Mikrotik RB3011 связать с Коммутатором L3

Обсуждение оборудования и его настройки
z1k
Сообщения: 10
Зарегистрирован: 09 авг 2017, 02:49

Здравствуйте. Подскажите в правильно направление я двигаюсь и что делаю нет так?

Задача: Маршрутизатор Mikrotik RB3011 получает интернет от провайдера на первый порт. Нужно его связать с коммутатором L3 (HP A5500-24G EI) а от L3 подключены так же коммутаторы L2 (Des-1210-28p).

На L3 настроены Vlan интерфейсы и сами Vlan. Проблема как связать Mikrotik с L3.

Что я делаю:

На L3 создаю интерфейс 10.10.10.1/24 и вешаю его на Vlan 100.

Сажаю Vlan 100 на порт 20 нетегированый.

На Mikrotik'e Создаю Vlan 100 вешаю его на порт 2, Создаю Bridge 1 (добавляю порты 2 и Vlan 100)
Назначаю адрес Bridge 1 - 10.10.10.2/24. Цепляю патч-корд от 2-ого порта Mikrotika до 20 -ого порта комм. L3.
Пинга нет с обоих сторон.

Объясните логику как должно быть,?
Последний раз редактировалось z1k 04 июн 2018, 04:35, всего редактировалось 1 раз.


TimAleks
Сообщения: 7
Зарегистрирован: 17 май 2017, 22:22

Я бы посмотрел сюда:

1. 10.10.10.1/25 и 10.10.10.2/24 - сети разные. Хотя тут может и будет работать.
2. bridge1 убрать вообще, адрес повесить на vlan100 и пинговать пробовать.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

z1k писал(а): 30 май 2018, 19:20 Объясните логику как должно быть,?
Похоже вы не знаете разницу между L2 и L3 на микротике.

Я бы попробовал следующее:

Раз на hp у вас нетегированый трафик, то и на микротике он должен быть нетегированным.
На Микротике достаточно создать бридж, если вам действительно нужен бридж, добавить в него порт2 и на бридж повесить адрес. Если бридж не нужен то просто добавьте адрес на порт.
Не забываем на hp указать шлюз по умолчанию. Раз у вас hp L3 то не правильно пускать vlan на микротик.
Ну и, вам правильно заметили про маску, она у вас на hp & mt разная, хоть в вашем примере и будет работать.

Ну или, менее правильный вариант, на микротике оставьте как есть, а на hp на 20 порт пустите тегированную vlan100. На "невротике" получите дополнительную нагрузку на проц.


Александр
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

TimAleks писал(а): 30 май 2018, 19:44 2. bridge1 убрать вообще, адрес повесить на vlan100 и пинговать пробовать.
от куда на МТ vlan100 если с коммутатора подается нетегированный трафик?


Александр
z1k
Сообщения: 10
Зарегистрирован: 09 авг 2017, 02:49

z1k писал(а): 30 май 2018, 19:20
На L3 создаю интерфейс 10.10.10.1/25 и вешаю его на Vlan 100.
Извините, просто опечатка, интерфейс 10.10.10.1/24

Попробую ваши варианты.


z1k
Сообщения: 10
Зарегистрирован: 09 авг 2017, 02:49

TimAleks писал(а): 30 май 2018, 19:44 Я бы посмотрел сюда:

1. 10.10.10.1/25 и 10.10.10.2/24 - сети разные. Хотя тут может и будет работать.
2. bridge1 убрать вообще, адрес повесить на vlan100 и пинговать пробовать.
Увы результат тот же. Пингов нет.

Настраивал по аналогии http://pyatilistnik.org/staticheskaya-m ... iya-cisco/

Только у меня Вместо роутера 2911 стоит микротик 3011, а 3560 заменён hp a5500.

Код: Выделить всё

Вот Настройки:
# may/31/2018 13:24:25 by RouterOS 6.42
# software id = 6ESD-JJ22
#
# model = RouterBOARD 3011UiAS
# serial number = 780E0675B9D2
/interface ethernet
set [ find default-name=sfp1 ] disabled=yes
/interface sstp-server
add name="OpenVPN for Stroymarket" user=Stroymarket
/interface vlan
add interface=ether2 name=vlan100 vlan-id=100
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ppp profile
add name=ovpn use-encryption=required
/interface list member
add interface=ether1 list=WAN
add list=LAN
/interface ovpn-server server
set certificate=server.crt_0 cipher=blowfish128,aes128,aes192,aes256 \
    default-profile=ovpn enabled=yes require-client-certificate=yes
/ip address
add address=188.170.ххх.хх/30 interface=ether1 network=188.170.ххх.хх
add address=10.10.40.1/24 interface=ether4 network=10.10.40.0
add address=10.10.10.2/24 interface=vlan100 network=10.10.10.0
/ip dhcp-server network
add address=10.10.40.0/24 gateway=10.10.40.1
/ip dns
set allow-remote-requests=yes servers=83.149.52.хх,83.149.53.хх
/ip firewall filter
add action=accept chain=input dst-port=1194 in-interface=ether1 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=all-ppp
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether4
/ip route
add distance=1 gateway=188.170.ххх.хх
add distance=1 dst-address=10.20.0.0/16 gateway=10.0.0.2 pref-src=10.10.10.2
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add local-address=10.0.0.1 name=Stroymarket password=Stroymarket profile=ovpn \
    remote-address=10.0.0.2 service=ovpn
/system clock
set time-zone-autodetect=no time-zone-name=Etc/GMT-11
/system identity
set name=Olimpik
/system ntp client
set enabled=yes primary-ntp=89.175.20.7 secondary-ntp=85.30.248.246
/system routerboard settings
set silent-boot=no


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

z1k писал(а): 31 май 2018, 05:31
TimAleks писал(а): 30 май 2018, 19:44 2. bridge1 убрать вообще, адрес повесить на vlan100 и пинговать пробовать.
Увы результат тот же. Пингов нет.
Так и должно быть.

TimAleks так и не ответил. Может вы ответите: если во второй порт микротика приходит не тегированный трафик, зачем на порт вешаете vlan ?
Попробуйте на сам порт назначить ip !
если не будет работать покажите текущий конфиг микротика и хп.


Александр
z1k
Сообщения: 10
Зарегистрирован: 09 авг 2017, 02:49

Сделал, тоже самое.

От микротика второй порт, вставляю в 19 порт на HP.

HP A5500

Код: Выделить всё


#
 version 5.20.99, Release 2220P02
#
 sysname OLIMPIK_MAIN
#
 super password level 3 cipher xxxxx
#
 dhcp relay server-group 0 ip 172.16.10.4
#
 irf mac-address persistent timer
 irf auto-update enable
 undo irf link-delay
#
 domain default enable system 
#
 telnet server enable 
#
 password-recovery enable
#
vlan 1
 description Default
#
vlan 2
 description Voice
#
vlan 3
 description POS (Cash&Scales)
#
vlan 4
 description Office
#
vlan 5
 description Video
#
vlan 6
 description Optovka
#
vlan 10
 description Servers
#
vlan 100
 description WAN (Megafon)
#
vlan 110
 description WAN
#
vlan 117
 description Sklad
#
vlan 118
 description Guest_Cafe
#
vlan 119
 description Guest_Office
#
domain system 
 access-limit disable 
 state active 
 idle-cut disable 
 self-service-url disable 
#
user-group system
 group-attribute allow-guest
#
local-user admin
 password cipher xxxxx
 authorization-attribute level 3
 service-type ssh telnet terminal
 service-type web
#
cwmp
 undo cwmp enable
#
interface NULL0
#
interface Vlan-interface1
 ip address 172.20.128.120 255.255.224.0 
 undo dhcp select server global-pool
#
interface Vlan-interface2
 ip address 172.16.2.1 255.255.255.0 
 dhcp select relay
 dhcp relay server-select 0
#
interface Vlan-interface3
 ip address 172.16.3.1 255.255.255.0 
 dhcp select relay
 dhcp relay server-select 0
#
interface Vlan-interface4
 ip address 172.16.4.1 255.255.255.0 
 dhcp select relay
 dhcp relay server-select 0
#
interface Vlan-interface5
 ip address 172.16.5.1 255.255.255.0 
 dhcp select relay
 dhcp relay server-select 0
#
interface Vlan-interface10
 ip address 172.16.10.1 255.255.255.0 
 dhcp select relay
 dhcp relay server-select 0
#
interface Vlan-interface100
 ip address 10.10.10.1 255.255.255.0 
 undo dhcp select server global-pool
#
interface Vlan-interface117
 ip address 172.17.1.1 255.255.255.0 
 dhcp select relay
 dhcp relay server-select 0
#
interface GigabitEthernet1/0/1
 port link-mode bridge
 port access vlan 10
#
interface GigabitEthernet1/0/2
 port link-mode bridge
 port access vlan 5
#
interface GigabitEthernet1/0/3
 port link-mode bridge
 port access vlan 2
#
interface GigabitEthernet1/0/4
 port link-mode bridge
 port access vlan 10
#
interface GigabitEthernet1/0/5
 port link-mode bridge
 port access vlan 10
#
interface GigabitEthernet1/0/6
 port link-mode bridge
#
interface GigabitEthernet1/0/7
 port link-mode bridge
#
interface GigabitEthernet1/0/8
 port link-mode bridge
 port link-type trunk
 port trunk permit vlan 1 5 10
 speed auto 100
#
interface GigabitEthernet1/0/9
 port link-mode bridge
#
interface GigabitEthernet1/0/10
 port link-mode bridge
 port link-type trunk
 port trunk permit vlan 1 to 5 10
#
interface GigabitEthernet1/0/11
 port link-mode bridge
 port link-type trunk
 port trunk permit vlan 1 to 5 10
#
interface GigabitEthernet1/0/12
 port link-mode bridge
 port link-type trunk
 port trunk permit vlan 1 to 5 10
#
interface GigabitEthernet1/0/13
 port link-mode bridge
 port link-type trunk
 port trunk permit vlan 1 to 5 10
#
interface GigabitEthernet1/0/14
 port link-mode bridge
 port link-type trunk
 port trunk permit vlan 1 to 5 10 110 118 to 119
#
interface GigabitEthernet1/0/15
 port link-mode bridge
 port link-type trunk
 port trunk permit vlan 1 to 6 10 110 118
#
interface GigabitEthernet1/0/16
 port link-mode bridge
 port link-type trunk
 port trunk permit vlan 1 to 6 10
#
interface GigabitEthernet1/0/17
 port link-mode bridge
 port link-type hybrid
 port hybrid vlan 2 4 to 5 10 tagged
 port hybrid vlan 1 untagged
#
interface GigabitEthernet1/0/18
 port link-mode bridge
 port link-type hybrid
 port hybrid vlan 2 4 to 5 10 tagged
 port hybrid vlan 1 untagged
#
interface GigabitEthernet1/0/19
 port link-mode bridge
 port link-type hybrid
 undo port hybrid vlan 1
 port hybrid vlan 100 untagged
#
interface GigabitEthernet1/0/20
 port link-mode bridge
 port link-type hybrid
 port hybrid vlan 4 10 100 tagged
 port hybrid vlan 1 untagged
#
interface GigabitEthernet1/0/21
 port link-mode bridge
#
interface GigabitEthernet1/0/22
 port link-mode bridge
#
interface GigabitEthernet1/0/23
 port link-mode bridge
#
interface GigabitEthernet1/0/24
 port link-mode bridge
 port access vlan 3
#
interface GigabitEthernet1/0/25
 port link-mode bridge
 shutdown
#
interface GigabitEthernet1/0/26
 port link-mode bridge
 shutdown
#
interface GigabitEthernet1/0/27
 port link-mode bridge
 shutdown
#
interface GigabitEthernet1/0/28
 port link-mode bridge
 shutdown
#
 ip route-static 0.0.0.0 0.0.0.0 Vlan-interface10 172.16.10.254
 ip route-static 172.17.6.0 255.255.255.0 172.20.128.123
#
 dhcp enable 
#
 ssh server enable
#
 load xml-configuration 
#
 load tr069-configuration
#
user-interface aux 0
 authentication-mode scheme
user-interface vty 0 15
 authentication-mode scheme
#
return
Mikrotik Rb3011

Код: Выделить всё

# jun/01/2018 09:06:01 by RouterOS 6.42
# software id = 6ESD-JJ22
#
# model = RouterBOARD 3011UiAS
# serial number = 780E0675B9D2
/interface ethernet
set [ find default-name=sfp1 ] disabled=yes
/interface sstp-server
add name="OpenVPN for Stroymarket" user=Stroymarket
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ppp profile
add name=ovpn use-encryption=required
/interface list member
add interface=ether1 list=WAN
add list=LAN
/interface ovpn-server server
set certificate=server.crt_0 cipher=blowfish128,aes128,aes192,aes256 \
    default-profile=ovpn enabled=yes require-client-certificate=yes
/ip address
add address=188.170.xxx.xx/30 interface=ether1 network=188.170.xxx.xx
add address=10.10.40.1/24 interface=ether4 network=10.10.40.0
add address=10.10.10.3/24 interface=ether2 network=10.10.10.0
/ip dhcp-server network
add address=10.10.40.0/24 gateway=10.10.40.1
/ip dns
set allow-remote-requests=yes servers=83.149.xx.xx,83.149.xx.xx
/ip firewall filter
add action=accept chain=input dst-port=1194 in-interface=ether1 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=all-ppp
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether4
/ip route
add distance=1 gateway=188.170.xxx.xx
add distance=1 dst-address=10.20.0.0/16 gateway=10.0.0.2 pref-src=10.0.0.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add local-address=10.0.0.1 name=Stroymarket password=Stroymarket profile=ovpn \
    remote-address=10.0.0.2 service=ovpn
/system clock
set time-zone-autodetect=no time-zone-name=Etc/GMT-11
/system identity
set name=Olimpik
/system ntp client
set enabled=yes primary-ntp=89.175.20.7 secondary-ntp=85.30.248.246
/system routerboard settings
set silent-boot=no


z1k
Сообщения: 10
Зарегистрирован: 09 авг 2017, 02:49

На mikrotikе создал Vlan100 повесил его на 2 порт, создал бридж, в него засунул Vlan 100 и порт 2, адрес посадил на бридж. С HP пинг есть, а на микротике пару пакетов пройдёт, остальное timeout и по кругу.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

z1k писал(а): 01 июн 2018, 01:31 interface GigabitEthernet1/0/19
port link-mode bridge
port link-type hybrid
undo port hybrid vlan 1
port hybrid vlan 100 untagged

Сделал, тоже самое.
По микротику ничего странного не увидел.

Правилом хорошего тона, например в cisco, на транковых портах всегда указывать разрешенные vlan.
Попробуйте добавить port trunk permit vlan 100.

Вообще смущает port link-type hybrid. У каждого производителя может быть своя реализация гибридного порта.
Если не сложно, попробуйте порт аксесом сделать. Типа:

Код: Выделить всё

interface GigabitEthernet1/0/19
port link-mode bridge
port link-type access
port access vlan 100

Ну и третий вариант, не использовать коммутацию, а сделать порт маршрутизируемым.
Тогда вот так:

Код: Выделить всё

interface GigabitEthernet1/0/19
port link-mode route
ip address 10.10.10.1  255.255.255.0
Конечно же не забыть убрать Vlan-interface100.


Александр
Ответить