RB1100 настройка VLAN

Nic0p0L · 12 апр 2019, 17:02

Доброго времени суток!
Понимаю, что по виланам уже далеко не первый вопрос, однако под свою ситуацию решения не нашел. Поэтому прошу помощи.
Есть работающая сеть - склад+офис (КД, файлопомойка, IP-камеры, SIP, WiFi, зоопарк из компов и оргтехники). Возникла необходимость, разделить все это хозяйство на сегменты.
Сетевое оборудование - на входе RB1100AHx2 -> Dlink DGS-1210-52MP -> еще n длинков в разных концах помещения. Сейчас все просто - все устройства в одной куче. Задача, разделить все оборудование на группы - отдельно SIP, отдельно камеры и т.д.
Схема будет такой:

С длинками разобрались быстро (все конечное оборудование разбито на группы, раскидано по портам по схеме), а вот с микротиком затык, неделю себе мозг кипячу - после включения вилана, комп либо вообще не получает IP, либо получает, но не дотягивается до КД.

Конфиг 1100

Конфиг слегка урезан, но думаю DHCP Lease, пробросы портов, и прочие sntp и Socks'ы к делу не относятся :)
В теме виланов я новичок-самоучка, поэтому особо прошу не ругаться

Заранее благодарю за любую помощь.

12 апр 2019, 18:32

Nic0p0L писал(а): ↑12 апр 2019, 17:02 Понимаю, что по виланам уже далеко не первый вопрос, однако под свою ситуацию решения не нашел.

Ой лукавите, ну как не найти, тем более у Вас виланы должны просто приходят на роутер.
То есть не сквозные, не смешанные (асинхронные), и прочее.
Ваша схема даже из ВиКи микротика похожа.

Nic0p0L писал(а): ↑12 апр 2019, 17:02 С длинками разобрались быстро (все конечное оборудование разбито на группы, раскидано по портам по схеме), а вот с микротиком затык, неделю себе мозг кипячу - после включения вилана, комп либо вообще не получает IP, либо получает, но не дотягивается до КД.

Точно разобрались с Длинками?
У Вас с центрального свитча на другие длинки идёт провод, внутри которого идёт 4 вилана.
То есть на центральном свитче и на других свитчах такие порты называют транковыми.
Виланы я так понимаю Вы на свитчах уже сделали (они у Вас уже явно описаны на схеме).

Значит что надо сделать, на роутере чтобы он был частью этого сообщества?
Надо на вход микротика (в какой-то один порт, пока будем обобщённо рисовать)
подать виланы, то есть у Вас они попадают, такой порт тоже будет транковым.
Но со свитча они приходят, скажем порт2 (от фанаря взял), но виланы "бъются"
во второй порт, а дальше тишина.
Надо научить/показать (как Вы делали с Длинками) что у нас есть виланы.
Значит создаём наши виланы на порту2.
Всё, после этого физически микротик уже в вилане(ах). На уровне "физики"
он там. То есть его МАК(и) можно увидеть на свитчах в таблице МАКов.
НО у нас же роутер, я так понимаю надо окунуться внутрь вилана.
Значит надо руками задать виланам-интерфейсам IP, или если есть
другой DHC сервер, то описать в DHCP Client'е чтобы такой то вилан-интерфейс
получал адрес.
После получения адресации на вилане = роутер уже в этом вилане член полноценный.
Можете внутри этого вилана соответственно видеть, пинговать узлы другие.
Если надо DHCP делать на микротике и раздавать в этом вилане, нет проблем,
поднимайте DHCP, и настраивайте его на нужном вилане, так как вилан
это обычный интерфейс, и так как он уже имеет адрес = то DHCP будет работать.

На свитчах, почитайте ещё такое понятие как PVID = если Вы его не настроите,
не будет у Вас ничего работать.

И вверху, я невольно Вам дал логику как понимать, работает вилан или нет.
Засунули устройство в вилан, если сделали правильно, МАК увидите в таблице
МАКов на свитчах, не увидили, вилан не настроили правильно, пока с МАКами
не сделаете, другие сервисы выше (адресация, DHCP, пинг, маршрутизация)
естественно не пойдёт.

P.S.
Конфиг посмотрел мельком.
Чисто моё мнение = на средне-профессиональных железках
не место всяким ускорителям и тому подобноее, я о фаст-треке.

Nic0p0L · 13 апр 2019, 15:09

Vlad-2 писал(а): ↑12 апр 2019, 18:32 Ой лукавите, ну как не найти, тем более у Вас виланы должны просто приходят на роутер.
То есть не сквозные, не смешанные (асинхронные), и прочее.
Ваша схема даже из ВиКи микротика похожа.

Согласен, может и находил, но не понял, что нашел =)
Однако, на схеме из Wiki, не совсем моя схема. Я, может, на схеме не совсем правильно обозначил, но из конфига видно, что микрот выступает в качестве основного шлюза и DHCP - в него приходит оптика от прова, со статикой, и из него должны будут выходить все виланы, по одному порту. А в вики, на микрот уже приходят виланы, и он их по нескольким портам распределяет дальше.

Vlad-2 писал(а): ↑12 апр 2019, 18:32 Точно разобрались с Длинками?
У Вас с центрального свитча на другие длинки идёт провод, внутри которого идёт 4 вилана.
То есть на центральном свитче и на других свитчах такие порты называют транковыми.
Виланы я так понимаю Вы на свитчах уже сделали (они у Вас уже явно описаны на схеме).

Именно так. Ну и про PVID естессно не забываем =)

Vlad-2 писал(а): ↑12 апр 2019, 18:32 Засунули устройство в вилан, если сделали правильно, МАК увидите в таблице
МАКов на свитчах, не увидили, вилан не настроили правильно, пока с МАКами
не сделаете, другие сервисы выше (адресация, DHCP, пинг, маршрутизация)
естественно не пойдёт.

А вот этот способ я применить не могу, т.к. сеть на данный момент функционирующая, все изменения требуется произвести "на живую" (знаю, что так не делается, но выбора нет). Соответственно, MAC-таблица уже заполнена.
Самое противное в этой истории, что часть машин уже работает в вилане (получает адрес из соответствующего пула, имеет доступ к файлопомойке из другой подсети), но при этом не "видит" КД! Точнее, трассировка по IP проходит, а по FQDN нет.
А если сделать

Код: Выделить всё

/interface ethernet switch port
set ether2 vlan-mode=secure vlan-header=leave-as-is default-vlan-id=1

То связь накрывается медным тазом - машины перестают получать DHCP.
И как заставить все это хозяйство работать как надо, я и не могу сообразить, т.к., повторюсь, с виланами столкнулся впервые, и осваивать приходиться в боевых условиях.

13 апр 2019, 17:44

Nic0p0L писал(а): ↑13 апр 2019, 15:09 но из конфига видно, что микрот выступает в качестве основного шлюза и DHCP

это виланам не помеха или DHCP никак не мешает и даже и знать DHCP не будет как он
будет раздавать клиентам адрес и вернее через что.

Nic0p0L писал(а): ↑13 апр 2019, 15:09 - в него приходит оптика от прова, со статикой,

Порт с оптикой, хорошо.

Nic0p0L писал(а): ↑13 апр 2019, 15:09 и из него должны будут выходить все виланы, по одному порту.

А вот это самое опасное и самый очевидный фактор того, что с виланами Вы на "Вы".
Если у Вас виланов будет потом 20, где Вы найдёте роутер с 20 портами?
Виланы как раз и разработали, чтобы изолировать разный вид трафика,
но при этом пускать их по одной "физике".
Советую вот таким не заниматься, во-первых не надо из роутера делать аля свитч,
а во-вторых, каждый порт-отдельный вилан (можно так, это не противозаконно),
но и ошибок и петель от такой схемы больше.
Поэтому аккуратно и здраво. Если надо, делайте вилан=порт, но
при возможности лучше объединить.

Nic0p0L писал(а): ↑13 апр 2019, 15:09 А вот этот способ я применить не могу, т.к. сеть на данный момент функционирующая, все изменения требуется произвести "на живую" (знаю, что так не делается, но выбора нет). Соответственно, MAC-таблица уже заполнена.
Самое противное в этой истории, что часть машин уже работает в вилане (получает адрес из соответствующего пула, имеет доступ к файлопомойке из другой подсети), но при этом не "видит" КД! Точнее, трассировка по IP проходит, а по FQDN нет.

Видимо Вы меня не так поняли. МАК таблица на свитчах = это динамическая таблица, где показываются
МАКи всех Ваших устройств в сети, а также с какова порта эти МАКи приходят, и с каким тегом они там
бегают. При чём тут таблица заполнена?

Вы берёте компьютер и на его порту делаете, что порт становиться членом вилана 22, всё, на другом
свитче, при входе показа таблицы МАКов и если там отсортировать по виланам, Вы должны
увидеть МАК вашего компьтера (если он включён, работает и т.д.).
И Вы путаете VLAN, МАК адрес, IP и FQDN - это плохо!

Если есть МАК адрес (светится на свитчах), то и пинги должны быть (если не блокируются).
А если есть пинги, работает IP протокол, а если у Вас не пингуется по FQDN,
то это уже логика, DNS и другие прикладные протоколы виноваты/не настроены.
И надо их понимать что да как, проверять и до-настраивать.

Nic0p0L писал(а): ↑13 апр 2019, 15:09 То связь накрывается медным тазом - машины перестают получать DHCP.
И как заставить все это хозяйство работать как надо, я и не могу сообразить, т.к., повторюсь, с виланами столкнулся впервые, и осваивать приходиться в боевых условиях.

Советую собрать стенд (на столе), свитч, комп, потренироваться, пока Вы путаетесь что да как.
Перевод организацию на/под виланы = это серьёзный шаг админа, и тут как бы потом
обратно делать работу = ещё больше будет проблем. Надо разобраться, понять,
протестировать работу вилана в уме, на столе и разобраться с начала с теорией.

Потом поиграться, потом сделать тестовый вилан, сделает его проброс на свитчах+роутер,
засунуть туда 1-2 компа, проверить что они друг друга видят (они же в одном вилане,
компы должны быть подключены на разных физических свитчах), что они друг друга
пингуют, что роутер (который тоже должен быть уже в этом тестовом вилана, им отдаёт
по DHCP адрес, и что он эту сеть может выпускать в Интернет).
Вот это и будет уже практикой реальной. И уже потом, постепенно, ночью, в выходные брать какой-то сервис,
и его планомерно "выносить" в отдельный вилан.

Пару примеров для наглядности:
1) (как у меня виланы приходят на роутер)
(в названиях виланов W - wan вилан (то есть глобальный, провайдерский,
а буква L - lan - это уже мои виланы, созданные нашей организацией).
Вот тут я их для логики и даже какой-то аморфной в будущем проблеме = на всякий случай и разделил.

2) (как выглядит МАК таблица на свитче, взял с центрального оптического свитча, оранжевым показал
кол-во МАКов что видит свитч, то есть это МАКи компов, техники, компов, принтеров, вифи-точек, камер
и прочего). У Длинка тоже такая же таблица должна быть.

algerka · 14 апр 2019, 21:06

Nic0p0L писал(а): ↑12 апр 2019, 17:02 Доброго времени суток!
Понимаю, что по виланам уже далеко не первый вопрос, однако под свою ситуацию решения не нашел.

Вы себе льстите что какие-то особенные

Ваш вариант давно описан https://wiki.mikrotik.com/wiki/Manual:S ... s_Ports.29
Единственный нюанс у вас два свич-чипа, поэтому надо правильно спланировать что куда подключается, но, в тоже время, судя по картинке, вы используете только два порта (один на провайдера, второй на коммутатор), тогда вообще можно бриджи не использовать.

А ваш конфиг это смесь программной и аппаратной коммутациии, извините, но на мой взгляд полный бред.

Nic0p0L · 15 апр 2019, 12:18

Vlad-2 писал(а): ↑13 апр 2019, 17:44 самый очевидный фактор того, что с виланами Вы на "Вы".

Так я не то что бы отрицаю, а сразу подчеркнул, что впервые в виланоми столкнулся

Vlad-2 писал(а): ↑13 апр 2019, 17:44 Если у Вас виланов будет потом 20, где Вы найдёте роутер с 20 портами?

Зачем, если

Vlad-2 писал(а): ↑13 апр 2019, 17:44 Виланы как раз и разработали, чтобы изолировать разный вид трафика,
но при этом пускать их по одной "физике".

Vlad-2 писал(а): ↑13 апр 2019, 17:44 ... но при возможности лучше объединить.

Именно этого я и хочу добиться

Vlad-2 писал(а): ↑13 апр 2019, 17:44 Видимо Вы меня не так поняли. МАК таблица на свитчах = это динамическая таблица, где показываются
МАКи всех Ваших устройств в сети, а также с какова порта эти МАКи приходят, и с каким тегом они там
бегают. При чём тут таблица заполнена?

Я Вас отлично понял, и что такое Dynamic MAC table знаю, и часто ей пользуюсь. Только дело в том, что сеть работает, и устройства светятся в таблице, не зависимо от того есть влан или нет. Правда, обратил внимание, что даже если машина получила адрес из другой подсети, то VID в таблице так и остается N\A

Vlad-2 писал(а): ↑13 апр 2019, 17:44 И Вы путаете VLAN, МАК адрес, IP и FQDN - это плохо!

Не путаю, но, возможно, не в том контексте употребил FQDN - имел ввиду, что не проходит трассировка по доменному имени (dc.fil.mycompany.local)

Vlad-2 писал(а): ↑13 апр 2019, 17:44 Советую собрать стенд (на столе), свитч, комп, потренироваться, пока Вы путаетесь что да как.
...
Потом поиграться, потом сделать тестовый вилан, сделает его проброс на свитчах+роутер,
засунуть туда 1-2 компа, ...

На данный момент, к сожалению, такой возможности нет - нет свободной подопытной железки. А когда была, собирал - RB951+DGS-1210-52, только в качестве конечных устройств, были несколько камер - из-за этого косяк с доступом к КД и не был замечен.

Nic0p0L · 15 апр 2019, 12:24

algerka писал(а): ↑14 апр 2019, 21:06 Ваш вариант давно описан https://wiki.mikrotik.com/wiki/Manual:S ... s_Ports.29

В обоих вариантах изи Wiki, на микротик уже приходят несколько виланов, т.е., насколько я это понял, он выступает промежуточным звеном сети. А у меня микрот, начало сети. Поправьте если не прав.

algerka писал(а): ↑14 апр 2019, 21:06 А ваш конфиг это смесь программной и аппаратной коммутациии, извините, но на мой взгляд полный бред.

Если Вас не затруднит - что, конкретно, не так с моим конфигом?

15 апр 2019, 12:42

Nic0p0L писал(а): ↑15 апр 2019, 12:18 Я Вас отлично понял, и что такое Dynamic MAC table знаю, и часто ей пользуюсь. Только дело в том, что сеть работает, и устройства светятся в таблице, не зависимо от того есть влан или нет. Правда, обратил внимание, что даже если машина получила адрес из другой подсети, то VID в таблице так и остается N\A

Вы точно правильную таблицу на настроенном свитче смотрели?
(Вот картинка, со старого, но всё ещё работающего Длинка, задача его отдать виланы дальше).

Обратите внимание, виланы есть (красным выделил), МАКи святятся (и в первом вилане и в нужном),
обратите внимание на порты. Если Вы примерно такова не видите, что я боюсь, что Виланы
Вы даже на свитчах не смогли настроить. Надо не только создать вилан 22 или вилан 33,
надо привязать хотя бы 2 разных порта к вилану одному и 2 порта (разных) к другому.
Вы должны пустить трафик тестовый, и увидеть МАКи.

Nic0p0L писал(а): ↑15 апр 2019, 12:18 Не путаю, но, возможно, не в том контексте употребил FQDN - имел ввиду, что не проходит трассировка по доменному имени (dc.fil.mycompany.local)

Если не работает пинг по доменному имени, это уже прикладной уровень, а мы в основном тут работает с трафиком
на уровнях как L2 так и L3.

Nic0p0L писал(а): ↑15 апр 2019, 12:18 На данный момент, к сожалению, такой возможности нет - нет свободной подопытной железки. А когда была, собирал - RB951+DGS-1210-52, только в качестве конечных устройств, были несколько камер - из-за этого косяк с доступом к КД и не был замечен.

Возьмите не свободный свитч, главное 3-4 порта найдите, и играйтесь, при аккуратном подходе,
максимум что можете сделать, потерять с этих портов доступ куда-то.
Админский компьютер оставьте (в дефолтном вилане) и всё. Увы, но пытаться работать с виланами,
ничего не сделав, не тестировать, и не понимать их, увы, тут такое не прокатит.
И советую виланы изучить на свитчах обычных (тех же Длинк, НР, ZyXel) - там проще, нагляднее,
на микротиках чуть иначе это абстрактно видеться.

Nic0p0L · 15 апр 2019, 15:02

Vlad-2 писал(а): ↑15 апр 2019, 12:42 Вы точно правильную таблицу на настроенном свитче смотрели?

Да вроде там больше и нет похожих таблиц (за исключением статической, но там пусто)
Вот как это выглядит на DGS-1210-52MP (это центральный свитч, сразу за микротиком)

Это его же вилан настройки. Тагедные порты, к которым подключены другие свитчи, и связь с микротиком (52). В PVID на всех портах 1

Это 1 из след. свитчей (такой же DGS-1210-52MP). На портах 17-32 конечные устройства. В мак-таблице, так же как и на центральном, в поле VID на всех портах N\A

Vlad-2 писал(а): ↑15 апр 2019, 12:42 Возьмите не свободный свитч, главное 3-4 порта найдите, и играйтесь, при аккуратном подходе,
максимум что можете сделать, потерять с этих портов доступ куда-то.
Админский компьютер оставьте (в дефолтном вилане) и всё. Увы, но пытаться работать с виланами,
ничего не сделав, не тестировать, и не понимать их, увы, тут такое не прокатит.
И советую виланы изучить на свитчах обычных (тех же Длинк, НР, ZyXel) - там проще, нагляднее,
на микротиках чуть иначе это абстрактно видеться.

Именно так сейчас и провожу все эксперименты. Конфиги забекапил, 1 порт на микротике вынес отдельно, со своей адресацией, а-ля консольный порт =)

Теперь уже сомневаюсь в правильности настройки длинков

15 апр 2019, 15:27

Nic0p0L писал(а): ↑15 апр 2019, 15:02 Теперь уже сомневаюсь в правильности настройки длинков

Вот смотрите:

У коллеги нашёл свитч, как Ваш:
Но без РОЕ (я так понимаю по классификации).
Так что у Вас глючит свитч(и).

Прошивка у товарища на свитче стоит: 6.11.B025 (он обновлял с месяца полтора), когда свитч получил
и запустил его в работу. Сказал что версия прошивки вроде была 6-ая (с завода), а когда начал обновлять = уже 11 (на сайте доступна).
Виланов нет у него, но в любом случаи, как видите, N/A в поле VID = нету, всё правильно отображается.

Обновлять надо железки (я так думаю и считаю)

RB1100 настройка VLAN

Вход • Регистрация