про vlan

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Подскажите, никогда не работал с vlan.

У меня есть Микротик, имеющий один eth-интерфейс. Интернет он получает с модема. Этот единственный eth1-интенфейс естественно используется для локальной сети. Плюс есть wifi-интерфейс. У eth1 и wifi, связанных в bridge, имеется общий DHCP-сервер с одним пулом адресов.

Пришла пора организовать скажем больше одной - две или три подсети на одном eth-интерфейсе. Как это сделать ?

Первое (и, наверное, единственное, что приходит в голову) - использовать vlan.

Делаю, скажем для eth1 два vlana: vlan1 и vlan2.

Нужно, чтобы старая (ранее существующая локалка) осталась для vlan1 и wifi со своей прежней адресацией - пусть будет 192.168.88.0/24, а vlan2 получала другие адреса - допустим 192.168.77.0/24

Как нужно делать - вывести eth1 из bridge, вместо него туда добавить vlan1 и wifi (чтобы старая сеть осталась без изменений)
Создать еще один бридж - пусть будет bridge-new и туда добавить vlan2.
Плюс дать адресацию новому бриджу в adresses 192.168.77.0/24. И включить на него DHCP-сервер со своим пулом адресов из этого диапазона.

Так вроде ? Или не правильно ? Поправьте, пожалуйста, если что не так.

Возникает вопрос, адрес из какого диапазона будут получать по DHСP теперь устройства, подключенные к eth1 ? Как "сказать" устройствам, что ты будешь в vlan1, а ты в vlan2 ?
Со статикой вероятно проще - жестко на самом устройстве указывается и получает, а вот как с динамическими адресами ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а): 09 янв 2019, 13:14 Подскажите, никогда не работал с vlan.
Главное аккуратно, и не сломать что-то из того, что работало! :-)
Sertik писал(а): 09 янв 2019, 13:14 У меня есть Микротик, имеющий один eth-интерфейс. Интернет он получает с модема. Этот единственный eth1-интенфейс естественно используется для локальной сети. Плюс есть wifi-интерфейс. У eth1 и wifi, связанных в bridge общий DHCP-сервер с одним пулом адресов.
Пришла пора организовать скажем больше одной - две или три подсети на одном eth-интерфейсе. Как это сделать ?
Взять и сделать, глаза бояться - руки делают.
Sertik писал(а): 09 янв 2019, 13:14 Первое (и, наверное, единственное, что приходит в голову) - использовать vlan.
Делаю, скажем для eth1 два vlana: vlan1 и vlan2.
Если порт в составе бриджа, то на бридже делают виланы
Sertik писал(а): 09 янв 2019, 13:14 Нужно, чтобы старая (ранее существующая локалка) осталась для vlan1 и wifi со своей прежней адресацией - пусть будет 192.168.88.0/24, а vlan2 получала другие адреса - допустим 192.168.77.0/24
Как нужно делать - вывести eth1 из bridge, вместо него туда добавить vlan1 и wifi (чтобы старая сеть осталась без изменений)
Можно и лучше ничего не выводить, пусть на бридже будет основной (НЕ-тегированный) трафик, а уже отдельные (НОВЫЕ) сети
делайте на базе виланов.
Создаёте vlan10 и vlan20 на основном бридже. Всё, роутер на этом бридже (на входе) будет ждать/отправлять тегированный
трафик с тегами 10 и 20.
Теперь уже после того как Вы создали виланы, надо их логику настроить.
Sertik писал(а): 09 янв 2019, 13:14 Создать еще один бридж - пусть будет bridge-vlan10 и туда добавить vlan10.
Выделил зелёным что скорректировал.
Sertik писал(а): 09 янв 2019, 13:14 Плюс дать адресацию новому бриджу в adresses 192.168.77.0/24. И включить на него DHCP-сервер со своим пулом адресов из этого диапазона.
Наверно не включить, а на этот бридж (на bridge-vlan10) повесить адрес, и уже на этом бридже
настраивать DCHP который будет в вилане 10 работать.
Sertik писал(а): 09 янв 2019, 13:14 Так вроде ? Или не правильно ? Поправьте, пожалуйста, если что не так.
Поправил что заметил. Много суеты....Спокойствие.
Sertik писал(а): 09 янв 2019, 13:14 Возникает вопрос, адрес из какого диапазона будут получать по DHСP теперь устройства, подключенные к eth1 ? Как "сказать" устройствам, что ты будешь в vlan1, а ты в vlan2 ?
Бридж как был у Вас основной так и остался, там бегает обычный трафик и обычная адресация (по-Вашему сказал).
Остальной трафик идёт тегированный, и он при входе/выходе тегируется/растегируется, а уже второй/третий DHCP
для микротика - не важно.
Sertik писал(а): 09 янв 2019, 13:14 Со статикой вероятно проще - жестко на самом устройстве указывается и получает, а вот как с динамическими адресами ?
Этот вопрос не понял....

P.S.
Специально для Вас привожу картинку(не стал ничего скрывать), как у меня на точке сделана отдельная сеть гостевая, она сделана
отдельным виланом, отдельно у неё адресация и так далее....логика на картинке показана именно как с виланом всё сделать.
А уж DHCP настроите уж точно, тут настраивать что на одном, что на двух, что на трёх бриджах = одинаково.

Изображение



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Можете оставить текущую конфигурацию без изменений и считать что эта сеть у вас в 1м влане. Дальше повесить на имеющийся бридж нужные вланы, кроме первого, задать им адреса и настроить все необходимое для этих сетей, а на свиче поймать все эти вланы как: 1й влан - как access порт для того порта в свиче куда воткнут микротик (поумолчанию скорее всего он и так таковым является), все остальные вланы ловите на этом порту как тегированные, ну а дальше все от вас и ваших хотелок зависит.


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Спасибо, правда больше половины не понял пока ...

Главное осталось не ясным - если у Микротика один порт eth, на котором допустим несколько вланов, у каждого влана свой DHCP-сервер, то как устройства в одной физической сети будут получать адреса динамические и кто с какого влана ? Или это определяется уже на коммутаторе ? Или сетевые карты этих устройств определяют в каком влане они будут сидеть (то есть на сетевухах указывать vlan-id, для тех ПК, которые это умеют ?)


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а): 09 янв 2019, 13:50 Спасибо, правда больше половины не понял пока ...
:-(
Sertik писал(а): 09 янв 2019, 13:50 Главное осталось не ясным - если у Микротика один порт eth, на котором допустим несколько вланов, у каждого влана свой DHCP-сервер, то как устройства в одной физической сети будут получать адреса динамические и кто с какого влана ?
Путаете понятия. Физически сеть одна (кабеля, патч-корды, активное оборудование), а уже виланом Вы нарезаете (создаёте) внутри
физической сети вторую/третью сеть. Пакеты которые относятся к вилану10 = будут иметь метку, вилана 10, поэтому свитчи,
и микротик будут работать согласно этой метки.

Давайте попробуем на аллегориях:
У Вас труба большая основная (это основной провод и основная сеть), там скажем идёт основной трафик, внутри этой
трубы идёт маленькая трубка внутри которой уже идёт отдельное (другое вещество). И на входе и на выходе и по пути
следования - вещества не смешиваются(не пересекаются).
Sertik писал(а): 09 янв 2019, 13:50 Или это определяется уже на коммутаторе ? Или сетевые карты этих устройств определяют в каком влане они будут сидеть (то есть на сетевухах указывать vlan-id, для тех ПК, которые это умеют ?)
Вообще обычно делают так: вилан вошёл в сеть = прошёл коммутаторы, "погулял" и пришёл куда надо, на последнем управляемом свитче,
тег вилана снимается (то есть делаем трафик обычный, не тегируемый) и отдаём в порт свитча, куда подключён компьютер.
То есть пришёл вилан 10, на порту свитча вышел трафик и для компа он будет обычный трафик, но обратно, с компа трафик
войдёт в порт, его свитч обернёт виланом 10 и дальше этот трафик с меткой вилан10 будет бегать по магистралям и никому
не мешать.

Ну как-то так....

P.S.
Почитайте что такое PVID - это самое сложное.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Блин, я как бы понимаю суть-то. Если без аллегорий ...

Пусть я оставлю свою сеть как есть, сделаю еще один бридж и на него повешу влан - это будет вторая подсеть. (см. выше), у Вас также сделано, судя по картинке и описанию. НО порт то eth у этого Микротика всё равно один. Я не путаю понятия физики и виртуалки.
Значит чтобы вся эта хрень заработала, нужно иметь коммутатор, который умеет работать с вланами. Микротик включить проводом в него, а его уже подключить проводами к старой (не тегированной) сети и новой (тегированной) влан. Тогда, понятно, и DHCP заработают как надо - старая сеть будет получать адреса от старого DHCP, а новая - от нового, т.к. коммутатор уже не даст им смешиваться и мешать друг другу.

Вот это мне было важно понять - как через физический один интерфейс будут работать не мешая друг другу два (или больше) DHCP-сервера.

Теперь я правильно понял ? Главное тут КОММУТАТОР, умеющий влан.
Как у Вас - верхняя картинка строка 4 не зря там написано в комментариях, что всё это идет в "SW2 port 15 LAN+VLAN", то есть Микротик этот Ваш втыкается кабелем в какой-то управляемый свич, туда и приходят тегированная и не тегированная сети и оттуда расходятся уже каждая к себе.


Если бы у Микротика этого был не один eth-порт, то и вланить бы не нужно было бы. Дал каждому порту свои адреса и всё.

А вот для wifi если делать vlanы, то в роли "управляемого коммутатора" выступает уже сам Микрот, потому, что всё равно вещаются в эфир разные завланенные wifi-подсети со своими именами и другими аттрибутами.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) ну в целом Вы аллегорию уловили и вроде поняли

2) естественно - виланы = технология которая как бы должна быть
с двух сторон (условно). На одной стороне "упаковали", на другой вытащили,
ну и также обратно.

3) коммутатор конечно должен быть управляемым или просто уметь делать/управлять
виланами и иметь возможность тот или иной порт присоединять/извлекать/запрещать
в тот или иной вилан.
3.1) Изучать виланы на микротиках = не совсем хорошо, по себе могу сказать,
что даже зная виланы, в микротиках они для меня не с первого раза дались.

4) Есть симметричные и асиметричные виланы, симметричные, когда на порту
идут сразу 2-4 виланов и нет на этом порту Не-тегированного трафика.
Соответственно PVID делать не надо, порт становиться транковым (название из циски
взято, означающее что данный порт пропускает тегированный трафик).
Ассиметричный вилан = это когда на порту 1-2 вилана тегированный и один вилан Не-тегированный,
при таком раскладе обязательно надо Не-тегированному вилану указывать PVID.
4.1) умный/смарт-свитч без явной настройки - тегированный трафик не пропустит, потому
что ему нужно чётко знать что делать с виланом 10 или с виланом 20 и куда их отдавать.
Поэтому в сети организации виланы надо прописывать явно.
"Тупые" свитчи/хабы = работают на уровне коммутации и в заголовок пакета не лезут.
Пропустят всё и вся.

5) Виланы позволяют по одной "физике", то есть по одному порту пустить 2-3-5 разных видов
трафика, которые никогда между собой не соприкоснутся. На одной стороне эти виды трафиков
маркируют в виде разных виланов, на другой стороне снимают с них и/или с одного тег и отдают
в порт и далее уже клиенту/компу, или могут прямо тегированным подать, как раз микротик,
как роутер умеет обрабатывать трафик такой сразу.

6) Советую не связывать(сопоставлять) изучение виланов сразу с DHCP, это разные вещи,
виланы = это виртуальная физика, её надо понять, настроить, увидеть МАК-адресацию
роутеров/свитчей/компов в рамках одного вилана, и уже на базе этого можно сделать
вывод получилось у Вас или нет передать тегированный трафик.
DHCP это уже сервис лишь и в данном случаи это как следующий шаг.

P.S.
Написал своими словами. Лучше почитайте, погуглите, да и тут есть хороший FAQ - обязательно
надо ознакомиться. Я лично считаю что виланы надо знать обязательно и раньше, ибо это
основа коммутации.....и она чаще встречается, чем маркировка трафика и каналов.
И да, вилан-тег делается на одном устройстве и до явной настройки на другом коммутаторе,
тег этот не снимается и не удаляется. (А вот маркировки каналов существуют лишь в рамках
роутера и только внутри).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Спасибо !

Особенно в Вланы я влезать не хотел, так чтобы их изучать, но может и дойдут руки, пригодится. Я же не сетевик.
Но Вам за всё огромное спасибо всегда.

Просто стоит реальная задача - на Микротике с одним eth портом сделать несколько локальных сетей.

Насчет коммутаторов не очень понял. Мне то под мою задачу какой нужен ?
Если будет коммутатор, который не понимает влан, тогда как он разделит трафик ? В том числе если Микротик по dhcp будет раздавать адреса для двух локалок через один порт eth, то как устройства получат адреса соответствующих подсетей ?
Ведь именно на коммутаторе я смогу сказать, что вот скажем в 5-й порт коммутатора включена влан10, а в третий - не тегированная сеть. Тогда понятно куда кто пойдет и кто-что получит. А Микротик то до коммутатора гонит всё по одному порту физическому пусть и с разными заголовками - "разгребает" то коммутатор ?
Так я понимаю ?
Значит мне, при наличии моего убогого Микротика с одним eth для решения МОЕЙ задачи ОБЯЗАТЕЛЬНО придется покупать коммутатор, умеющий Вланить ? Так ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а): 09 янв 2019, 17:41 Просто стоит реальная задача - на Микротике с одним eth портом сделать несколько локальных сетей.
Таких задач масса, всё решаемо и всё делается. Бывает так, что есть одна сетевая карта,
а надо 2-3 разных вида трафика пустить = на помощь приходят виланы.
Надо между узлами/комнатами пустить трафик ещё какой-то, витая пара одна, значит
надо виланы с двух сторон сделать.
Sertik писал(а): 09 янв 2019, 17:41 Насчет коммутаторов не очень понял. Мне то под мою задачу какой нужен ?
Ну я ж задач не знаю, или самый простой коммутатор, который работает с виланами,
или попросту купить микротик 931/941 серии (самые дешёвые модели) и их
использовать с другой стороны как коммутатор (аксесс свитч).
Sertik писал(а): 09 янв 2019, 17:41 Если будет коммутатор, который не понимает влан, тогда как он разделит трафик ?
Плохо Вы меня читаете, обидно - "тупой" коммутатор (не управляемый, настольный) которые за 1500-2500 руб
продаются, они тупые, они не будут делить трафик, прочтите выше, тупые свитчи/хабы просто тупо
всё пропускают, для них такой трафик = обычный.
А вот умный/интеллектуальный коммутатор уже увидеть тег в пакете и если настроено условия = будет следовать настройкам,
а если условий/настройки нет, - значит такие пакеты будут "умирать" внутри коммутатора.
Sertik писал(а): 09 янв 2019, 17:41 В том числе если Микротик по dhcp будет раздавать адреса для двух локалок через один порт eth, то как устройства получат адреса соответствующих подсетей ?
Ведь именно на коммутаторе я смогу сказать, что вот скажем в 5-й порт коммутатора включена влан10, а в третий - не тегированная сеть. Тогда понятно куда кто пойдет и кто-что получит. А Микротик то до коммутатора гонит всё по одному порту физическому пусть и с разными заголовками - "разгребает" то коммутатор ?
Так я понимаю ?
Опять DHCP :-) :-)
Когда делают виланы, виланы считаются что заработали, когда видят два МАК-адреса удалённых друг от друга
устройств. Виланы = это уровень L2-трафика.
Разгребают оба и оба снова гребут:

То есть ушёл от ТОЧКИ трафик, при выходе, трафик за-тегировался, дошёл до коммутатора,
попал туда, коммутатор прочитал тег, увидел там вилан 10, посмотрел, к вилану 10 относятся
порты 5, 7 и 12, туда этот трафик и пойдёт, но у портов 5 и 7 трафик будет не-тегированный,
то есть при выходе снимется тег, а 12 порт настроен "транком", то есть туда трафик придёт,
и с 12 порта уйдёт неизменно, также с тегом пойдёт дальше (скажем на другой свитч и транк-порт).
Обратное действие: пришёл ответ, зашли пакеты в 5й порт, трафик пришёл не-тегированный,
коммутатор проверил, что PVID у 5-го порта стоит вилан10, обернул трафик пришёдший виланом
10, и уже запулил в транковые порты, и в другие порты члены которого принадлежат вилан10.
Всё....это как рация на канале, включили две рации на каком то узком хитром канале,
только Вы и разговариваете, чужих нет.
Sertik писал(а): 09 янв 2019, 17:41 Значит мне, при наличии моего убогого Микротика с одним eth для решения МОЕЙ задачи ОБЯЗАТЕЛЬНО придется покупать коммутатор, умеющий Вланить ? Так ?
Да, так, ==> дешёвый умный свитч или микротик в качестве свитча, если трафика (потока) в рамках обычных скоростей и нагрузки.

P.S.
Почитайте ещё раз....поиграйтесь на столе, надо понять суть виланов, ну и
вопросы (даже для Вас, якобы далёкого от сети) всё же очень наивные и простейшие.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Тогда еще наивный и простейший вопрос, если можно. Типа лабораторной работы скажем (просто для понимания):

Если у Микротика несколько eth-портов, один пусть eth1 - как обычно wan, остальные 2-5 lan и в бридже1
Делаем бридж2, на него вешаем влан.
Тогда любой физический LAN порт 2-5 будет получать (сможет проводить) тегированный трафик ? То есть тупо проводок для vlan я могу подключать к любому eth2-5 порту ?
А если с бриджем2 будет сбриджёван скажем eth5 (естественно, он выведен из бриджа1), то тогда vlan пойдет только по пятому eth?

Еще вопрос - что за пункт vlans непосредственно в самом меню бридж (это ведь появилось вроде как только в с РОС 6.42Х. ?)

Случайно обнаружил странный косяк РОС 6.43.8 - при нажатии на кнопку "+" в меню Интерфейсов (хотел добавить интерфейс) вылезает кучка вариантов интерфейсов - как обычно. Случайно "промахнулся" мимо vlan и нажал на "Virtual Internet" - WINBOX просто сразу вылетел. Ну глюк подумал, что то случайно.
Повторил - тоже самое ... Ошибка видно разработчиков.
Не знаю что такое интерфейс "Virtual Internet" (может коротенечко просвятите) но, Винбох-то вылетать не должен в любом случае - ну ошибку какую-нибудь бы выдал что-ли ... Это случилось на ARM-архитектуре (RB450Gx4), раньше никогда на эту капу не жал ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Закрыто