Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

RB1100 настройка VLAN

https://forummikrotik.ru/viewtopic.php?t=10230

Страница 1 из 2

RB1100 настройка VLAN

Добавлено: 12 апр 2019, 17:02
Nic0p0L
Доброго времени суток!
Понимаю, что по виланам уже далеко не первый вопрос, однако под свою ситуацию решения не нашел. Поэтому прошу помощи.
Есть работающая сеть - склад+офис (КД, файлопомойка, IP-камеры, SIP, WiFi, зоопарк из компов и оргтехники). Возникла необходимость, разделить все это хозяйство на сегменты.
Сетевое оборудование - на входе RB1100AHx2 -> Dlink DGS-1210-52MP -> еще n длинков в разных концах помещения. Сейчас все просто - все устройства в одной куче. Задача, разделить все оборудование на группы - отдельно SIP, отдельно камеры и т.д.
Схема будет такой:

Изображение

С длинками разобрались быстро (все конечное оборудование разбито на группы, раскидано по портам по схеме), а вот с микротиком затык, неделю себе мозг кипячу - после включения вилана, комп либо вообще не получает IP, либо получает, но не дотягивается до КД.
 Конфиг 1100
# apr/12/2019 15:53:04 by RouterOS 6.43.8
#
# model = 1100AHx2
/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=disabled frequency=2412 name=channel1
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=disabled frequency=2432 name=channel5
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=disabled frequency=2452 name=channel9
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=disabled frequency=2472 name=channel13
/interface bridge
add name=bridge-lan
add name=bridge-mx
add name=bridge-wlan
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN speed=100Mbps
set [ find default-name=ether2 ] loop-protect=on speed=100Mbps
set [ find default-name=ether3 ] loop-protect=on name=ether3-LANmaster speed=100Mbps
set [ find default-name=ether4 ] loop-protect=on speed=100Mbps
set [ find default-name=ether5 ] loop-protect=on
set [ find default-name=ether6 ] loop-protect=on name=ether6 speed=100Mbps
set [ find default-name=ether7 ] loop-protect=on name=ether7 speed=100Mbps
set [ find default-name=ether8 ] loop-protect=on speed=100Mbps
set [ find default-name=ether9 ] loop-protect=on speed=100Mbps
set [ find default-name=ether10 ] loop-protect=on speed=100Mbps
set [ find default-name=ether11 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full loop-protect=on
set [ find default-name=ether12 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether13 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface vlan
add disabled=yes interface=ether3-LANmaster name=VLNMain vlan-id=1
add disabled=yes interface=ether3-LANmaster name=VLNSIP vlan-id=22
add interface=ether3-LANmaster loop-protect=on loop-protect-disable-time=3m loop-protect-send-interval=3s name=VLNUsers vlan-id=44
add disabled=yes interface=ether3-LANmaster name=VLNVideo vlan-id=33
/caps-man datapath
add bridge=bridge-wlan client-to-client-forwarding=yes local-forwarding=no name=datapath1
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security1 passphrase=********
/caps-man configuration
add country=russia datapath=datapath1 mode=ap name=cfg1 rx-chains=0,1,2 security=security1 ssid=******** tx-chains=0,1,2
/caps-man interface
add channel=channel1 configuration=cfg1 disabled=yes l2mtu=1600 mac-address=******** master-interface=none name=cap1-admin radio-mac=********
add channel=channel5 configuration=cfg1 disabled=no l2mtu=1600 mac-address=******** master-interface=none name=cap2-of radio-mac=********
add channel=channel9 configuration=cfg1 disabled=no l2mtu=1600 mac-address=******** master-interface=none name=cap3-in radio-mac=********
add channel=channel13 configuration=cfg1 disabled=no l2mtu=1600 mac-address=******** master-interface=none name=cap4-pv radio-mac=********
/interface ethernet switch
set 0 mirror-source=ether3-LANmaster mirror-target=ether2
/interface ethernet switch port
set 2 default-vlan-id=1
set 5 default-vlan-id=0 vlan-mode=fallback
set 6 default-vlan-id=0 vlan-mode=fallback
set 7 default-vlan-id=0 vlan-mode=fallback
set 8 default-vlan-id=0 vlan-mode=fallback
set 9 default-vlan-id=0 vlan-mode=fallback
set 10 default-vlan-id=0 vlan-mode=fallback
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server option
add code=3 name=GW-0 value="'172.20.40.57'"
add code=6 name=PDC-DNS value="'172.20.40.8'"
add code=121 name=Kerio value=0x10c0a8ac14280100ac142839
add code=3 name=NOGW value="' '"
add code=66 name=pxe value="'172.20.40.53'"
/ip dhcp-server option sets
add name=set1 options=PDC-DNS,Kerio,GW-0
/ip firewall layer7-protocol
add name=******** regexp=********
/ip pool
add name=LAN-Main ranges=172.20.40.2-172.20.40.200
add name=WLAN ranges=172.31.255.2-172.31.255.100
add name=VLN-Video ranges=172.20.41.2-172.20.41.254
add name=VLN-SIP ranges=172.20.40.130-172.20.40.254
add name=VLN-Users ranges=172.20.42.2-172.20.42.254
/ip dhcp-server
add address-pool=WLAN disabled=no interface=bridge-wlan lease-time=12h name=WLAN
add add-arp=yes address-pool=LAN-Main disabled=no interface=bridge-lan lease-time=1d name=LAN-Main
add address-pool=VLN-Video interface=VLNVideo lease-time=12h name=VLN-Video
add address-pool=VLN-SIP interface=VLNSIP lease-time=12h name=VLN-SIP
add add-arp=yes address-pool=VLN-Users disabled=no interface=VLNUsers lease-time=12h name=VLN-Users
/interface bridge port
add bridge=bridge-lan interface=ether3-LANmaster
add bridge=bridge-mx disabled=yes interface=ether1-WAN
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether2
add bridge=bridge-wlan interface=cap2-of
add bridge=bridge-wlan interface=cap3-in
add bridge=bridge-wlan interface=cap4-pv
/interface ethernet switch vlan
add independent-learning=yes ports=ether3-LANmaster switch=switch2 vlan-id=1
add independent-learning=yes ports=ether3-LANmaster switch=switch2 vlan-id=22
add independent-learning=yes ports=ether3-LANmaster switch=switch2 vlan-id=33
add independent-learning=yes ports=ether3-LANmaster switch=switch2 vlan-id=44
/interface list member
add interface=ether1-WAN list=WAN
add interface=bridge-mx list=WAN
add interface=bridge-lan list=LAN
add interface=city list=LAN
add interface=ether10 list=LAN
/ip address
add address=172.31.255.1/24 comment=WLAN interface=bridge-wlan network=172.31.255.0
add address=172.20.40.1/23 comment=LAN-Main interface=bridge-lan network=172.20.40.0
add address=******** comment=WAN interface=ether1-WAN network=********
add address=172.20.41.1/24 comment=VLN-Video disabled=yes interface=VLNVideo network=172.20.41.0
add address=172.20.40.129/25 comment=VLN-SIP disabled=yes interface=VLNSIP network=172.20.40.128
add address=172.20.42.1/24 comment=VLN-Users interface=VLNUsers network=172.20.42.0
/ip dhcp-server network
add address=172.20.40.0/23 boot-file-name=boot.wim comment=LAN-Main dns-server=172.20.40.8,172.20.40.1 domain=******** gateway=172.20.40.1 next-server=172.20.40.58
add address=172.20.41.0/24 comment=VLN-Video dns-server=172.20.41.1 gateway=172.20.41.1
add address=172.20.42.0/24 comment=VLN-Users dns-server=172.20.40.8,172.20.40.1 domain=******** gateway=172.20.42.1
add address=172.31.255.0/24 comment=WLAN dns-server=172.31.255.1 gateway=172.31.255.1
/ip firewall filter
add action=passthrough chain=forward
add action=add-src-to-address-list address-list=DM address-list-timeout=1h chain=input log=yes packet-size=783 protocol=icmp
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established,related
add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=udp
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=input dst-port=5060 in-interface-list=WAN protocol=udp src-address=!********
add action=drop chain=input dst-port=161 in-interface-list=WAN protocol=udp src-address=!172.20.40.0/21
add action=drop chain=input src-address-list=dyatli
add action=drop chain=forward dst-address=********
add action=drop chain=forward dst-address=********
add action=drop chain=forward dst-address=********
add action=drop chain=forward dst-address=********
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat comment=******** connection-mark=********
add action=dst-nat chain=dstnat connection-mark=******** to-addresses=********
add action=dst-nat chain=dstnat layer7-protocol=******** port=53 protocol=udp to-addresses=********
/ip firewall service-port
set sip ports=5060,5061,5062,5063,5064,5065,5066,5067
/ip route
add distance=1 gateway=********
/ip service
set telnet address=172.20.40.0/21
set ftp disabled=yes
set www address=172.20.40.0/21
set ssh address=172.20.40.0/21
set api disabled=yes
set winbox address=********,172.20.40.0/21
set api-ssl disabled=yes
Конфиг слегка урезан, но думаю DHCP Lease, пробросы портов, и прочие sntp и Socks'ы к делу не относятся :)
В теме виланов я новичок-самоучка, поэтому особо прошу не ругаться :smu:sche_nie:
Заранее благодарю за любую помощь.

Re: RB1100 настройка VLAN

Добавлено: 12 апр 2019, 18:32
Vlad-2
Nic0p0L писал(а): 12 апр 2019, 17:02 Понимаю, что по виланам уже далеко не первый вопрос, однако под свою ситуацию решения не нашел.
Ой лукавите, ну как не найти, тем более у Вас виланы должны просто приходят на роутер.
То есть не сквозные, не смешанные (асинхронные), и прочее.
Ваша схема даже из ВиКи микротика похожа.
Nic0p0L писал(а): 12 апр 2019, 17:02 С длинками разобрались быстро (все конечное оборудование разбито на группы, раскидано по портам по схеме), а вот с микротиком затык, неделю себе мозг кипячу - после включения вилана, комп либо вообще не получает IP, либо получает, но не дотягивается до КД.
Точно разобрались с Длинками?
У Вас с центрального свитча на другие длинки идёт провод, внутри которого идёт 4 вилана.
То есть на центральном свитче и на других свитчах такие порты называют транковыми.
Виланы я так понимаю Вы на свитчах уже сделали (они у Вас уже явно описаны на схеме).

Значит что надо сделать, на роутере чтобы он был частью этого сообщества?
Надо на вход микротика (в какой-то один порт, пока будем обобщённо рисовать)
подать виланы, то есть у Вас они попадают, такой порт тоже будет транковым.
Но со свитча они приходят, скажем порт2 (от фанаря взял), но виланы "бъются"
во второй порт, а дальше тишина.
Надо научить/показать (как Вы делали с Длинками) что у нас есть виланы.
Значит создаём наши виланы на порту2.
Всё, после этого физически микротик уже в вилане(ах). На уровне "физики"
он там. То есть его МАК(и) можно увидеть на свитчах в таблице МАКов.
НО у нас же роутер, я так понимаю надо окунуться внутрь вилана.
Значит надо руками задать виланам-интерфейсам IP, или если есть
другой DHC сервер, то описать в DHCP Client'е чтобы такой то вилан-интерфейс
получал адрес.
После получения адресации на вилане = роутер уже в этом вилане член полноценный.
Можете внутри этого вилана соответственно видеть, пинговать узлы другие.
Если надо DHCP делать на микротике и раздавать в этом вилане, нет проблем,
поднимайте DHCP, и настраивайте его на нужном вилане, так как вилан
это обычный интерфейс, и так как он уже имеет адрес = то DHCP будет работать.

На свитчах, почитайте ещё такое понятие как PVID = если Вы его не настроите,
не будет у Вас ничего работать.

И вверху, я невольно Вам дал логику как понимать, работает вилан или нет.
Засунули устройство в вилан, если сделали правильно, МАК увидите в таблице
МАКов на свитчах, не увидили, вилан не настроили правильно, пока с МАКами
не сделаете, другие сервисы выше (адресация, DHCP, пинг, маршрутизация)
естественно не пойдёт.

P.S.
Конфиг посмотрел мельком.
Чисто моё мнение = на средне-профессиональных железках
не место всяким ускорителям и тому подобноее, я о фаст-треке.

Re: RB1100 настройка VLAN

Добавлено: 13 апр 2019, 15:09
Nic0p0L
Vlad-2 писал(а): 12 апр 2019, 18:32 Ой лукавите, ну как не найти, тем более у Вас виланы должны просто приходят на роутер.
То есть не сквозные, не смешанные (асинхронные), и прочее.
Ваша схема даже из ВиКи микротика похожа.
Согласен, может и находил, но не понял, что нашел =)
Однако, на схеме из Wiki, не совсем моя схема. Я, может, на схеме не совсем правильно обозначил, но из конфига видно, что микрот выступает в качестве основного шлюза и DHCP - в него приходит оптика от прова, со статикой, и из него должны будут выходить все виланы, по одному порту. А в вики, на микрот уже приходят виланы, и он их по нескольким портам распределяет дальше.
Vlad-2 писал(а): 12 апр 2019, 18:32 Точно разобрались с Длинками?
У Вас с центрального свитча на другие длинки идёт провод, внутри которого идёт 4 вилана.
То есть на центральном свитче и на других свитчах такие порты называют транковыми.
Виланы я так понимаю Вы на свитчах уже сделали (они у Вас уже явно описаны на схеме).
Именно так. Ну и про PVID естессно не забываем =)
Изображение
Vlad-2 писал(а): 12 апр 2019, 18:32 Засунули устройство в вилан, если сделали правильно, МАК увидите в таблице
МАКов на свитчах, не увидили, вилан не настроили правильно, пока с МАКами
не сделаете, другие сервисы выше (адресация, DHCP, пинг, маршрутизация)
естественно не пойдёт.
А вот этот способ я применить не могу, т.к. сеть на данный момент функционирующая, все изменения требуется произвести "на живую" (знаю, что так не делается, но выбора нет). Соответственно, MAC-таблица уже заполнена.
Самое противное в этой истории, что часть машин уже работает в вилане (получает адрес из соответствующего пула, имеет доступ к файлопомойке из другой подсети), но при этом не "видит" КД! Точнее, трассировка по IP проходит, а по FQDN нет.
А если сделать

Код: Выделить всё

/interface ethernet switch port
set ether2 vlan-mode=secure vlan-header=leave-as-is default-vlan-id=1
То связь накрывается медным тазом - машины перестают получать DHCP.
И как заставить все это хозяйство работать как надо, я и не могу сообразить, т.к., повторюсь, с виланами столкнулся впервые, и осваивать приходиться в боевых условиях.

Re: RB1100 настройка VLAN

Добавлено: 13 апр 2019, 17:44
Vlad-2
Nic0p0L писал(а): 13 апр 2019, 15:09 но из конфига видно, что микрот выступает в качестве основного шлюза и DHCP
это виланам не помеха или DHCP никак не мешает и даже и знать DHCP не будет как он
будет раздавать клиентам адрес и вернее через что.
Nic0p0L писал(а): 13 апр 2019, 15:09 - в него приходит оптика от прова, со статикой,
Порт с оптикой, хорошо.
Nic0p0L писал(а): 13 апр 2019, 15:09 и из него должны будут выходить все виланы, по одному порту.
А вот это самое опасное и самый очевидный фактор того, что с виланами Вы на "Вы".
Если у Вас виланов будет потом 20, где Вы найдёте роутер с 20 портами?
Виланы как раз и разработали, чтобы изолировать разный вид трафика,
но при этом пускать их по одной "физике".
Советую вот таким не заниматься, во-первых не надо из роутера делать аля свитч,
а во-вторых, каждый порт-отдельный вилан (можно так, это не противозаконно),
но и ошибок и петель от такой схемы больше.
Поэтому аккуратно и здраво. Если надо, делайте вилан=порт, но
при возможности лучше объединить.
Nic0p0L писал(а): 13 апр 2019, 15:09 А вот этот способ я применить не могу, т.к. сеть на данный момент функционирующая, все изменения требуется произвести "на живую" (знаю, что так не делается, но выбора нет). Соответственно, MAC-таблица уже заполнена.
Самое противное в этой истории, что часть машин уже работает в вилане (получает адрес из соответствующего пула, имеет доступ к файлопомойке из другой подсети), но при этом не "видит" КД! Точнее, трассировка по IP проходит, а по FQDN нет.
Видимо Вы меня не так поняли. МАК таблица на свитчах = это динамическая таблица, где показываются
МАКи всех Ваших устройств в сети, а также с какова порта эти МАКи приходят, и с каким тегом они там
бегают. При чём тут таблица заполнена?

Вы берёте компьютер и на его порту делаете, что порт становиться членом вилана 22, всё, на другом
свитче, при входе показа таблицы МАКов и если там отсортировать по виланам, Вы должны
увидеть МАК вашего компьтера (если он включён, работает и т.д.).
И Вы путаете VLAN, МАК адрес, IP и FQDN - это плохо!

Если есть МАК адрес (светится на свитчах), то и пинги должны быть (если не блокируются).
А если есть пинги, работает IP протокол, а если у Вас не пингуется по FQDN,
то это уже логика, DNS и другие прикладные протоколы виноваты/не настроены.
И надо их понимать что да как, проверять и до-настраивать.
Nic0p0L писал(а): 13 апр 2019, 15:09 То связь накрывается медным тазом - машины перестают получать DHCP.
И как заставить все это хозяйство работать как надо, я и не могу сообразить, т.к., повторюсь, с виланами столкнулся впервые, и осваивать приходиться в боевых условиях.
Советую собрать стенд (на столе), свитч, комп, потренироваться, пока Вы путаетесь что да как.
Перевод организацию на/под виланы = это серьёзный шаг админа, и тут как бы потом
обратно делать работу = ещё больше будет проблем. Надо разобраться, понять,
протестировать работу вилана в уме, на столе и разобраться с начала с теорией.

Потом поиграться, потом сделать тестовый вилан, сделает его проброс на свитчах+роутер,
засунуть туда 1-2 компа, проверить что они друг друга видят (они же в одном вилане,
компы должны быть подключены на разных физических свитчах), что они друг друга
пингуют, что роутер (который тоже должен быть уже в этом тестовом вилана, им отдаёт
по DHCP адрес, и что он эту сеть может выпускать в Интернет).
Вот это и будет уже практикой реальной. И уже потом, постепенно, ночью, в выходные брать какой-то сервис,
и его планомерно "выносить" в отдельный вилан.


Пару примеров для наглядности:
1) (как у меня виланы приходят на роутер)
(в названиях виланов W - wan вилан (то есть глобальный, провайдерский,
а буква L - lan - это уже мои виланы, созданные нашей организацией).
Вот тут я их для логики и даже какой-то аморфной в будущем проблеме = на всякий случай и разделил.
Изображение

2) (как выглядит МАК таблица на свитче, взял с центрального оптического свитча, оранжевым показал
кол-во МАКов что видит свитч, то есть это МАКи компов, техники, компов, принтеров, вифи-точек, камер
и прочего). У Длинка тоже такая же таблица должна быть.
Изображение

Re: RB1100 настройка VLAN

Добавлено: 14 апр 2019, 21:06
algerka
Nic0p0L писал(а): 12 апр 2019, 17:02 Доброго времени суток!
Понимаю, что по виланам уже далеко не первый вопрос, однако под свою ситуацию решения не нашел.
Вы себе льстите что какие-то особенные :-):
Ваш вариант давно описан https://wiki.mikrotik.com/wiki/Manual:S ... s_Ports.29
Единственный нюанс у вас два свич-чипа, поэтому надо правильно спланировать что куда подключается, но, в тоже время, судя по картинке, вы используете только два порта (один на провайдера, второй на коммутатор), тогда вообще можно бриджи не использовать.

А ваш конфиг это смесь программной и аппаратной коммутациии, извините, но на мой взгляд полный бред.

Re: RB1100 настройка VLAN

Добавлено: 15 апр 2019, 12:18
Nic0p0L
Vlad-2 писал(а): 13 апр 2019, 17:44 самый очевидный фактор того, что с виланами Вы на "Вы".
Так я не то что бы отрицаю, а сразу подчеркнул, что впервые в виланоми столкнулся
Vlad-2 писал(а): 13 апр 2019, 17:44 Если у Вас виланов будет потом 20, где Вы найдёте роутер с 20 портами?
Зачем, если
Vlad-2 писал(а): 13 апр 2019, 17:44 Виланы как раз и разработали, чтобы изолировать разный вид трафика,
но при этом пускать их по одной "физике".
Vlad-2 писал(а): 13 апр 2019, 17:44 ... но при возможности лучше объединить.
Именно этого я и хочу добиться
Vlad-2 писал(а): 13 апр 2019, 17:44 Видимо Вы меня не так поняли. МАК таблица на свитчах = это динамическая таблица, где показываются
МАКи всех Ваших устройств в сети, а также с какова порта эти МАКи приходят, и с каким тегом они там
бегают. При чём тут таблица заполнена?
Я Вас отлично понял, и что такое Dynamic MAC table знаю, и часто ей пользуюсь. Только дело в том, что сеть работает, и устройства светятся в таблице, не зависимо от того есть влан или нет. Правда, обратил внимание, что даже если машина получила адрес из другой подсети, то VID в таблице так и остается N\A
Vlad-2 писал(а): 13 апр 2019, 17:44 И Вы путаете VLAN, МАК адрес, IP и FQDN - это плохо!
Не путаю, но, возможно, не в том контексте употребил FQDN - имел ввиду, что не проходит трассировка по доменному имени (dc.fil.mycompany.local)
Vlad-2 писал(а): 13 апр 2019, 17:44 Советую собрать стенд (на столе), свитч, комп, потренироваться, пока Вы путаетесь что да как.
...
Потом поиграться, потом сделать тестовый вилан, сделает его проброс на свитчах+роутер,
засунуть туда 1-2 компа, ...
На данный момент, к сожалению, такой возможности нет - нет свободной подопытной железки. А когда была, собирал - RB951+DGS-1210-52, только в качестве конечных устройств, были несколько камер - из-за этого косяк с доступом к КД и не был замечен.

Re: RB1100 настройка VLAN

Добавлено: 15 апр 2019, 12:24
Nic0p0L
algerka писал(а): 14 апр 2019, 21:06 Ваш вариант давно описан https://wiki.mikrotik.com/wiki/Manual:S ... s_Ports.29
В обоих вариантах изи Wiki, на микротик уже приходят несколько виланов, т.е., насколько я это понял, он выступает промежуточным звеном сети. А у меня микрот, начало сети. Поправьте если не прав.
algerka писал(а): 14 апр 2019, 21:06 А ваш конфиг это смесь программной и аппаратной коммутациии, извините, но на мой взгляд полный бред.
Если Вас не затруднит - что, конкретно, не так с моим конфигом?

Re: RB1100 настройка VLAN

Добавлено: 15 апр 2019, 12:42
Vlad-2
Nic0p0L писал(а): 15 апр 2019, 12:18 Я Вас отлично понял, и что такое Dynamic MAC table знаю, и часто ей пользуюсь. Только дело в том, что сеть работает, и устройства светятся в таблице, не зависимо от того есть влан или нет. Правда, обратил внимание, что даже если машина получила адрес из другой подсети, то VID в таблице так и остается N\A
Вы точно правильную таблицу на настроенном свитче смотрели?
(Вот картинка, со старого, но всё ещё работающего Длинка, задача его отдать виланы дальше).
Изображение
Обратите внимание, виланы есть (красным выделил), МАКи святятся (и в первом вилане и в нужном),
обратите внимание на порты. Если Вы примерно такова не видите, что я боюсь, что Виланы
Вы даже на свитчах не смогли настроить. Надо не только создать вилан 22 или вилан 33,
надо привязать хотя бы 2 разных порта к вилану одному и 2 порта (разных) к другому.
Вы должны пустить трафик тестовый, и увидеть МАКи.
Nic0p0L писал(а): 15 апр 2019, 12:18 Не путаю, но, возможно, не в том контексте употребил FQDN - имел ввиду, что не проходит трассировка по доменному имени (dc.fil.mycompany.local)
Если не работает пинг по доменному имени, это уже прикладной уровень, а мы в основном тут работает с трафиком
на уровнях как L2 так и L3.
Nic0p0L писал(а): 15 апр 2019, 12:18 На данный момент, к сожалению, такой возможности нет - нет свободной подопытной железки. А когда была, собирал - RB951+DGS-1210-52, только в качестве конечных устройств, были несколько камер - из-за этого косяк с доступом к КД и не был замечен.
Возьмите не свободный свитч, главное 3-4 порта найдите, и играйтесь, при аккуратном подходе,
максимум что можете сделать, потерять с этих портов доступ куда-то.
Админский компьютер оставьте (в дефолтном вилане) и всё. Увы, но пытаться работать с виланами,
ничего не сделав, не тестировать, и не понимать их, увы, тут такое не прокатит.
И советую виланы изучить на свитчах обычных (тех же Длинк, НР, ZyXel) - там проще, нагляднее,
на микротиках чуть иначе это абстрактно видеться.

Re: RB1100 настройка VLAN

Добавлено: 15 апр 2019, 15:02
Nic0p0L
Vlad-2 писал(а): 15 апр 2019, 12:42 Вы точно правильную таблицу на настроенном свитче смотрели?
Да вроде там больше и нет похожих таблиц (за исключением статической, но там пусто)
Вот как это выглядит на DGS-1210-52MP (это центральный свитч, сразу за микротиком)
Изображение
Это его же вилан настройки. Тагедные порты, к которым подключены другие свитчи, и связь с микротиком (52). В PVID на всех портах 1
Изображение
Это 1 из след. свитчей (такой же DGS-1210-52MP). На портах 17-32 конечные устройства. В мак-таблице, так же как и на центральном, в поле VID на всех портах N\A
Изображение Изображение
Vlad-2 писал(а): 15 апр 2019, 12:42 Возьмите не свободный свитч, главное 3-4 порта найдите, и играйтесь, при аккуратном подходе,
максимум что можете сделать, потерять с этих портов доступ куда-то.
Админский компьютер оставьте (в дефолтном вилане) и всё. Увы, но пытаться работать с виланами,
ничего не сделав, не тестировать, и не понимать их, увы, тут такое не прокатит.
И советую виланы изучить на свитчах обычных (тех же Длинк, НР, ZyXel) - там проще, нагляднее,
на микротиках чуть иначе это абстрактно видеться.
Именно так сейчас и провожу все эксперименты. Конфиги забекапил, 1 порт на микротике вынес отдельно, со своей адресацией, а-ля консольный порт =)

Теперь уже сомневаюсь в правильности настройки длинков :smu:sche_nie:

Re: RB1100 настройка VLAN

Добавлено: 15 апр 2019, 15:27
Vlad-2
Nic0p0L писал(а): 15 апр 2019, 15:02 Теперь уже сомневаюсь в правильности настройки длинков :smu:sche_nie:
Вот смотрите:
Изображение

У коллеги нашёл свитч, как Ваш:
Но без РОЕ (я так понимаю по классификации).
Так что у Вас глючит свитч(и).

Прошивка у товарища на свитче стоит: 6.11.B025 (он обновлял с месяца полтора), когда свитч получил
и запустил его в работу. Сказал что версия прошивки вроде была 6-ая (с завода), а когда начал обновлять = уже 11 (на сайте доступна).
Виланов нет у него, но в любом случаи, как видите, N/A в поле VID = нету, всё правильно отображается.

Обновлять надо железки (я так думаю и считаю)
Часовой пояс: UTC+03:00
Страница 1 из 2

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB