CRS112-8G-4S настройка VLAN

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Trueno
Сообщения: 0
Зарегистрирован: 06 дек 2017, 21:43

Добрый вечер! Принимайте новенького)
С Микротиком я давненько знаком, однако L2 функции обычно выполнял через процессор, создавая бриджи на всяких там рб2011 и прочем.
Столкнулся с ситуацией, когда надо разрулить несколько Вланов с большой утилизацией трафика - применять софт-роутер глупо.
Вот решил приобрести данное чудо - свитч микротик, в котором однако встроен проц и операционка)

Итак, необходимо, чтобы:

Порт eth-m был транком (tagged) для влана 950, 951, 952, 958, 959.
Порт eth-37 был транком (tagged) для влана 950, 951, 952, 959.
Порт eth-v был доступом (untagged) для влана 958.
Порт eth-33 был доступом (untagged) для влана 951.
Порт eth-39 был доступом (untagged) для влана 951.
Порт eth-41 был доступом (untagged) для влана 951.
Порт eth-250 был доступом (untagged) для влана 950.
Порт eth-2 был доступом (untagged) для влана 952.

Итого, у нас 8 физических портов (6 медь и 2 сфп), из которых 6 портов доступа и 2 порта транка, в которых вланы передаются на следующие свитчи.

Изучив руководство, решено делать так:
1. Объединяем наши 8 портов в группу коммутации. В моём случае прошивка будет последняя, где уже применяется коммутация в виде бриджа с поддержкой hw-offload.

/interface bridge
add name=bridge1 igmp-snooping=no protocol-mode=none
/interface bridge port
add bridge=bridge1 interface=eth-m hw=yes
add bridge=bridge1 interface=eth-37 hw=yes
add bridge=bridge1 interface=eth-v hw=yes
add bridge=bridge1 interface=eth-33 hw=yes
add bridge=bridge1 interface=eth-39 hw=yes
add bridge=bridge1 interface=eth-41 hw=yes
add bridge=bridge1 interface=eth-250 hw=yes
add bridge=bridge1 interface=eth-2 hw=yes

После этого мы получаем, грубо говоря, тупой свитч между этими портами, насколько я понял.

2.Задаем принадлежность vlan-id к портам доступа, которые будут отдавать пакеты без тега.

/interface ethernet switch ingress-vlan-translation
add ports=eth-v customer-vid=0 new-customer-vid=958 sa-learning=yes
add ports=eth-33 customer-vid=0 new-customer-vid=951 sa-learning=yes
add ports=eth-39 customer-vid=0 new-customer-vid=951 sa-learning=yes
add ports=eth-41 customer-vid=0 new-customer-vid=951 sa-learning=yes
add ports=eth-250 customer-vid=0 new-customer-vid=950 sa-learning=yes
add ports=eth-2 customer-vid=0 new-customer-vid=952 sa-learning=yes

3. Задаем принадлежность vlan-id к транковым портам, которые будут отдавать пакеты с тегами.

/interface ethernet switch egress-vlan-tag
add tagged-ports=eth-m vlan-id=950
add tagged-ports=eth-m vlan-id=951
add tagged-ports=eth-m vlan-id=952
add tagged-ports=eth-m vlan-id=958
add tagged-ports=eth-m vlan-id=959
add tagged-ports=eth-37 vlan-id=950
add tagged-ports=eth-37 vlan-id=951
add tagged-ports=eth-37 vlan-id=952
add tagged-ports=eth-37 vlan-id=959

Вот тут я чуть замешкался. В мануале рассматривается пример, когда транк (теггед) порт один, а у меня их два. И я создал два набора правил. Правильно это или нет?

4. Теперь прописываем вланы в таблице:
/interface ethernet switch vlan
add ports=eth-m,eth-37 vlan-id=959 learn=yes
add ports=eth-m,eth-v vlan-id=958 learn=yes
add ports=eth-m,eth-37,eth-2 vlan-id=952 learn=yes
add ports=eth-m,eth-37,eth-250 vlan-id=950 learn=yes
add ports=eth-m,eth-37,eth-33,eth-39,eth-41 vlan-id=951 learn=yes

5. А теперь, как я понял, мы задаем правило строгого соответствия, чтобы пакеты с левыми тегами или без тегов там, где они должны быть, отбрасывались и не передавались на порты. Если я неверно это понял, то поправьте, пожалуйста!

/interface ethernet switch
set drop-if-invalid-or-src-port-not-member-of-vlan-on-ports=eth-m,eth-v,eth-2,eth-37,eth-33,eth-39,eth-41,eth-250


В теории, всё должно после этого работать?

Есть ещё другой вопрос.
Как мне быть, если мне надо назначить на этом микротике некоторым вланам ай-пи адреса?
И как мне быть, если мне нужно будет поднять на данном микротике дхцп-сервер на какой-то из вланов? Судя по тому, что тут полноценная ОС, я так понимаю что всё это возможно.

Буду благодарен за проверку и комментарии. Спасибо.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Trueno писал(а):Столкнулся с ситуацией, когда надо разрулить несколько Вланов с большой утилизацией трафика - применять софт-роутер глупо.

/interface bridge
add name=bridge1 igmp-snooping=no protocol-mode=none

Что-то вас не понимаю. То пишите что софтовый бридж не хотите использовать, а сами первым делом его создаете.

Почитайте для начала: Настройка коммутатора MikroTik CRS125-24G-1S-RM


Александр
Ответить