31 я думал что когда я добавляю порт убунты во ВЛАН трафик между портами являющимися членами одного ВЛАНА должен ходить
Да, в рамках одного вилана связь должна быть.
Откройте закладку Hosts и посмотрите на МАК адреса!
МАК убунты должен быть и в 20 и в 30 вилане (по логике).
(Вы только изоляцию портов в вилане уберите, зачем включаете?)
alexpreys писал(а): 24 июн 2019, 13:31 и ещё, в каких "трёх" вланах должна быть доступна убунта? есть двадцатый и тридцатый, - туда я её занёс руками, ещё есть же дефолный, №1 - это он "третий"?
На порту может быть "куча" виланов, и лишь один из них может быть untag, по умолчанию №1
Поэтому убунта будет доступна в основном нативном вилане (в первом или в том вилане что настроено на порту как untag),
и будет доступна во всех других виланов в виде тегированного трафика.
alexpreys писал(а): 24 июн 2019, 13:31 а вот настройки егресс трафика у себя я не вижу, насколько я понял из вики именно ДефолтВланАйди отвечает за него
Ещё раз хочу саму сущность рассказать = виланы это как архиватор (грубо, но зато проще понимать).
Если Вы что-то "упаковали" с одной стороны, то сначала надо это "распаковать" и тогда это станет доступно.
Так и с виланами, давайте я более проще нарисую логику:
1) есть сервер-видеонаблюдения, он не понимает виланы, подключен в порт свитча, (скажем порт 2) на порту настроено
что весь трафик от порта этого обворачивать виланом скажем 50. То есть ещё раз, трафик пришёл обычный,
нетегированный, мы его прячем за вилан50, дальше этот вилан проходит свитч, может в тегированном ввиде уйти на второй свитч,
и уже на другом свитче, (или на этом, не суть) на другом порту = прежде чем отдать трафик камере, надо снова
растегировать этот вилан, значит на выходе скажем с порта 20, трафик опять станет нетегированный
и камера увидит видео-сервер. При этом трафик обычной сети (в вилане 1) никак не пересечётся.
Поэтому чтобы убунта была доступна в разных виланах, она должна быть в каждом вилане
быть доступна, значит надо на убунте поднимать виланы и их описывать.
Виланы = как по примеру сверху приведённому, - всегда делаются с двух сторон.
alexpreys писал(а): 24 июн 2019, 13:31 под оборудованием игнорирующим вланы я имел ввиду оконечное оборудование, типа ноута с виндой
Лучше не допускать, чтобы на порту, куда подключены такие железки были теги, это как-то не эстетично.
Если вилан не нужен, зачем его гнать в порт, где он никому никак не будет полезен? Только нагрузка на
свитч и нагрузка на вход компьютера.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
alexpreys
Сообщения: 14
Зарегистрирован: 22 июн 2019, 13:08

ой вэй, спасибо, стало понятнее !
1. да, "порт изолейшен" - снялся с ручника :)
2. у АТС оказалась какая-то своя идея по поводу обработки вланов, плохая была идея использовать её в качестве тестового стенда
3. пойду ковырять убунту!

зы: т.е. на существующем оборудовании я не могу удалять теги в исходящем трафике на порту свича №1, к которому подключена убунта?
т.е. порт №1 является членом влан20 и влан1, и порт 17 является членом влан20, и CSS326-24G-2S+ не должен и никак не будет "распаковывать" трафик на порту1 (снимать тег влан20 с трафика приходящего с 17го порта) ?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

alexpreys писал(а): 24 июн 2019, 15:41 ой вэй, спасибо, стало понятнее !
1. да, "порт изолейшен" - снялся с ручника :)
Я рад
alexpreys писал(а): 24 июн 2019, 15:41 2. у АТС оказалась какая-то своя идея по поводу обработки вланов, плохая была идея использовать её в качестве тестового стенда
Лучше явно не проверять и делать как я описал в примере, работать с оборудование нативно,
чтобы на вход или с него на вход в сеть всё было нативно и без тегов, а уже внутри
свитча(ей) "обворачивать" трафик разных сетей/сервисов разными виланами.
И техника думает что она работает в нативной сети и сетей у Вас много в виде виланов.
alexpreys писал(а): 24 июн 2019, 15:41 3. пойду ковырять убунту!
Линукс априори поддерживает виланы, но да, почитать надо...


НИЖЕ я мало что понял....но даю ответ в меру моего понимания Ваших вопросов...
alexpreys писал(а): 24 июн 2019, 15:41 зы: т.е. на существующем оборудовании я не могу удалять теги в исходящем трафике на порту свича №1, к которому подключена убунта?
Теги удалять можете, если тупо так ответить. Если порт у Вас настроен на 50й вилан, и порт сделан как
untag = трафик с вилана 50 на этом порту при выходе будет рас-тегироваться.
Либо если у Вас тип порта "any", а основной вилан 50, то вилан 50 будет растегироваться, но при этом,
на порту1 могут быть другие виланы (приходить, уходить), но всегда с тегом Только!
alexpreys писал(а): 24 июн 2019, 15:41 т.е. порт №1 является членом влан20 и влан1, и порт 17 является членом влан20, и CSS326-24G-2S+ не должен и никак не будет "распаковывать" трафик на порту1 (снимать тег влан20 с трафика приходящего с 17го порта) ?
В Вашем примере на сколько я понял и сложил в голове, у Вас порт1 = это транковый порт, порт
куда/где есть 2 и более вилана, значит на порт1 могут и должны приходить трафик вилана20 и трафик вилана17
они входят в порт1, а уже внутри свитча, трафик вилана 20 Вы подаёте на порт 20й (без тега) и трафик вилана17
вы подаёте на порт 17 тоже уже без тега.
ТО есть порт1 это "архиватор", туда пришли всё вместе и вместе оттуда ушли...а уже внутри свитча
вы распаковали...вилан20 на порт20 и вилан17 на порт17 (для удобства взял одинаковые просто цифры).

P.S.
Надеюсь более менее понятно. Я уже в целом местами уже дважды повторился.
Пробуйте....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить