Уважаемые ГУРУ!!!
Помогите с настройкой VLAN начинающему админу!!!
Несколько вечеров убито в пустую... (хотя чего греха таить уже неделя прошла... )
Задача наверняка совсем простая но вот решить ни как не могу...
Попытки настроить всегда делаю на "нулёвом" микротике (т.е. после "Reset configuration")
Условия:
Есть два Mikrotik RB951G-2HnD они соединены между собой двумя ethernet кабелями в 4 и 5 порт.
(могу один кабель убрать если он не нужен)
Есть два кабеля от провайдеров которые приходят в 1 и 2 порт первого Mikrotik.
Есть рабочая станция которая подсоединена в 3 порт первого Mikrotik.
Есть сервер с тремя сетевыми картами который будет выполнять роль шлюза который подключен ко второму Mikrotik в 1,2 и 3 порты.
Задача:
Нужно что бы приходящий из кабеля провайдеров "WAN" трафик попадал на второй Mikrotik а от туда на определённый интерфейс сервера и был изолирован от "LAN" трафика.
Ну и соответственно "LAN" трафик бегал с первого микротика на второй между сервером и рабочей станцией.
Вопросы:
1. Как я понял в такой конфигурации нужно создавать "транк" между двумя микротиками?
2. Правильно ли я понимаю что первый порт на данном устройстве не может участвовать в VLAN ?
3. Совсем запутался в понятиях тэгированный и не тегированный трафик.
Очень нуждаюсь в помощи!!!
Вот что пытался сделать своими силами:
Помощь в настройки VLAN между двумя Микротиками.
-
- Модератор
- Сообщения: 3298
- Зарегистрирован: 01 окт 2012, 14:48
Вы как-то торопитесь.
Зачем столько VLAN?
Ведь будет достаточного одного, а LAN трафик (как вы выражаетесь) останется не тегированным.
1. Грубо говоря между микротиками (или любыми другими сетевыми устройствами) всегда есть транк с тегом 1. Вы можете отправлять на разные порты любое нужное количество транков (тегов), и теги на разных портах могут повторятся. Поэтому, говорить о каком-то специальном транке не совсем корректно.
2. В разных документациях тегирование описывают по-разному, но в целом:
-порт в режиме trank (еще пишут tagged) - весь трафик тегирован, проходит только трафик с подходящим тегом, на порт может приходить несколько тегов, вплоть до 4096 штук. Понятно, что встречное оборудование также должно уметь работать с тегами.
-порт в режиме access (или untagged) - трафик на порту уже не тегирован, но дальше он тегируется, причем весь. Этот режим используют, когда в порт втыкается потребитель, не умеющий работать с тегами.
-порт в режиме mixed (иногда пишут general) - на порту есть тегированный и не тегированный трафик, какой именно, указывается руками. Самый ИМХО неправильный режим, очень трудно разруливаемый, если появляются проблемы.
3. Любой порт микротика может работать с VLAN. Порт условный WAN должен работать в режиме Access, то есть в строну провайдера трафик не тегирован, а в сторону LAN можно тегировать как угодно.
Итак. На обоих микротиках на 5-ом порту создаете, например, 100 VLAN. Соединяете их.
На обоих микротиках создаете по новому бриджу и в него добавляете 1-й порт Eth и 100 VLAN (именно VLAN, а не порт Eth5). К первым портам ставите два ноута и пингуете друг друга. Все должно пинговаться.
Чтобы понять как это работает, продолжаем, на 5-м порту Ethernet добавляете еще один VLAN 200, на обоих микротиках. Создаете еще по одному бриджу на каждом и объединяете в нем 2-й Ethernet порт и VLAN 200. Ставите еще два ноута. IP всем ноутам назначаем разные но из одной подсети. При этом будут пиноговаться ноуты на портах 1-1 и 2-2 и не будут 1-2 и 2-1.
В итоге: порты 5 Ethernet работают в режиме Trank, то есть трафик проходящий через них обе стороны тегирован. Порты 2 Ethernet работают в режиме Access, то есть принимают нетегированный трафик, а уходит он в коммутатор микротика уже тегированный.
Все это к вашей схеме не имеет никакого отношения, это нужно собрать, чтобы научиться работать с VLAN.
Обратите внимание, что серьезные серверы могут работать с тегированным трафиком, поглядите с свойствах сетевой карты.
ИМХО: несмотря на достаточные средства в Микротик для работы с VLAN, любой свитч второго уровня намного проще и удобнее.
Зачем столько VLAN?
Ведь будет достаточного одного, а LAN трафик (как вы выражаетесь) останется не тегированным.
1. Грубо говоря между микротиками (или любыми другими сетевыми устройствами) всегда есть транк с тегом 1. Вы можете отправлять на разные порты любое нужное количество транков (тегов), и теги на разных портах могут повторятся. Поэтому, говорить о каком-то специальном транке не совсем корректно.
2. В разных документациях тегирование описывают по-разному, но в целом:
-порт в режиме trank (еще пишут tagged) - весь трафик тегирован, проходит только трафик с подходящим тегом, на порт может приходить несколько тегов, вплоть до 4096 штук. Понятно, что встречное оборудование также должно уметь работать с тегами.
-порт в режиме access (или untagged) - трафик на порту уже не тегирован, но дальше он тегируется, причем весь. Этот режим используют, когда в порт втыкается потребитель, не умеющий работать с тегами.
-порт в режиме mixed (иногда пишут general) - на порту есть тегированный и не тегированный трафик, какой именно, указывается руками. Самый ИМХО неправильный режим, очень трудно разруливаемый, если появляются проблемы.
3. Любой порт микротика может работать с VLAN. Порт условный WAN должен работать в режиме Access, то есть в строну провайдера трафик не тегирован, а в сторону LAN можно тегировать как угодно.
Итак. На обоих микротиках на 5-ом порту создаете, например, 100 VLAN. Соединяете их.
На обоих микротиках создаете по новому бриджу и в него добавляете 1-й порт Eth и 100 VLAN (именно VLAN, а не порт Eth5). К первым портам ставите два ноута и пингуете друг друга. Все должно пинговаться.
Чтобы понять как это работает, продолжаем, на 5-м порту Ethernet добавляете еще один VLAN 200, на обоих микротиках. Создаете еще по одному бриджу на каждом и объединяете в нем 2-й Ethernet порт и VLAN 200. Ставите еще два ноута. IP всем ноутам назначаем разные но из одной подсети. При этом будут пиноговаться ноуты на портах 1-1 и 2-2 и не будут 1-2 и 2-1.
В итоге: порты 5 Ethernet работают в режиме Trank, то есть трафик проходящий через них обе стороны тегирован. Порты 2 Ethernet работают в режиме Access, то есть принимают нетегированный трафик, а уходит он в коммутатор микротика уже тегированный.
Все это к вашей схеме не имеет никакого отношения, это нужно собрать, чтобы научиться работать с VLAN.
Обратите внимание, что серьезные серверы могут работать с тегированным трафиком, поглядите с свойствах сетевой карты.
ИМХО: несмотря на достаточные средства в Микротик для работы с VLAN, любой свитч второго уровня намного проще и удобнее.
-
- Сообщения: 18
- Зарегистрирован: 05 май 2014, 21:46
- Откуда: Санкт-Петербург
В первую очередь хочу сказать спасибо за столь оперативный и грамотный ответ!!!
Данное упражнение обязательно выполню дабы "прочувствовать" технологию.
То есть делаем как то так:
Возник вопрос если провайдер выдаёт DHCP по MAC то я ведь не должен на VLAN или Bridge вешать MAC?
А если вернуться к ТЗ то вот так будет выглядеть полная картина?
Меня смущает что первый и второй провайдеры будут в одном Bridge а значит трафик там будет смешиваться это нормально\безопасно?
Или я перегибаю\не понимаю тут? То есть не должны ли они быть в разных широковещательных доменах?
Сильно не пинайте просто начитался массы всего вот и спрашиваю...
9639 Intel NetCardPCIE1 1GB EXPI9301CTBLK я думаю у неё поддержка VLAN есть. Там будет Xen Server но это уже совсем другая история... Сейчас бы просто понять азы...
Дело в том что эти девайсы достались в подарок. То что VLAN проще настраивается на каком нибудь HP V1905 я понимаю.
Данное упражнение обязательно выполню дабы "прочувствовать" технологию.
То есть делаем как то так:
Возник вопрос если провайдер выдаёт DHCP по MAC то я ведь не должен на VLAN или Bridge вешать MAC?
А если вернуться к ТЗ то вот так будет выглядеть полная картина?
Меня смущает что первый и второй провайдеры будут в одном Bridge а значит трафик там будет смешиваться это нормально\безопасно?
Или я перегибаю\не понимаю тут? То есть не должны ли они быть в разных широковещательных доменах?
Сильно не пинайте просто начитался массы всего вот и спрашиваю...
Обратите внимание, что серьезные серверы могут работать с тегированным трафиком, поглядите с свойствах сетевой карты.
9639 Intel NetCardPCIE1 1GB EXPI9301CTBLK я думаю у неё поддержка VLAN есть. Там будет Xen Server но это уже совсем другая история... Сейчас бы просто понять азы...
ИМХО: несмотря на достаточные средства в Микротик для работы с VLAN, любой свитч второго уровня намного проще и удобнее.
Дело в том что эти девайсы достались в подарок. То что VLAN проще настраивается на каком нибудь HP V1905 я понимаю.
-
- Модератор
- Сообщения: 3298
- Зарегистрирован: 01 окт 2012, 14:48
Вы торопитесь, не решив одну задачу, сразу вторую навешиваете.
С сетями так нельзя, даже, если наскоком и чудным образом все это заработает, потом, рулить всем этим хозяйством будет практически невозможно. Особенно, если что-то придется поменять, эдак через полгодика, когда в памяти сотрется ложное ощущение уверенности понимания, как все это работает.
1. Вы все верно поняли. И общие принципы уловили. Разбираться в вашей конкретной задаче - трудное и неблагодарное дело. Но на вид стало лучше, чем в посте выше.
2. По поводу двух провайдеров: первое, что необходимо решить четко и однозначно - зачем??? Будет ли это распределение нагрузки в целом, требуется ли отаказоустойчивость, или часть инета будет открывать один провайдер, а все остальное другой? Требуется ли port-mapping для ваших клиентов (есть разные чудо провайдеры, с пробросом портов можно намучится не меньше, чем в VLAN). Далее, настроить пока временно все через первого, затем отключив его, настроить все на второго. Убедиться, что все работает, потом читать здесь viewtopic.php?f=15&t=3280
3. По-поводу MAC, то ничего вешать никуда не надо. По-умолчанию, все порты Eth имеют свой MAC адрес. "Показав" провайдеру Eth1 вы можете просто попросить техподдержку перерегистрировать MAC. Если это проблематично, то можно подсунуть нужный MAC вручную.
/interface ethernet set ether1 mac-address=XX:XX:XX:XX:XX:XX. При этом VLAN и бриджы - все это прерогатива вашей внутренний сети, точнее ее организации, это никакого отношения к провайдеру не имеет.
Не знаю, как у вас там все дальше устроено, но в моем понятии, дальше включается маскарадинг (NAT) и "плевали мы на провайдера".
С сетями так нельзя, даже, если наскоком и чудным образом все это заработает, потом, рулить всем этим хозяйством будет практически невозможно. Особенно, если что-то придется поменять, эдак через полгодика, когда в памяти сотрется ложное ощущение уверенности понимания, как все это работает.
1. Вы все верно поняли. И общие принципы уловили. Разбираться в вашей конкретной задаче - трудное и неблагодарное дело. Но на вид стало лучше, чем в посте выше.
2. По поводу двух провайдеров: первое, что необходимо решить четко и однозначно - зачем??? Будет ли это распределение нагрузки в целом, требуется ли отаказоустойчивость, или часть инета будет открывать один провайдер, а все остальное другой? Требуется ли port-mapping для ваших клиентов (есть разные чудо провайдеры, с пробросом портов можно намучится не меньше, чем в VLAN). Далее, настроить пока временно все через первого, затем отключив его, настроить все на второго. Убедиться, что все работает, потом читать здесь viewtopic.php?f=15&t=3280
3. По-поводу MAC, то ничего вешать никуда не надо. По-умолчанию, все порты Eth имеют свой MAC адрес. "Показав" провайдеру Eth1 вы можете просто попросить техподдержку перерегистрировать MAC. Если это проблематично, то можно подсунуть нужный MAC вручную.
/interface ethernet set ether1 mac-address=XX:XX:XX:XX:XX:XX. При этом VLAN и бриджы - все это прерогатива вашей внутренний сети, точнее ее организации, это никакого отношения к провайдеру не имеет.
Не знаю, как у вас там все дальше устроено, но в моем понятии, дальше включается маскарадинг (NAT) и "плевали мы на провайдера".
-
- Сообщения: 18
- Зарегистрирован: 05 май 2014, 21:46
- Откуда: Санкт-Петербург
Вы торопитесь, не решив одну задачу, сразу вторую навешиваете.
С сетями так нельзя, даже, если наскоком и чудным образом все это заработает, потом, рулить всем этим хозяйством будет практически невозможно. Особенно, если что-то придется поменять, эдак через полгодика, когда в памяти сотрется ложное ощущение уверенности понимания, как все это работает.
Возможно вы правы... Но просто очень уж хочется решить задачу.
1. Вы все верно поняли. И общие принципы уловили. Разбираться в вашей конкретной задаче - трудное и неблагодарное дело. Но на вид стало лучше, чем в посте выше.
Спасибо, без вашей подсказки не чего бы не вышло.
2. По поводу двух провайдеров: первое, что необходимо решить четко и однозначно - зачем??? Будет ли это распределение нагрузки в целом, требуется ли отаказоустойчивость, или часть инета будет открывать один провайдер, а все остальное другой? Требуется ли port-mapping для ваших клиентов (есть разные чудо провайдеры, с пробросом портов можно намучится не меньше, чем в VLAN). Далее, настроить пока временно все через первого, затем отключив его, настроить все на второго. Убедиться, что все работает, потом читать здесь viewtopic.php?f=15&t=3280
Да тут всё просто... Данная схема это ни что иное как домашняя сетка в которой буду "тренероваться на кошках".
Два провайдера это для эксперементов с OPEN VPN и IPSEC так как в реальных сетях можно столкнуться со всеми сложностами в виде NAT и прочего... Я думаю это будет лучше чем поднимать тунели между двумя "сферическими сетями в вакууме".
Ну а в дальнейшем после окончания всех эксперементов конечно хотелось бы получить шлюз с умной балансировкой нагрузки... Но это уже совсем другая история.
3. По-поводу MAC, то ничего вешать никуда не надо. По-умолчанию, все порты Eth имеют свой MAC адрес. "Показав" провайдеру Eth1 вы можете просто попросить техподдержку перерегистрировать MAC. Если это проблематично, то можно подсунуть нужный MAC вручную.
/interface ethernet set ether1 mac-address=XX:XX:XX:XX:XX:XX. При этом VLAN и бриджы - все это прерогатива вашей внутренний сети, точнее ее организации, это никакого отношения к провайдеру не имеет.
Не знаю, как у вас там все дальше устроено, но в моем понятии, дальше включается маскарадинг (NAT) и "плевали мы на провайдера".
В данной схеме Mikrotik пока будут выступать просто как два смарт свитча... Всё остальное будет на виртуальных Linux серверах.
Спасибо вам ещё раз за ценную информацию!