Russian Users MikroTik | Форум пользователей MikroTik

есть сеть с оборудованием которое хочется изолировать, + гостевой влан для вайфая
влан 10 - сеть которую хочу изолировать (камеры наблюдения, регистраторы, мониторы), в ней интернеты нужны тоже, нужно ли создавать для остальных портов "дефолтный" влан, или оставить трафик нетегированым?

crs112 №1 ( порты 1,2 - влан 10, остальные - "по умолчанию", sfp9 -аплинк на crs112 №2 )
crs112 №2 ( sfp - аплинк, lan1 - аплинк на CSS326 №1, остальные порту "по умолчанию")
CSS326 №1 (sfp 1 аплинк на свич reisecom, sfp 2 аплинк на CSS326 №2, lan 24 - влан 10 (аплинк на свич камер), lan 23 - аплинк на crs112 №2, lan 8 - я для теста)
CSS326 №2 (sfp - аплинк, lan1 - в роутер интернеты, lan2-5 - влан 10)
все аплинки должны прозрачно побрасывать тег влана, т.к. регистраторы и камеры подключены в разные свичи, но всё должно быть доступно "друг для друга"

для начала хочу сделать изоляцию на CSS326 №1 чтобы с lan 8 был lan 24 и инет

на вкладке VLAN для портов 8 и 24, sfp 1 и 2
VLAN Mode = enabled
VLAN Recive = any
Default VLAN ID = 10 (я так понял это лишнее действие)

во вкладке VLANs добавляю порты 8, 23, 24, sfp 1 и 2 в 10й влан
(этим мы маркируем исходящий трафик на порту? но если трафик пришёл от к примеру лан5, получается, нам не нужно перепивываеть его заголовок на поту сфп2, но в SwOs таких менюшек как в примерах для RouterOs нет)

после этих действий изоляция действительно происходит, но и интернет пропадает.

с какой точки нужно начинать строить эти вланы, может со свича CSS326 №2, просто добавить на нём в VLANs 10й влан для 2-5 и сфп1 порта и 20й для сфп1 и лан1 (для интернета)?

Мне показалось как-то Вы плаваете в сущности виланов.
Виланы = это разделение разного типа трафика в рамках одной физики.
А интернет это уже выше уровень.

alexpreys писал(а): ↑22 июн 2019, 14:37 есть сеть с оборудованием которое хочется изолировать, + гостевой влан для вайфая
влан 10 - сеть которую хочу изолировать (камеры наблюдения, регистраторы, мониторы), в ней интернеты нужны тоже, нужно ли создавать для остальных портов "дефолтный" влан, или оставить трафик нетегированым?

Если Вы хотите видео-сеть скрыть, значит для сети в целом, это вилан 10, то есть общая
сеть не должна видеть трафик сети видеонаблюдения, значит он должен быть тегированным,
но так как сама аппаратура, камеры и прочее тег не понимают, значит на последнем свитче
(или ещё по-русски скажем так: на порту куда именно включаются камеры, видеосервера)
надо снимать тег, а при ответных пакетах тег id10 ставить явно.

alexpreys писал(а): ↑22 июн 2019, 14:37 (этим мы маркируем исходящий трафик на порту? но если трафик пришёл от к примеру лан5, получается, нам не нужно перепивываеть его заголовок на поту сфп2, но в SwOs таких менюшек как в примерах для RouterOs нет)

Всё там есть.
Почитайте ВиКи.

alexpreys писал(а): ↑22 июн 2019, 14:37 после этих действий изоляция действительно происходит, но и интернет пропадает.

Интернет кто раздаёт?
Если микротик, то проще ему (на роутере микротик) сделать интерфейс вилан10, задать
ему адрес, и всё, прописать кому из вилана10 нужен интернет, адрес этого интерфейса
как шлюз.

alexpreys писал(а): ↑22 июн 2019, 14:37 с какой точки нужно начинать строить эти вланы, может со свича CSS326 №2, просто добавить на нём в VLANs 10й влан для 2-5 и сфп1 порта и 20й для сфп1 и лан1 (для интернета)?

Обычно сначала делают на бумаге логику, номер вилана, описание его, описывают виланы на главных свитчах,
на роутере, описывают DHCP, описывают IP-маршрутизацию. Проверяют что видят на свитчах главных
МАКи роутера (вилан интерфейсов). Потом уже идёт от "центра" сети, в UpLink (делают его транковым)
закидывая туда все виланы (или явно те, что нужны), и уже на свитчах с компьютерами явно описывают,
какой порт будет нетегированным для каждого пришедшего вилана.

плаваю, иначе не писал бы сюда
разве оборудование не поддерживающее влан-ы не игнорирует наличие тега?
вики и форумы много читаю, да, но просветления пока не наступает
интернет, дхцп и т.п. раздаёт сервак на убунте
на бумаге всё написал: порты на свичах для видео и гостевого вайфая (нужен в разных местах)

для теста(на оборудовании в работе CSS326) делаю вкладка VLAN
порт 1 (убунта) --- VLAN Mode - enabled --- VLAN Receive - any --- Default VLAN ID 1 --- Force VLAN ID - no
порт 12 (ATC) --- VLAN Mode - enabled --- VLAN Receive - any --- Default VLAN ID 30 --- Force VLAN ID - no
порт 17 (ноут) --- VLAN Mode - enabled --- VLAN Receive - any --- Default VLAN ID 20 --- Force VLAN ID - no
вкладка VLANs:
VLAN ID 20 порты 1,17
VLAN ID 30 порты 1,12

при такой конфигурации пингов на убунту нет, на свич есть, хотя зайти в браузере не удаётся; и даже если на вкладке VLANs атс и ноут объединить в 20й влан и Default VLAN ID задать 20 обоим портам, - пинги между ноутом и атс всё равно не появляются, хотя из других портов свича атс пингуется даже при VLAN Receive - only tagged
что именно я делаю не так?

alexpreys писал(а): ↑24 июн 2019, 10:44 плаваю, иначе не писал бы сюда
разве оборудование не поддерживающее влан-ы не игнорирует наличие тега?

"тупая" железка за 400-800 рублей да, свитч который понимает что такое тег,
наоборот, не пропустит тег без явного определения(настройки).

alexpreys писал(а): ↑24 июн 2019, 10:44 интернет, дхцп и т.п. раздаёт сервак на убунте

Если логика (L3-уровень) у Вас на сервере, то как компьютер или АТС - как
они должны увидеть шлюз свой?
Если Вы мальчиков и девочек разделили, а еда находиться у папы, а он в коридоре
стоит, как они смогут взять еды у него? Да никак.
Либо убунта должна сама быть во всех 3х виланах и в каждом вилане она там
будет доступна, либо уже программно маршрутизировать и комп и атс должны
видеть убунту по её одному адресу, но через маршрутизацию.

Поэтому в классическом варианте я делаю так:
каждый вилан - это отдельная сеть IP - и в этой сети есть IP который для других является
шлюзом.

alexpreys писал(а): ↑24 июн 2019, 10:44 что именно я делаю не так?

Не знаю, скорее логика не та. Даю пример чужой с описанием:


Пояснение:
ПОРТЫ: 1,2 и SFP = порты одинаково(универсально) настроены(помечены зелёным), там бегает сеть + тегированный трафик
ПОРТЫ: 3 и 4 = описаны для телефонии, при приходе вилана 227 тег снимается (то есть для телефона это будет обычный трафик)
ПОРТ: 5 (самый сложный в этом примере): это точка доступа, тут сделано так, что сама точка сидит в нетегированной сети вилана 222
(сделано также как и с телефоном, точка получает адрес в своей сети доступна для управления), но + точка раздаёт 3 SSID'а (три сети),
сети к ней приходят тегом и тегом уходит (точка умеет отдавать теги на сети которые она раздаёт).


Тут всё тоже самое описано что я Выше описал, только на выход.

Повторюсь:
что IP-сети в примерах (222 и 227) имеют каждый свой шлюз, который доступен только для них,
и через этот шлюз у них есть связь и с другими сетями и доступ в Интернет.

Если логика (L3-уровень) у Вас на сервере, то как компьютер или АТС - как
они должны увидеть шлюз свой?
Если Вы мальчиков и девочек разделили, а еда находиться у папы, а он в коридоре
стоит, как они смогут взять еды у него? Да никак.
Либо убунта должна сама быть во всех 3х виланах и в каждом вилане она там
будет доступна,

я думал что когда я добавляю порт убунты во ВЛАН трафик между портами являющимися членами одного ВЛАНА должен ходить


и ещё, в каких "трёх" вланах должна быть доступна убунта? есть двадцатый и тридцатый, - туда я её занёс руками, ещё есть же дефолный, №1 - это он "третий"?

а вот настройки егресс трафика у себя я не вижу, насколько я понял из вики именно ДефолтВланАйди отвечает за него

"тупая" железка за 400-800 рублей да,

под оборудованием игнорирующим вланы я имел ввиду оконечное оборудование, типа ноута с виндой

alexpreys писал(а): ↑24 июн 2019, 13:31 я думал что когда я добавляю порт убунты во ВЛАН трафик между портами являющимися членами одного ВЛАНА должен ходить

Да, в рамках одного вилана связь должна быть.
Откройте закладку Hosts и посмотрите на МАК адреса!
МАК убунты должен быть и в 20 и в 30 вилане (по логике).
(Вы только изоляцию портов в вилане уберите, зачем включаете?)

alexpreys писал(а): ↑24 июн 2019, 13:31 и ещё, в каких "трёх" вланах должна быть доступна убунта? есть двадцатый и тридцатый, - туда я её занёс руками, ещё есть же дефолный, №1 - это он "третий"?

На порту может быть "куча" виланов, и лишь один из них может быть untag, по умолчанию №1
Поэтому убунта будет доступна в основном нативном вилане (в первом или в том вилане что настроено на порту как untag),
и будет доступна во всех других виланов в виде тегированного трафика.

alexpreys писал(а): ↑24 июн 2019, 13:31 а вот настройки егресс трафика у себя я не вижу, насколько я понял из вики именно ДефолтВланАйди отвечает за него

Ещё раз хочу саму сущность рассказать = виланы это как архиватор (грубо, но зато проще понимать).
Если Вы что-то "упаковали" с одной стороны, то сначала надо это "распаковать" и тогда это станет доступно.
Так и с виланами, давайте я более проще нарисую логику:
1) есть сервер-видеонаблюдения, он не понимает виланы, подключен в порт свитча, (скажем порт 2) на порту настроено
что весь трафик от порта этого обворачивать виланом скажем 50. То есть ещё раз, трафик пришёл обычный,
нетегированный, мы его прячем за вилан50, дальше этот вилан проходит свитч, может в тегированном ввиде уйти на второй свитч,
и уже на другом свитче, (или на этом, не суть) на другом порту = прежде чем отдать трафик камере, надо снова
растегировать этот вилан, значит на выходе скажем с порта 20, трафик опять станет нетегированный
и камера увидит видео-сервер. При этом трафик обычной сети (в вилане 1) никак не пересечётся.
Поэтому чтобы убунта была доступна в разных виланах, она должна быть в каждом вилане
быть доступна, значит надо на убунте поднимать виланы и их описывать.
Виланы = как по примеру сверху приведённому, - всегда делаются с двух сторон.

alexpreys писал(а): ↑24 июн 2019, 13:31 под оборудованием игнорирующим вланы я имел ввиду оконечное оборудование, типа ноута с виндой

Лучше не допускать, чтобы на порту, куда подключены такие железки были теги, это как-то не эстетично.
Если вилан не нужен, зачем его гнать в порт, где он никому никак не будет полезен? Только нагрузка на
свитч и нагрузка на вход компьютера.

ой вэй, спасибо, стало понятнее !
1. да, "порт изолейшен" - снялся с ручника :)
2. у АТС оказалась какая-то своя идея по поводу обработки вланов, плохая была идея использовать её в качестве тестового стенда
3. пойду ковырять убунту!

зы: т.е. на существующем оборудовании я не могу удалять теги в исходящем трафике на порту свича №1, к которому подключена убунта?
т.е. порт №1 является членом влан20 и влан1, и порт 17 является членом влан20, и CSS326-24G-2S+ не должен и никак не будет "распаковывать" трафик на порту1 (снимать тег влан20 с трафика приходящего с 17го порта) ?

alexpreys писал(а): ↑24 июн 2019, 15:41 ой вэй, спасибо, стало понятнее !
1. да, "порт изолейшен" - снялся с ручника :)

Я рад

alexpreys писал(а): ↑24 июн 2019, 15:41 2. у АТС оказалась какая-то своя идея по поводу обработки вланов, плохая была идея использовать её в качестве тестового стенда

Лучше явно не проверять и делать как я описал в примере, работать с оборудование нативно,
чтобы на вход или с него на вход в сеть всё было нативно и без тегов, а уже внутри
свитча(ей) "обворачивать" трафик разных сетей/сервисов разными виланами.
И техника думает что она работает в нативной сети и сетей у Вас много в виде виланов.

alexpreys писал(а): ↑24 июн 2019, 15:41 3. пойду ковырять убунту!

Линукс априори поддерживает виланы, но да, почитать надо...


НИЖЕ я мало что понял....но даю ответ в меру моего понимания Ваших вопросов...

alexpreys писал(а): ↑24 июн 2019, 15:41 зы: т.е. на существующем оборудовании я не могу удалять теги в исходящем трафике на порту свича №1, к которому подключена убунта?

Теги удалять можете, если тупо так ответить. Если порт у Вас настроен на 50й вилан, и порт сделан как
untag = трафик с вилана 50 на этом порту при выходе будет рас-тегироваться.
Либо если у Вас тип порта "any", а основной вилан 50, то вилан 50 будет растегироваться, но при этом,
на порту1 могут быть другие виланы (приходить, уходить), но всегда с тегом Только!

alexpreys писал(а): ↑24 июн 2019, 15:41 т.е. порт №1 является членом влан20 и влан1, и порт 17 является членом влан20, и CSS326-24G-2S+ не должен и никак не будет "распаковывать" трафик на порту1 (снимать тег влан20 с трафика приходящего с 17го порта) ?

В Вашем примере на сколько я понял и сложил в голове, у Вас порт1 = это транковый порт, порт
куда/где есть 2 и более вилана, значит на порт1 могут и должны приходить трафик вилана20 и трафик вилана17
они входят в порт1, а уже внутри свитча, трафик вилана 20 Вы подаёте на порт 20й (без тега) и трафик вилана17
вы подаёте на порт 17 тоже уже без тега.
ТО есть порт1 это "архиватор", туда пришли всё вместе и вместе оттуда ушли...а уже внутри свитча
вы распаковали...вилан20 на порт20 и вилан17 на порт17 (для удобства взял одинаковые просто цифры).

P.S.
Надеюсь более менее понятно. Я уже в целом местами уже дважды повторился.
Пробуйте....