mikrotik rb4011 vlan ether-en direktben hogyan?

Hálózati eszközök

Szia!

Adott egy MT rb4011-iGS+ router. Eldöntöttem, hogy pl. az okostv-t, nyomtatót külön vlan-okba teszem.
WiFin megy a vlan.
Viszont napok óta nem tudtam beindítani, hogy egy adott portra direktbe kötött eszköz külön vlanban
legyen. Felhúzott DHCP, IP address van. De a rákötött eszköz nem kap IP címet, semmi.
Mit bökhetek el?
A próbálkozásom:

Untagged vlan-t gondolok:
/interface bridge
add name=bridge-tv vlan-filtering=yes

/interface vlan
add interface=bridge-tv name=vlan-tv vlan-id=50

/interface bridge port
add bridge=bridge-tv interface=ether5 pvid=50

/interface bridge vlan
add bridge=bridge-tv untagged=ether5 vlan-ids=50

Roland

  • 597 megtekintés

( quash | 2021. 11. 11., cs – 09:07 )

Szerkesztve: 2021. 11. 11., cs – 09:12

https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge

vlan-filtering (yes | no; Default: no)  -   Globally enables or disables VLAN functionality for bridge.

pl.

/interface bridge
add fast-forward=no name=br-dmz protocol-mode=none

/interface bridge port
add bridge=br-dmz interface=ether6

/interface vlan
add comment=Managment interface=br-dmz name=vlan2_br-dmz vlan-id=2

( igiboy | 2021. 11. 11., cs – 10:00 )

Nagyon a kérdést sem értem, a topológia pedig teljesen zavaros. 
Wifin megy a vlan mit jelent? Mire gondolt a költő?

Külön hálózatokat akarsz? (néha ezt nevezik VLAN-nak az emberek, mint a STIHL fűrészt, vagy a Flex-et)
[A VLAN egy adatátviteli forma egy azonos adatkapcsolati rétegen belül vihetsz többet függetlenül, röviden több UTP kábel helyet 1 kábel kell]

Létrehoztál több bridge-t? Van több DHCP szervered, stb... bridge-k beállítása megtörtént (IP címek, tűzfal szabályok, stb...)?
Ha ezek megvannak akkor az adott portokat az adott bridge-hez rendeled, vagy VLAN, vagy amivel át akarod vinni a másik helyre az adatot.
Hogy szeretnéd megvalósítani? MikroTik-ben sokmindent sokféle képpen lehet megcsinálni. 
 

Tehát a routerben külön hálózatok kellenek, hogy legyenek, a külön hálózatok általában 1-1 bridge-hez tartoznak. (de nem szükségszerűen)
Az hogy kifelé hogy és mi módon megy a hálózat, pl dedikált porton, VLAN-al, EoIP, pppoe, pptp, vagy akármi más, az megint más tészta.

Hálózat != VLAN 

Persze lehet olyan eset amikor 1 adott hálózat már azonnal 1 adott VLAN-t is jelent. Van sok eszköz ami hálózat = VLAN megfelelésben van.

A topológia még mindig nem érthető számomra, nem értem mit is szeretnél és hogyan. Ha jól értem ezt a válaszod Wifin van már vírtuális AP-k amik 1-1 VLAN-ra csatlakoznak és azok mennek.

( elod v | 2021. 11. 11., cs – 10:17 )

Valahogy így van nálam (részletek)

/interface vlan
add interface=ether2 name=vlan1-e2 vlan-id=1
add interface=ether2 name=vlan12-e2 vlan-id=12
add interface=sfp-sfpplus1 name=vlan12-sfp vlan-id=12
add interface=ether2 name=vlan14-e2 vlan-id=14

/interface bridge port

add bridge=br-vlan12 interface=vlan12-e2 multicast-router=disabled
add bridge=br-vlan12 interface=vlan12-sfp multicast-router=disabled
add bridge=br-vlan14 interface=vlan14-e2 multicast-router=disabled
add bridge=br-vlan14 interface=vlan14-sfp multicast-router=disabled
add bridge=br-vlan15 interface=vlan15-e2 multicast-router=disabled
add bridge=br-vlan15 interface=vlan15-sfp multicast-router=disabled

 

IP konfiguráció csak a bridge-en van

/ip address

add address=192.168.18.1/24 interface=br-vlan18 network=192.168.18.0
add address=192.168.12.59/24 interface=br-vlan12 network=192.168.12.0

( hyperborg | 2021. 11. 11., cs – 10:46 )

Egyébként mi az előnye ennek a VLAN-ozának ez eredeti posztban?

nem teljesen ertem mi a celod, vannak mas switcheid a halozatoban, hogy VLAN-okat csinalsz?

ha minden a MT-re van kotve, teljesen felesleges vlanoznod, hisz' minden kulon fizikai porton van, onnantol ha nincs kozos bridge, nincs forgalom sem.

a tobbi a tuzfal/routing dolga

Erre gondoltam az untagged vlan. Wifi vlan -> unifin keresztül - ez tagged. Ether portokon egy-egy eszköz van.

Egyébként meg tűzfalazva vannak/lesznek a vlanok - ergo nem látja az ott lévő kliens, hogy milyen (ill. van-e) eszközök vannak a "fő" wfiin. ezt vlan nélkül, hogyan?

Attol, h van wifi es azon tobb vlan, a halozat tobbi resze fizikailag kulon portokra van osztva, tovabb switchelve nincs, igy azt vlanozni teljesen felesleges.

miert teszel ilyet es csinalsz egy nagy switchet belole (bridge), hogy aztan szetszedd es vlanozgass rajta? :D

vagy eljon vagy nem, de az biztos :) mindenesetre amig lehet egyszeruen is megoldani valamit, addig talan az egyszeru a jo megoldas. nem azt mondom, hogy nem lehet vlan-aware bridge-dzsel megcsinalni, csak nem erzem, hogy egy ilyen setup eseten volna letjogosultsaga :) plusz fizikai L2 szeparacio>vlan szeparacio, ha mar a biztonsag az elsodleges cel.

ha ket eszkozt osszekotsz layer2-ben (mondjuk mert odaer a vlan), onnantol tuzfalazni sem fogod tudni ertelmesen es/vagy csak a nyug van vele. mig ha az MT a GW es nincs layer2, amig nem forwardolsz a ket tartomany kozott az fix, hogy nem ugranak at csomagok ket interface kozott :)

mert azonos tartomanyban vannak, tehat layer2 (arp) szinten kell lassak egymast, ugyanis a routing tablajuk alapjan a csomag nem a gw (vagy mas destination IP) fele kell menjen hanem az adott arp-vel rendelkezo cel fele (kiokadjuk az interface-en a megfelelo MAC cimmel) :)

ha ezt a kommunikaciot megtiltod, akkor pedig hiaba is vannak azonos tartomanyban, semmit nem fognak egymas fele forgalmazni. lehet ilyet csinalni, de minek :)

ha nem kell lassak egymast, nem is kell egy tartomanyban legyenek, sot, nem kell osszeswitchelve sem lenniuk.

( junior013 | 2021. 11. 11., cs – 13:50 )

Ha WiFi-n megy a VLAN - gondolom, külön SSID-vel - meg látom, hogy "bridge-tv", tehát látszólag a "régi iskolát" követed, azaz VLAN-onként külön Bridge van és azon van az IP, DHCP?
Ezesetben NEM kell spec. PVID a portra és NEM kell VLAN filtering sem, viszont nem lesz HW offload-od. Ami portot beraksz a bridge-be, az abban a VLAN-ban lesz, viszont a procin át megy a forgalma, nem a switch-en. Nem ez a szép megoldás, de elsőre legalább működik.

"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

( thomasp001 | 2021. 11. 11., cs – 15:25 )

No én úgy csináltam, az én MT2011 esemben, hogy a 2-10 portot összefogtam egy bridge-be. elneveztem LAN nak. ennek a bridge-nek adtam egy ip cimet, és és dhcp szervert. ha ugy tetszik ez a szerviz vlan....tag1

létrehoztam a vlan interface-eket aminek a szülője a LAN bridge. ezeknek ip, dhcp szerver stb stb
a bridgen engedélyeztem a vlan filteringet.

a vlan oknál pedig az összes vlan tagged a bridge-re, és azon a porton amin szertnéd kivenni a vlan-t oda untagged.... aztán a bridge port beállitásainál pedig pv-id ugyanaz mint a vlan amit untaggelni szeretnél....
 

az enyém valahogy igy néz ki:

/interface vlan
add interface=LAN name=Admin-7 vlan-id=7
add interface=LAN name=Csalad-11 vlan-id=11
add interface=LAN name=Guest-14 vlan-id=14
add interface=LAN name=Hikvision-13 vlan-id=13
add interface=LAN name=Intserv-8 vlan-id=8
add interface=LAN name=Iot-9 vlan-id=9
add interface=LAN name=Pubserv-6 vlan-id=6
add interface=LAN name=Solar-12 vlan-id=12

/ip address
add address=192.168.10.1/24 interface=LAN network=192.168.10.0
add address=192.168.11.1/24 interface=Csalad-11 network=192.168.11.0
add address=192.168.12.1/29 interface=Solar-12 network=192.168.12.0
add address=192.168.13.1/24 interface=Hikvision-13 network=192.168.13.0
add address=192.168.6.1/24 interface=Pubserv-6 network=192.168.6.0
add address=192.168.9.1/24 interface=Iot-9 network=192.168.9.0
add address=192.168.8.1/24 interface=Intserv-8 network=192.168.8.0
add address=192.168.14.1/24 interface=Guest-14 network=192.168.14.0
add address=192.168.7.1/24 interface=Admin-7 network=192.168.7.0

 

Alant bridge portok nálam átnevezve, (már amelyik)

/interface bridge port
add bridge=LAN interface=TV-Switch
add bridge=LAN interface=PC
add bridge=LAN interface=Server
add bridge=LAN interface=hikvision-cam pvid=13
add bridge=LAN interface=ether7 pvid=12
add bridge=LAN interface=ether9
add bridge=LAN interface="Unifi Ap"
add bridge=LAN interface=Banana
add bridge=LAN interface=ether8 pvid=11

/interface bridge vlan
add bridge=LAN tagged="LAN,PC,Unifi Ap" untagged=ether8 vlan-ids=11
add bridge=LAN tagged="LAN,Unifi Ap,PC" untagged=ether7 vlan-ids=12
add bridge=LAN tagged=PC,LAN untagged=hikvision-cam vlan-ids=13
add bridge=LAN tagged="LAN,Unifi Ap" vlan-ids=9
add bridge=LAN tagged=LAN,Server vlan-ids=6
add bridge=LAN tagged=LAN,Server vlan-ids=8
add bridge=LAN tagged="LAN,Unifi Ap" vlan-ids=14
add bridge=LAN tagged="LAN,Unifi Ap,PC,Server" vlan-ids=7

igen, a fő nagy bridgen is van dhcp, nekem az service vlan, ebben a vlan-ban vannak a hálózati eszközök, unifi flex-switchek.

Onnan tudja, hogy interfacere van felhúzva az ip és a dhcp.
Minden vlan valojában egy virtuális interface, nem csak vlan, igy mindegyiknek külön tudsz adni ip cimet (ez lesz a hálód átjárója) , dhcp-t stb stb. igy már ip alapon tudod natolni, routeolni a hálódat ezt már a mikrotik megoldja.
A fő bridgen azáltal, hogy ő a szülője a vlan interface-nek, szépen ott vannak a tagged csomagok amikor a bridge vlan paramétereit állitgatod a tagged/untaggedre portonként akkor csak azt mondod meg neki,hogy az aktuális porton mi menjen tovább, és hogyan?
ha aktuális portra egy adott vlan-t untaggedre teszel, egyszerüen leveszi róla a vlan-hoz tartozó tagge-t és a géped szempontjából ugy látszik, mintha fizikai interface-vel beszélgetne, aminek ugye van ip-cime.

 

Nagyjából a bridge-d ilyenkor kb olyan mint egy vlan képes switch, mint ahogy fejjebb dorsy kolléga mondta..

 

( Z0l v | 2021. 11. 11., cs – 17:21 )

Multkor volt errol egy jo beszelgetesem itt a hupon, amin elhangzott hogy ha egynel tobb bridge-et csinalsz akkor bukod a hw offloadingot; ennel a fenti setupnal megmaradt a hw offloading?

Eszköz függő, nem midegy milyen a switch chip. 
Ezért nincs is úgymond template szerü beállítás. Tudnod kell, hogy mit akarsz és az adott eszközön hogyan tudod véghez vinni.
Vannak irányok, tippek, hogy éppen hogy lehet jó. De az, hogy valóban melyik a jó megoldás már az eszköz kiválásztásánál kezdődik.
A HW offload is olyan dolog, hogy lehet rá élvezni hogy ott a HW-nél a yes éppen, de ha arra nem megy olyan forgalom ami ezt kihasználná, akkor csupán egy jelző. Közben pedig egy másik irányba jó lenne, de ott meg valami miatt nincs.

Jogos. Lattam hogy a 7rc1-be beletettek a hw offloadot vlan filtering eseten is a 4011-nel, de egyelore nem akartam frissiteni 7-re (meg hogy oszinte legyek nem is teljesen vilagos a 7-esben hogy mukodik a hw offloading meg hogy hogyan kellene beallitani es nincs most idom kitesztelni proba szerencse alapon). Azert erdekolodok a temarol mert erdekel mennyire idotallo a mostani setupom, de ez a 4011 egy eleg combos eszkoz es offloading nelkul is kiszolgalja amit kell.

Csak meg kell nézni a 4011 -ben milyen switch van és annak a featureit. A 4011-ben pl csinálsz egy bridget ami a TRUNK lesz, minden portot beleteszel, klassz HWoffload ha kikapcsolod a RSTP-t. Ugyanis a switch chipje azt nem tudja. Amint bekapcsolod az RSTP-t abban a pillanatban már processzor logika kell és behordozza a CPU-felé a csomagokat így a switch chipből kilépve már nem lesz HWoffload. Ez mindegy, hogy melyik ROS esetében mert ez a swich chiptől függ. Ráadásul 4011-ben két kis swich chip van. Ez lehet jó is meg lehet rossz is. Mindenesetre lehet variálni és lehet játszani a konfiggal, amilyen neked éppen kell.

Klassz.