Помогите разобраться с VLAN_6.41 на примере стенда (Пока не решено).

Обсуждение оборудования и его настройки
Ответить
Аватара пользователя
Baso
Сообщения: 5
Зарегистрирован: 27 сен 2014, 16:51

Помогите разобраться с настройкой VLAN_6.41

Стенд собраеться на VirtualBOX версия RouterOS X86 6.42.1 (Current) с последующим переносом на железо.
 Схема стенда нарисовал как представляю
Изображение
 Конфиг MKT_1 Работа в режиме Router
 Схема MKT_1
Изображение
Пытаюсь настраивать по докам: https://wiki.mikrotik.com/wiki/Vlans_on ... nvironment и https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge

Код: Выделить всё

На MKT_1 необходимо реализовать:
InterVLAN Routing.
Повесить DHCP на VLAN-ы.
Доступ из VLAN-ов в интернет.
Порты				Режим порта
ether1				(ISP)				
ether2				(Access).
ether3 + ether4 = Bonding1	(Trunk).
ether5, ether6, ether7		(Access).
ether8				(Hybrid).

Код: Выделить всё

#Обзываем железяку.
/system identity set name=MKT_1
#============================================================================================
#Подписываем порты.
/interface ethernet
set [ find default-name=ether1 ] comment=ISP
set [ find default-name=ether2 ] comment=MGMT-VLAN1
set [ find default-name=ether3 ] advertise=100M-full comment=bonding1	#настройка скорости порта для bonding1.
set [ find default-name=ether4 ] advertise=100M-full comment=bonding1	#настройка скорости порта для bonding1.
set [ find default-name=ether5 ] comment=VLAN10
set [ find default-name=ether6 ] comment=VLAN20
set [ find default-name=ether7 ] comment=VLAN30
set [ find default-name=ether8 ] comment=Hybrid-VLAN1,10,20,30
#============================================================================================
#Настраиваем bonding1, путём добавления портов (режим balance-rr).
/interface bonding add name=bonding1 slaves=ether3,ether4
#============================================================================================
#Создаём bridges для VLAN-ов с выключенным vlan-filtering.
/interface bridge
add fast-forward=no name=bridge1 vlan-filtering=no
add fast-forward=no name=bridge10 pvid=10 vlan-filtering=no
add fast-forward=no name=bridge20 pvid=20 vlan-filtering=no
add fast-forward=no name=bridge30 pvid=30 vlan-filtering=no
#============================================================================================
#Вешаем VLAN-ы на мосты.
/interface vlan
add interface=bridge1 name=vlan1 vlan-id=1
add interface=bridge10 name=vlan10 vlan-id=10
add interface=bridge20 name=vlan20 vlan-id=20
add interface=bridge30 name=vlan30 vlan-id=30
#============================================================================================
#Добавляем пулы адресов для VLAN-ов.
/ip pool
add name=VLAN10 ranges=10.0.0.10-10.0.0.20
add name=VLAN20 ranges=20.0.0.10-20.0.0.20
add name=VLAN30 ranges=30.0.0.10-30.0.0.20
#============================================================================================
#Вешаем IP на VLAN-ы.
/ip address
add address=10.0.0.1/24 comment=VLAN10 interface=vlan10 network=10.0.0.0
add address=20.0.0.1/24 comment=VLAN20 interface=vlan20 network=20.0.0.0
add address=30.0.0.1/24 comment=VLAN30 interface=vlan30 network=30.0.0.0
add address=192.168.0.1/24 comment=VLAN1 interface=bridge1 network=192.168.0.0
add address=10.0.2.15/24 comment=ISP interface=ether1 network=10.0.2.0
#============================================================================================
#Добавляем DHCP сервера на VLAN-ы.
/ip dhcp-server
add address-pool=VLAN10 disabled=no interface=vlan10 name=server10
add address-pool=VLAN20 disabled=no interface=vlan20 name=server20
add address-pool=VLAN30 disabled=no interface=vlan30 name=server30
#============================================================================================
#Добавляем сети для DHCP.
/ip dhcp-server network
add address=10.0.0.0/24 comment=VLAN10 dns-server=10.0.0.1 gateway=10.0.0.1 netmask=24
add address=20.0.0.0/24 comment=VLAN20 dns-server=20.0.0.1 gateway=20.0.0.1 netmask=24
add address=30.0.0.0/24 comment=VLAN30 dns-server=30.0.0.1 gateway=30.0.0.1 netmask=24
#============================================================================================
#Добавляем порты в мосты.
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=bonding1
add bridge=bridge10 frame-types=admit-only-vlan-tagged interface=vlan10 pvid=10
add bridge=bridge20 frame-types=admit-only-vlan-tagged interface=vlan20 pvid=20
add bridge=bridge30 frame-types=admit-only-vlan-tagged interface=vlan30 pvid=30
add bridge=bridge10 frame-types=admit-only-untagged-and-priority-tagged interface=ether5 pvid=10
add bridge=bridge20 frame-types=admit-only-untagged-and-priority-tagged interface=ether6 pvid=20
add bridge=bridge30 frame-types=admit-only-untagged-and-priority-tagged interface=ether7 pvid=30
#============================================================================================
/interface list
add name=WAN
add name=LAN
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
#============================================================================================
#Тегирование или растегирование портов на выходе.?
/interface bridge vlan
add bridge=bridge10 tagged=bonding1,bridge10,vlan10,ether8 untagged=ether5 vlan-ids=10
add bridge=bridge20 tagged=bonding1,bridge20,vlan20,ether8 untagged=ether6 vlan-ids=20
add bridge=bridge30 tagged=bonding1,bridge30,vlan30,ether8 untagged=ether7 vlan-ids=30
#============================================================================================
#Добавляем правила для VLAN-ов (запрещаем хождение трафика между VLAN-ами).
/ip route rule
add action=drop comment=Deny_VLAN10_to_20 disabled=no dst-address=10.0.0.0/24 src-address=20.0.0.0/24
add action=drop comment=Deny_VLAN10_to_30 disabled=no dst-address=10.0.0.0/24 src-address=30.0.0.0/24
add action=drop comment=Deny_VLAN20_to_10 disabled=no dst-address=20.0.0.0/24 src-address=10.0.0.0/24
add action=drop comment=Deny_VLAN10_to_20 disabled=no dst-address=10.0.0.0/24 src-address=20.0.0.0/24
add action=drop comment=Deny_VLAN10_to_30 disabled=no dst-address=10.0.0.0/24 src-address=30.0.0.0/24
add action=drop comment=Deny_VLAN20_to_10 disabled=no dst-address=20.0.0.0/24 src-address=10.0.0.0/24
add action=drop comment=Deny_VLAN20_to_30 disabled=no dst-address=20.0.0.0/24 src-address=30.0.0.0/24
add action=drop comment=Deny_VLAN30_to_10 disabled=no dst-address=30.0.0.0/24 src-address=10.0.0.0/24
add action=drop comment=Deny_VLAN30_to_20 disabled=no dst-address=30.0.0.0/24 src-address=20.0.0.0/24
add action=drop comment=Deny_VLAN10_to_1 disabled=no dst-address=10.0.0.0/24 src-address=192.168.0.0/24
add action=drop comment=Deny_VLAN20_to_1 disabled=no dst-address=20.0.0.0/24 src-address=192.168.0.0/24
add action=drop comment=Deny_VLAN30_to_1 disabled=no dst-address=30.0.0.0/24 src-address=192.168.0.0/24
#============================================================================================
#Включаем vlan-filtering.
/interface bridge set bridge10,bridge20,bridge30 vlan-filtering=yes 
#============================================================================================
/ip neighbor discovery-settings set discover-interface-list=all
/ip dns set allow-remote-requests=yes servers=100.0.0.2,8.8.8.8
/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN
/ip route add distance=1 gateway=100.0.0.2
#============================================================================================
#Простейшая защита
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.1.0/24
set ssh address=192.168.1.0/24
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/tool bandwidth-server set authenticate=no enabled=no
/tool mac-server ping set enabled=no
 Конфиг MKT_2 Работа в режиме Bridge
 Схема MKT_1
Изображение
Пока что пусто
 Конфиг MKT_3 Работа в режиме Bridge
Пока что пусто
Последний раз редактировалось Baso 01 май 2018, 11:02, всего редактировалось 11 раз.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Достаточно по одному мосту на каждом из устройств из которого торчат в виде интерфейсов все vlan'ы.
Только вместо дефолтного pvid=1 для управления лучше все-таки какой-то свой использовать.
Соответственно все dhcp-server'ы на mkt_1 (и клиенты на остальных) вешаются на vlan интерфейсах.

А вместо добавления vlan-интерфесов в качестве tagged-портов надо сам мост добавлять в качестве tagged-порта.


Telegram: @thexvo
Аватара пользователя
Baso
Сообщения: 5
Зарегистрирован: 27 сен 2014, 16:51

Спасибо за ответ, но мой маленький опыт рисует мне немного другую картину, поправьте если не прав.

1) "Достаточно по одному мосту на каждом из устройств из которого торчат в виде интерфейсов все vlan-ы."
Хорошо на MKT_2 и MKT_3 можно сделать один мост из которого торчат в виде интерфейсов все vlan-ы, но
если сделать один мост из которого торчат все vlan-ы на MKT_1, тогда при присвоении IP адрессов vlan-ам
эти адреса (шлюзы) перестают пинговаться, причина:
auto-mac (yes | no; Default: yes)
Automatically select one MAC address of bridge ports as a bridge MAC address.
Взято отсюда https://wiki.mikrotik.com/wiki/Manual%3 ... ace/Bridge .
Так что думаю на MKT_1 надо оставить каждый vlan в своём мосту, при такой конфигурации шлюзы пингуються
на ура.
MKT_1 - L3 уровнь (Routing)
MKT_2 и MKT_3 - L2 уровнь (Switching)

2) "Только вместо дефолтного pvid=1 для управления лучше все-таки какой-то свой использовать."
Полностью согласен, оставил дефолтный pvid=1, только потому что, точки доступа Uni-Fi могут
пропустить через себя только 4-ре VLAN один из которых дефолтный pvid=1, для управления точками.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Baso писал(а): 09 апр 2018, 06:07 2) "Только вместо дефолтного pvid=1 для управления лучше все-таки какой-то свой использовать."
Полностью согласен, оставил дефолтный pvid=1, только потому что, точки доступа Uni-Fi могут
пропустить через себя только 4-ре VLAN один из которых дефолтный pvid=1, для управления точками.
Вы посмотрите иначе:
а) внутри локальной сети у Вас 4 вилана (например 210,211,212,213) для ВиФи
б) но внутри локальной сети UniFi, 210 вилан это уже обычная сеть (нативная) и внутри свитча
куда подключаются точки при программировании порта, трафик для 211,212,213 остаётся
тегированный, а 210 не тегированный и PVID=210.
То есть для 210 сети в рамках точек мы превращаем его в локальный вилан1

При таком подходе, 210 сеть = внутри обычная сеть и точки и контроллер прекрасно себя чувствуют,
а для сети в целом, 210 вилан = ещё один вилан просто.

P.S.
Данная логика проверена и работает так уже 5й год.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить