Помощь в настройки VLAN между двумя Микротиками.

Обсуждение оборудования и его настройки
Ответить
George
Сообщения: 18
Зарегистрирован: 05 май 2014, 21:46
Откуда: Санкт-Петербург

Уважаемые ГУРУ!!!
Помогите с настройкой VLAN начинающему админу!!!
Несколько вечеров убито в пустую... (хотя чего греха таить уже неделя прошла... :ny_tik: )
Задача наверняка совсем простая но вот решить ни как не могу...
Попытки настроить всегда делаю на "нулёвом" микротике (т.е. после "Reset configuration")

Условия:
Есть два Mikrotik RB951G-2HnD они соединены между собой двумя ethernet кабелями в 4 и 5 порт.
(могу один кабель убрать если он не нужен)
Есть два кабеля от провайдеров которые приходят в 1 и 2 порт первого Mikrotik.
Есть рабочая станция которая подсоединена в 3 порт первого Mikrotik.
Есть сервер с тремя сетевыми картами который будет выполнять роль шлюза который подключен ко второму Mikrotik в 1,2 и 3 порты.

Задача:
Нужно что бы приходящий из кабеля провайдеров "WAN" трафик попадал на второй Mikrotik а от туда на определённый интерфейс сервера и был изолирован от "LAN" трафика.
Ну и соответственно "LAN" трафик бегал с первого микротика на второй между сервером и рабочей станцией.

Вопросы:
1. Как я понял в такой конфигурации нужно создавать "транк" между двумя микротиками?
2. Правильно ли я понимаю что первый порт на данном устройстве не может участвовать в VLAN ?
3. Совсем запутался в понятиях тэгированный и не тегированный трафик.
Очень нуждаюсь в помощи!!!

Вот что пытался сделать своими силами:
 

Код: Выделить всё

/interface ethernet switch port
set 1 vlan-header=always-strip vlan-mode=secure
set 2 vlan-header=always-strip vlan-mode=secure
set 3 vlan-header=always-strip vlan-mode=secure
set 4 vlan-header=always-strip vlan-mode=secure
set 5 vlan-header=add-if-missing vlan-mode=secure

/interface ethernet switch rule
add new-dst-ports=ether1 ports=ether5 switch=switch1 vlan-header=present vlan-id=10
add new-dst-ports=ether2 ports=ether5 switch=switch1 vlan-header=present vlan-id=20
add new-dst-ports=ether3 ports=ether5 switch=switch1 vlan-header=present vlan-id=30
add new-dst-ports=ether4 ports=ether5 switch=switch1 vlan-header=present vlan-id=40
add new-dst-ports=ether5 new-vlan-id=10 ports=ether1 switch=switch1 vlan-header=not-present
add new-dst-ports=ether5 new-vlan-id=20 ports=ether2 switch=switch1 vlan-header=not-present
add new-dst-ports=ether5 new-vlan-id=30 ports=ether3 switch=switch1 vlan-header=not-present
add new-dst-ports=ether5 new-vlan-id=40 ports=ether4 switch=switch1 vlan-header=not-present

/interface ethernet switch vlan
add ports=ether5 switch=switch1 vlan-id=10
add ports=ether5 switch=switch1 vlan-id=20
add ports=ether5 switch=switch1 vlan-id=30
add ports=ether5 switch=switch1 vlan-id=40
add ports=ether1,ether2,ether3,ether4 switch=switch1 vlan-id=0


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Вы как-то торопитесь.

Зачем столько VLAN?
Ведь будет достаточного одного, а LAN трафик (как вы выражаетесь) останется не тегированным.

1. Грубо говоря между микротиками (или любыми другими сетевыми устройствами) всегда есть транк с тегом 1. Вы можете отправлять на разные порты любое нужное количество транков (тегов), и теги на разных портах могут повторятся. Поэтому, говорить о каком-то специальном транке не совсем корректно.
2. В разных документациях тегирование описывают по-разному, но в целом:
-порт в режиме trank (еще пишут tagged) - весь трафик тегирован, проходит только трафик с подходящим тегом, на порт может приходить несколько тегов, вплоть до 4096 штук. Понятно, что встречное оборудование также должно уметь работать с тегами.
-порт в режиме access (или untagged) - трафик на порту уже не тегирован, но дальше он тегируется, причем весь. Этот режим используют, когда в порт втыкается потребитель, не умеющий работать с тегами.
-порт в режиме mixed (иногда пишут general) - на порту есть тегированный и не тегированный трафик, какой именно, указывается руками. Самый ИМХО неправильный режим, очень трудно разруливаемый, если появляются проблемы.
3. Любой порт микротика может работать с VLAN. Порт условный WAN должен работать в режиме Access, то есть в строну провайдера трафик не тегирован, а в сторону LAN можно тегировать как угодно.


Итак. На обоих микротиках на 5-ом порту создаете, например, 100 VLAN. Соединяете их.
На обоих микротиках создаете по новому бриджу и в него добавляете 1-й порт Eth и 100 VLAN (именно VLAN, а не порт Eth5). К первым портам ставите два ноута и пингуете друг друга. Все должно пинговаться.

Чтобы понять как это работает, продолжаем, на 5-м порту Ethernet добавляете еще один VLAN 200, на обоих микротиках. Создаете еще по одному бриджу на каждом и объединяете в нем 2-й Ethernet порт и VLAN 200. Ставите еще два ноута. IP всем ноутам назначаем разные но из одной подсети. При этом будут пиноговаться ноуты на портах 1-1 и 2-2 и не будут 1-2 и 2-1.

В итоге: порты 5 Ethernet работают в режиме Trank, то есть трафик проходящий через них обе стороны тегирован. Порты 2 Ethernet работают в режиме Access, то есть принимают нетегированный трафик, а уходит он в коммутатор микротика уже тегированный.

Все это к вашей схеме не имеет никакого отношения, это нужно собрать, чтобы научиться работать с VLAN.

Обратите внимание, что серьезные серверы могут работать с тегированным трафиком, поглядите с свойствах сетевой карты.

ИМХО: несмотря на достаточные средства в Микротик для работы с VLAN, любой свитч второго уровня намного проще и удобнее.


George
Сообщения: 18
Зарегистрирован: 05 май 2014, 21:46
Откуда: Санкт-Петербург

В первую очередь хочу сказать спасибо за столь оперативный и грамотный ответ!!!

Данное упражнение обязательно выполню дабы "прочувствовать" технологию.

То есть делаем как то так:
 

Код: Выделить всё

/interface vlan
add name=vlan100 vlan-id=100 interface=ether5

/interface bridge add name="Bridge1" disabled=no
/interface bridge port add interface=ether1 bridge=Bridge1
/interface bridge port add interface=vlan100 bridge=Bridge1



Возник вопрос если провайдер выдаёт DHCP по MAC то я ведь не должен на VLAN или Bridge вешать MAC?

А если вернуться к ТЗ то вот так будет выглядеть полная картина?
 

Код: Выделить всё

На первом Mikrotik

/interface vlan
add name=vlan100 vlan-id=100 interface=ether5

/interface bridge add name="Bridge1" disabled=no
/interface bridge port add interface=ether1 bridge=Bridge1   #Это интерфейс для кабеля первого провайдера
/interface bridge port add interface=ether2 bridge=Bridge1   #Это интерфейс для кабеля второго провайдера
/interface bridge port add interface=vlan100 bridge=Bridge1

/interface bridge add name="Bridge2" disabled=no
/interface bridge port add interface=ether3 bridge=Bridge2 #Это интерфейс для кабеля от рабочей станции
/interface bridge port add interface=ether5 bridge=Bridge2 #Это интерфейс для кабеля идущего ко второму Mikrotik


На втором Mikrotik
/interface vlan
add name=vlan100 vlan-id=100 interface=ether5

/interface bridge add name="Bridge1" disabled=no
/interface bridge port add interface=ether1 bridge=Bridge1   #Это интерфейс для кабеля сервера под первого провайдера
/interface bridge port add interface=ether2 bridge=Bridge1   #Это интерфейс для кабеля сервера под второго провайдера
/interface bridge port add interface=vlan100 bridge=Bridge1

/interface bridge add name="Bridge2" disabled=no
/interface bridge port add interface=ether3 bridge=Bridge2 #Это интерфейс для кабеля от "LAN" интерфейса сервера.
/interface bridge port add interface=ether5 bridge=Bridge2 #Это интерфейс для кабеля идущего к первому Mikrotik


Меня смущает что первый и второй провайдеры будут в одном Bridge а значит трафик там будет смешиваться это нормально\безопасно?
Или я перегибаю\не понимаю тут? То есть не должны ли они быть в разных широковещательных доменах?
Сильно не пинайте просто начитался массы всего вот и спрашиваю... :ne_vi_del:

Обратите внимание, что серьезные серверы могут работать с тегированным трафиком, поглядите с свойствах сетевой карты.

9639 Intel NetCardPCIE1 1GB EXPI9301CTBLK я думаю у неё поддержка VLAN есть. Там будет Xen Server но это уже совсем другая история... Сейчас бы просто понять азы...


ИМХО: несмотря на достаточные средства в Микротик для работы с VLAN, любой свитч второго уровня намного проще и удобнее.


Дело в том что эти девайсы достались в подарок. То что VLAN проще настраивается на каком нибудь HP V1905 я понимаю.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Вы торопитесь, не решив одну задачу, сразу вторую навешиваете.
С сетями так нельзя, даже, если наскоком и чудным образом все это заработает, потом, рулить всем этим хозяйством будет практически невозможно. Особенно, если что-то придется поменять, эдак через полгодика, когда в памяти сотрется ложное ощущение уверенности понимания, как все это работает.


1. Вы все верно поняли. И общие принципы уловили. Разбираться в вашей конкретной задаче - трудное и неблагодарное дело. Но на вид стало лучше, чем в посте выше.

2. По поводу двух провайдеров: первое, что необходимо решить четко и однозначно - зачем??? Будет ли это распределение нагрузки в целом, требуется ли отаказоустойчивость, или часть инета будет открывать один провайдер, а все остальное другой? Требуется ли port-mapping для ваших клиентов (есть разные чудо провайдеры, с пробросом портов можно намучится не меньше, чем в VLAN). Далее, настроить пока временно все через первого, затем отключив его, настроить все на второго. Убедиться, что все работает, потом читать здесь viewtopic.php?f=15&t=3280

3. По-поводу MAC, то ничего вешать никуда не надо. По-умолчанию, все порты Eth имеют свой MAC адрес. "Показав" провайдеру Eth1 вы можете просто попросить техподдержку перерегистрировать MAC. Если это проблематично, то можно подсунуть нужный MAC вручную.
/interface ethernet set ether1 mac-address=XX:XX:XX:XX:XX:XX. При этом VLAN и бриджы - все это прерогатива вашей внутренний сети, точнее ее организации, это никакого отношения к провайдеру не имеет.

Не знаю, как у вас там все дальше устроено, но в моем понятии, дальше включается маскарадинг (NAT) и "плевали мы на провайдера".


George
Сообщения: 18
Зарегистрирован: 05 май 2014, 21:46
Откуда: Санкт-Петербург

Вы торопитесь, не решив одну задачу, сразу вторую навешиваете.
С сетями так нельзя, даже, если наскоком и чудным образом все это заработает, потом, рулить всем этим хозяйством будет практически невозможно. Особенно, если что-то придется поменять, эдак через полгодика, когда в памяти сотрется ложное ощущение уверенности понимания, как все это работает.


Возможно вы правы... Но просто очень уж хочется решить задачу.

1. Вы все верно поняли. И общие принципы уловили. Разбираться в вашей конкретной задаче - трудное и неблагодарное дело. Но на вид стало лучше, чем в посте выше.


Спасибо, без вашей подсказки не чего бы не вышло.

2. По поводу двух провайдеров: первое, что необходимо решить четко и однозначно - зачем??? Будет ли это распределение нагрузки в целом, требуется ли отаказоустойчивость, или часть инета будет открывать один провайдер, а все остальное другой? Требуется ли port-mapping для ваших клиентов (есть разные чудо провайдеры, с пробросом портов можно намучится не меньше, чем в VLAN). Далее, настроить пока временно все через первого, затем отключив его, настроить все на второго. Убедиться, что все работает, потом читать здесь viewtopic.php?f=15&t=3280


Да тут всё просто... Данная схема это ни что иное как домашняя сетка в которой буду "тренероваться на кошках".
Два провайдера это для эксперементов с OPEN VPN и IPSEC так как в реальных сетях можно столкнуться со всеми сложностами в виде NAT и прочего... Я думаю это будет лучше чем поднимать тунели между двумя "сферическими сетями в вакууме".
Ну а в дальнейшем после окончания всех эксперементов конечно хотелось бы получить шлюз с умной балансировкой нагрузки... Но это уже совсем другая история.


3. По-поводу MAC, то ничего вешать никуда не надо. По-умолчанию, все порты Eth имеют свой MAC адрес. "Показав" провайдеру Eth1 вы можете просто попросить техподдержку перерегистрировать MAC. Если это проблематично, то можно подсунуть нужный MAC вручную.
/interface ethernet set ether1 mac-address=XX:XX:XX:XX:XX:XX. При этом VLAN и бриджы - все это прерогатива вашей внутренний сети, точнее ее организации, это никакого отношения к провайдеру не имеет.

Не знаю, как у вас там все дальше устроено, но в моем понятии, дальше включается маскарадинг (NAT) и "плевали мы на провайдера".


В данной схеме Mikrotik пока будут выступать просто как два смарт свитча... Всё остальное будет на виртуальных Linux серверах.
Спасибо вам ещё раз за ценную информацию!


Ответить