Добрый день!
Прочитал всю официальную документацию и много не официальной, но так и не понял как правильно делать VLANы на роутере (RB3011UiAS-RM) в бридже, в случае когда вланы приходят и из тегированного порта с другого свитча (серия CRS3xx) и из нетегированных access портов. Большинство примеров рассматрвиают случай, когда на самом роутере нет портов в влане, но все-таки нашел 2 варианта
допустим ether1 - trunk с vlan 10 и 20, ether2 - vlan10 ether3 - vlan20
1. все порты добавляют в бридж, на бридж навешивают влан интерфейсы для всех вланов, на которые вешается адрес и dhcp
2. на транк вешается влан интерфейсы для всех вланов, которые в нем могут быть, а дальше на каждый влан делается отдельный бридж.
в офоциальных доках не нашел полных примеров, но бридж обычно один. А в не официальных чаще несколько. Как правильно?
Сопутствующий вопрос - на свитче нужно ли на бридж или транк вешать влан интерфейсы и им присваивать адрес? по логике да, но на всякий случай уточняю. И можно ли эти адреса сделать статическими
И для комплекта - как лучше сделать одностороннюю связность между вланами? т.е. из влана A есть доступ в влан B, но последний ничего про первый не знает
VLAN в бридже
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
KaNelam
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
Alexander1234 писал(а): ↑11 ноя 2021, 08:19 ether1 - trunk с vlan 10 и 20, ether2 - vlan10 ether3 - vlan20
Код: Выделить всё
/interface bridge
add name=bridge1 protocol-mode=none vlan-filtering=yes
/interface vlan
add interface=bridge1 name=vlan1 vlan-id=10
add interface=bridge1 name=vlan2 vlan-id=20
/ip pool
add name=dhcp_pool0 ranges=10.10.10.1-10.10.10.253
add name=dhcp_pool1 ranges=10.10.11.1-10.10.11.253
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=vlan1 name=dhcp1
add address-pool=dhcp_pool1 disabled=no interface=vlan2 name=dhcp2
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2 pvid=10
add bridge=bridge1 interface=ether3 pvid=20
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether1 untagged=ether2 vlan-ids=10
add bridge=bridge1 tagged=bridge1,ether1 untagged=ether3 vlan-ids=20
/ip address
add address=10.10.10.254/24 interface=vlan1 network=10.10.10.0
add address=10.10.11.254/24 interface=vlan2 network=10.10.11.0
/ip dhcp-server network
add address=10.10.10.0/24 gateway=10.10.10.254
add address=10.10.11.0/24 gateway=10.10.11.254
/ip dns
set servers=8.8.8.8,8.8.4.4
https://wiki.mikrotik.com/wiki/Manual:I ... _Filtering
-
Alexander1234
- Сообщения: 2
- Зарегистрирован: 11 ноя 2021, 08:02
Если я правильно понимаю, то Bridge VLAN Filtering не обрабатывается свитч чипом в 3011, там нужно использовать https://wiki.mikrotik.com/wiki/Manual:B ... witch_chip и обе эти доки я читал, так же как иKaNelam писал(а): ↑11 ноя 2021, 09:37 П.с. не знаю что читали и где, на вики подробнейшим образом с картинками:
https://wiki.mikrotik.com/wiki/Manual:I ... _Filtering
https://wiki.mikrotik.com/wiki/Manual:Interface/VLAN
https://wiki.mikrotik.com/wiki/Manual:Switch_Router
О чем я написал в вопросе - в официальных доках бридж один, в неофициальных, на разных сайтах да и тут встречается - делают разные бриджи для разных вланов. В чем разница между этими подходами, какие подводные камни, плюсы-минусы и какая best practice?
Так же, в доках по свитчам, в mgmt влане всегда вешают адрес, и это понятно. Но почему его никогда не вешают в свитче на других вланах? разве у свитча не должен быть свой адрес во всех вланах?
-
KaNelam
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
Да, проц будет обрабатывать тарфиик (это копейки для 3011). Свич чип для изготовления из тика полноценный л2 коммутатор, а хотелка л2+л3 сделать?Alexander1234 писал(а): ↑11 ноя 2021, 13:57Если я правильно понимаю, то Bridge VLAN Filtering не обрабатывается свитч чипом в 3011, там нужно использовать https://wiki.mikrotik.com/wiki/Manual:B ... witch_chip и обе эти доки я читал, так же как иKaNelam писал(а): ↑11 ноя 2021, 09:37 П.с. не знаю что читали и где, на вики подробнейшим образом с картинками:
https://wiki.mikrotik.com/wiki/Manual:I ... _Filtering
https://wiki.mikrotik.com/wiki/Manual:Interface/VLAN
https://wiki.mikrotik.com/wiki/Manual:Switch_Router
О чем я написал в вопросе - в официальных доках бридж один, в неофициальных, на разных сайтах да и тут встречается - делают разные бриджи для разных вланов. В чем разница между этими подходами, какие подводные камни, плюсы-минусы и какая best practice?
Так же, в доках по свитчам, в mgmt влане всегда вешают адрес, и это понятно. Но почему его никогда не вешают в свитче на других вланах? разве у свитча не должен быть свой адрес во всех вланах?
Бриджа 2 имеет смысл делать в 3011 и других похожих в случае использования всех портов. Т.к. 2 свича внутри по 5 портов. При подходе теряете 2 порта для связи свитчей.
Влан управленияпо вашим словам имеет адрес, другие управляемые ком=ры будут сидеть в наддом влане управлением. На ядре изолируем сеть управления от остальных. На каждорм влане свой адрес, управление отдельно от других.