VLAN между RB и D-Link
Добавлено: 22 июл 2025, 13:25
Доброго времени суток, форумчане!
Прошу помощи разобраться с VLAN'ами.
Я совсем не гуру в Mikrotik, но и не детский сад. Много чего повидал на своём веку, часто делал на них базовые L2+L3+firewall, в т.ч. с мангалами, но вот как-то работать с VLAN'ами не приходилось. И вот - застрял как пацан. Стыдно.
Помогите избавиться от лукавого и направьте на путь истинный.
Есть свич D-Link DGS-1210-24. Назовём его S1. Казалось бы, при чем тут D-Link на этом форуме? Аплинком висит роутер Mikrotik RB750Gr3 с ROS v6.49.19. Пусть будет R1.
Между ними организован Bonding на двух Eth портах, по D-Link'овски - LAG, причём, Static без всяких там LACP (вроде бы нет смысла в простой схеме). С Bonding/LAG тоже есть некоторые нюансы, но это не главное. Позже спрошу либо сам добью ситуацию.
Задача разбить сеть на VLAN'ы по группам оборудования на S1, а роутер R1 использовать как L3, рулить маршрутами и фильтрами между VLAN'ами, ну и плюсом для выхода в тырнет. Некоторые VLAN'ы будут ходить везде, некоторые только друг к другу в гости. Ниже за S1 позже появятся еще свичи, подцепленные тегированными портами. В будущем задачи L3 и выхода в WAN будут разделены на разные железки, обе Mikrotik, но пока сеть не выросла, пусть корячатся на одном R1.
Вроде бы, выглядит вполне просто. Однако, хренушки...
Таблица VLAN плановая (используются ID 10хх):
01 по умолчанию (не будет использоваться)
06 серверы
07 основной телеком (АТС)
08 крупные МФУ
11 десктопы, ноутбяки, мелкие МФУ
12 абонентский телеком (телефоны)
21 СКУД
22 CCTV
31 тестовая зона, лаба для экспериментов
99 мёртвый (для неиспользуемых портов)
Что сделано на текущий момент - см. схему.
На схеме зеленым и синим помечено уже существующее оборудование, а красным - что должно появиться в ближайшее время. Пока оборудования минимум. Проще экспериментировать. Однако, эта сеть уже в эксплуатации, т.е. режем по живому. Лабу собрать нет возможности, просто нет нужного оборудования.
Список по портам свича S1 (дополнение к схеме, если текстом проще читать):
eth01: tagged 06, 07 (будет сервер с виртуалками)
eth02: tagged 06, 07 (виртуалки с VLAN ID на порту, физически на одной машине)
eth03: untagged 99 (заглушка)
eth04: untagged 99 (заглушка)
eth05: untagged 07 (будет АТС)
eth06: untagged 07 (будет шлюз GSM)
eth07: untagged 08 (МФУ)
eth08: untagged 08 (будет МФУ)
eth09: untagged 11 (ноут)
eth10: untagged 01 (default - это дыра на случай коллапса)
eth11: untagged 01 (default - это дыра на случай коллапса)
eth12: untagged 12 (будет телефон)
eth13: untagged 21 (будет СКУД)
eth14: untagged 21 (будет СКУД)
eth15: untagged 22 (будет видеорег)
eth16: untagged 22 (запасной)
eth17: tagged 31 (торчит роутер Mikrotik RBD52G-5HacD2HnD, пока просто торчит)
eth18: tagged 31 (запасной)
eth19: tagged ** (все VLAN, аплинк LAG к R1)
eth20: tagged ** (все VLAN, аплинк LAG к R1)
eth21: tagged * (некоторые VLAN, даунлинк LAG к будущему S2)
eth22: tagged * (некоторые VLAN, даунлинк LAG к будущему S2)
eth23: untagged 99 (заглушка)
eth24: untagged 99 (заглушка)
sfp21: не используется
sfp22: не используется
sfp23: не используется
sfp24: не используется
Скрин веб-морды S1.
Список по портам роутера R1 (дополнение к схеме, если текстом проще читать):
eth01: wan1 (временно отсутствует)
eth02: wan2 (временно отсутствует)
eth03: lan1 (bon1)
eth04: lan2 (bon1)
eth05: lanR (резервный доступ, без бриджа, вообще голый, если сломаем вообще все)
Доступ наружу временно через LTE. Тут всё робит, проблем нет. Это мая уметь. Многа раз уметь.
На свиче S1 всё поделено на VLAN'ы. Пока Management VLAN не включён. Доступ есть с любого порта. На всякий случай порты 10,11 оставлены в VLAN1 по дефолту. Если что, через них коннектимся и вертаем всё в зад.
Порты 19+20 на S1 объединены в static LAG (port trunking). Также, есть LAG для 21+22 и 23+24, но к ним пока ничего не подключено, поэтому игнорируем.
Эти порты 19+20 на S1 воткнуты шнурками в порты 3+4 на R1, где организован bonding с параметрами 802.3ad, L2, ARP. Назовём его bon1. Я так понимаю, это тот же Static LAG в интерпретации D-Link'а. Работает. Пока не начинаю прикручивать VLAN'ы вообще всё идеалити, даже пинги <1ms.
На bon1 повешены интерфейсы VLAN с номерами 06,07,08,11,12,21,22,31. Дефолтный 01 и заглушка 99 не повешены, потому что не надо.
А вот дальше момент, который мне не совсем понятен.
Сижу я на ноуте 10.1.1.199/24 в порту 09 на S1, то бишь в untagged 11. Свич S1 - 10.1.1.11/24. Роутер R1 - 10.1.1.2/24 (адрес на бридже).
Вариант 1. Если у меня на R1 в home-бридже, не важно с какой целью, висит сам bon1, то по L3 доступа нет - логично, ведь адрес на бридже, а я на vlan-интерфейсе, нет вопросов, но... иногда начинает кувыркаться подключение WinBox по MAC'у. Ему-то какая разница? В конфиге Tools / MAC Server доступ разрешен с all. Причем, иногда пол-дня может всё ОК, потом снова хряпс! А иногда потеря линка каждые 5-10 секунд. Я подозреваю, что дело может быть в bonding - он кувыркается, но по какой причине? RSTP?
Вариант 2. Если на R1 в home-бридже собрать vlan-интерфейсы и выкинуть bon1, то по L3 я роутер вижу, но...
1) возникает постоянный трафик на всех vlan-интерфейсах одновременно - подозреваю, что это нормально - видимо, как минимум, ARP гоняет да и много чего еще не нужного? (см. скрин interface+bridge).
2) возникает потеря пакетов, причем, что количество, что время нормы/потери, что длина серии потери - хаотичны, да и доступ по MAC'у есть, но кувыркается в полном соответствии с потерей пакетов (см. скрин параллельного пинга до S1, R1, Srv1, Prn1).
3) После включения всей схемы пинги между мной и R1 идут с потерями условно 1%, а до сервера (порт 02 tagged 06 на S1) и до МФУ (порт 07 untagged 08 на S1) пинги вообще начинают идти минут только через 3-7. Иногда могут снова пропасть на какое-то время (замер - хаотично). При этом, пинги до S1 идут 100% без потерь. Ну, ежу понятно, что дело в R1 так как он рулит, но... в чём беда? Т.е. если бы он не знал маршрут - вообще бы пинги не шли. А они как бы идут, но не сразу. Неужто ARP не может найти лошадь в стойле?
Кстати, на скрине с потерей пингов еще лайтовая ситуация. Иногда теряется каждый второй. Потом опять оп-па лучше стало! Но когда пинг есть, серия или единичный, он всегда в пределах 1-3ms, а CPU на R1 всегда почти на нуле.
Прошу не бить по голове за то, что пока IP-адресация по VLAN'ам не раскидана. Собственно, оно же и так должно как-то пыхтеть. Возможно, будет выделено несколько /24-х, а может быть единая /24-я и каждый VLAN в ней в /26 или /27. Не суть. Пока экспериментируем.
Я не говорю, что мне надо первый или второй вариант. Мне просто хочется простыми советскими словами понять - почему происходит то, что происходит. Ну, или получить ремня от отца за неправильную настройку - но тоже с пояснениями. Это первое.
Ну, и второе - собственно, а как правильно?
А третье - чем рулить/фильтровать? Таки IP/Firewall или Bridge/Filters?
Кучу тем прочитал про Mikrotik/VLAN, но вообще ни разу не нашел ничего применительно к моей ситуации, когда мы всё тегируем и транкуем в одну сторону между S1 и R1. Обычно все статьи касаются как сделать VLAN'ы на самом MT в качестве свича.
Что я дурак - даже не сомневаюсь. Опыта в Mikrotik у меня мало. Вот когда лет 20 я с ними провожусь, тогда позволю себе сказать иное.
В общем, жду. Сижу тут скромненько в углу. Буду благодарен за подсказки.
Прошу помощи разобраться с VLAN'ами.
Я совсем не гуру в Mikrotik, но и не детский сад. Много чего повидал на своём веку, часто делал на них базовые L2+L3+firewall, в т.ч. с мангалами, но вот как-то работать с VLAN'ами не приходилось. И вот - застрял как пацан. Стыдно.
Помогите избавиться от лукавого и направьте на путь истинный.
Есть свич D-Link DGS-1210-24. Назовём его S1. Казалось бы, при чем тут D-Link на этом форуме? Аплинком висит роутер Mikrotik RB750Gr3 с ROS v6.49.19. Пусть будет R1.
Между ними организован Bonding на двух Eth портах, по D-Link'овски - LAG, причём, Static без всяких там LACP (вроде бы нет смысла в простой схеме). С Bonding/LAG тоже есть некоторые нюансы, но это не главное. Позже спрошу либо сам добью ситуацию.
Задача разбить сеть на VLAN'ы по группам оборудования на S1, а роутер R1 использовать как L3, рулить маршрутами и фильтрами между VLAN'ами, ну и плюсом для выхода в тырнет. Некоторые VLAN'ы будут ходить везде, некоторые только друг к другу в гости. Ниже за S1 позже появятся еще свичи, подцепленные тегированными портами. В будущем задачи L3 и выхода в WAN будут разделены на разные железки, обе Mikrotik, но пока сеть не выросла, пусть корячатся на одном R1.
Вроде бы, выглядит вполне просто. Однако, хренушки...
Таблица VLAN плановая (используются ID 10хх):
01 по умолчанию (не будет использоваться)
06 серверы
07 основной телеком (АТС)
08 крупные МФУ
11 десктопы, ноутбяки, мелкие МФУ
12 абонентский телеком (телефоны)
21 СКУД
22 CCTV
31 тестовая зона, лаба для экспериментов
99 мёртвый (для неиспользуемых портов)
Что сделано на текущий момент - см. схему.
На схеме зеленым и синим помечено уже существующее оборудование, а красным - что должно появиться в ближайшее время. Пока оборудования минимум. Проще экспериментировать. Однако, эта сеть уже в эксплуатации, т.е. режем по живому. Лабу собрать нет возможности, просто нет нужного оборудования.
Список по портам свича S1 (дополнение к схеме, если текстом проще читать):
eth01: tagged 06, 07 (будет сервер с виртуалками)
eth02: tagged 06, 07 (виртуалки с VLAN ID на порту, физически на одной машине)
eth03: untagged 99 (заглушка)
eth04: untagged 99 (заглушка)
eth05: untagged 07 (будет АТС)
eth06: untagged 07 (будет шлюз GSM)
eth07: untagged 08 (МФУ)
eth08: untagged 08 (будет МФУ)
eth09: untagged 11 (ноут)
eth10: untagged 01 (default - это дыра на случай коллапса)
eth11: untagged 01 (default - это дыра на случай коллапса)
eth12: untagged 12 (будет телефон)
eth13: untagged 21 (будет СКУД)
eth14: untagged 21 (будет СКУД)
eth15: untagged 22 (будет видеорег)
eth16: untagged 22 (запасной)
eth17: tagged 31 (торчит роутер Mikrotik RBD52G-5HacD2HnD, пока просто торчит)
eth18: tagged 31 (запасной)
eth19: tagged ** (все VLAN, аплинк LAG к R1)
eth20: tagged ** (все VLAN, аплинк LAG к R1)
eth21: tagged * (некоторые VLAN, даунлинк LAG к будущему S2)
eth22: tagged * (некоторые VLAN, даунлинк LAG к будущему S2)
eth23: untagged 99 (заглушка)
eth24: untagged 99 (заглушка)
sfp21: не используется
sfp22: не используется
sfp23: не используется
sfp24: не используется
Скрин веб-морды S1.
Список по портам роутера R1 (дополнение к схеме, если текстом проще читать):
eth01: wan1 (временно отсутствует)
eth02: wan2 (временно отсутствует)
eth03: lan1 (bon1)
eth04: lan2 (bon1)
eth05: lanR (резервный доступ, без бриджа, вообще голый, если сломаем вообще все)
Доступ наружу временно через LTE. Тут всё робит, проблем нет. Это мая уметь. Многа раз уметь.
На свиче S1 всё поделено на VLAN'ы. Пока Management VLAN не включён. Доступ есть с любого порта. На всякий случай порты 10,11 оставлены в VLAN1 по дефолту. Если что, через них коннектимся и вертаем всё в зад.
Порты 19+20 на S1 объединены в static LAG (port trunking). Также, есть LAG для 21+22 и 23+24, но к ним пока ничего не подключено, поэтому игнорируем.
Эти порты 19+20 на S1 воткнуты шнурками в порты 3+4 на R1, где организован bonding с параметрами 802.3ad, L2, ARP. Назовём его bon1. Я так понимаю, это тот же Static LAG в интерпретации D-Link'а. Работает. Пока не начинаю прикручивать VLAN'ы вообще всё идеалити, даже пинги <1ms.
На bon1 повешены интерфейсы VLAN с номерами 06,07,08,11,12,21,22,31. Дефолтный 01 и заглушка 99 не повешены, потому что не надо.
А вот дальше момент, который мне не совсем понятен.
Сижу я на ноуте 10.1.1.199/24 в порту 09 на S1, то бишь в untagged 11. Свич S1 - 10.1.1.11/24. Роутер R1 - 10.1.1.2/24 (адрес на бридже).
Вариант 1. Если у меня на R1 в home-бридже, не важно с какой целью, висит сам bon1, то по L3 доступа нет - логично, ведь адрес на бридже, а я на vlan-интерфейсе, нет вопросов, но... иногда начинает кувыркаться подключение WinBox по MAC'у. Ему-то какая разница? В конфиге Tools / MAC Server доступ разрешен с all. Причем, иногда пол-дня может всё ОК, потом снова хряпс! А иногда потеря линка каждые 5-10 секунд. Я подозреваю, что дело может быть в bonding - он кувыркается, но по какой причине? RSTP?
Вариант 2. Если на R1 в home-бридже собрать vlan-интерфейсы и выкинуть bon1, то по L3 я роутер вижу, но...
1) возникает постоянный трафик на всех vlan-интерфейсах одновременно - подозреваю, что это нормально - видимо, как минимум, ARP гоняет да и много чего еще не нужного? (см. скрин interface+bridge).
2) возникает потеря пакетов, причем, что количество, что время нормы/потери, что длина серии потери - хаотичны, да и доступ по MAC'у есть, но кувыркается в полном соответствии с потерей пакетов (см. скрин параллельного пинга до S1, R1, Srv1, Prn1).
3) После включения всей схемы пинги между мной и R1 идут с потерями условно 1%, а до сервера (порт 02 tagged 06 на S1) и до МФУ (порт 07 untagged 08 на S1) пинги вообще начинают идти минут только через 3-7. Иногда могут снова пропасть на какое-то время (замер - хаотично). При этом, пинги до S1 идут 100% без потерь. Ну, ежу понятно, что дело в R1 так как он рулит, но... в чём беда? Т.е. если бы он не знал маршрут - вообще бы пинги не шли. А они как бы идут, но не сразу. Неужто ARP не может найти лошадь в стойле?
Кстати, на скрине с потерей пингов еще лайтовая ситуация. Иногда теряется каждый второй. Потом опять оп-па лучше стало! Но когда пинг есть, серия или единичный, он всегда в пределах 1-3ms, а CPU на R1 всегда почти на нуле.
Прошу не бить по голове за то, что пока IP-адресация по VLAN'ам не раскидана. Собственно, оно же и так должно как-то пыхтеть. Возможно, будет выделено несколько /24-х, а может быть единая /24-я и каждый VLAN в ней в /26 или /27. Не суть. Пока экспериментируем.
Я не говорю, что мне надо первый или второй вариант. Мне просто хочется простыми советскими словами понять - почему происходит то, что происходит. Ну, или получить ремня от отца за неправильную настройку - но тоже с пояснениями. Это первое.
Ну, и второе - собственно, а как правильно?
А третье - чем рулить/фильтровать? Таки IP/Firewall или Bridge/Filters?
Кучу тем прочитал про Mikrotik/VLAN, но вообще ни разу не нашел ничего применительно к моей ситуации, когда мы всё тегируем и транкуем в одну сторону между S1 и R1. Обычно все статьи касаются как сделать VLAN'ы на самом MT в качестве свича.
Что я дурак - даже не сомневаюсь. Опыта в Mikrotik у меня мало. Вот когда лет 20 я с ними провожусь, тогда позволю себе сказать иное.
В общем, жду. Сижу тут скромненько в углу. Буду благодарен за подсказки.
