Mikrotik-Cisco vlan

Hálózatok egyéb

Sziasztok.

A probléma:
http://hup.hu/node/64461#comment-681831

  • 4418 megtekintés

( willy v | 2008. 12. 12., p – 12:04 )

Mikrotikéknál tagged és untagged vlanokat kevergetni nem jó ómen. Legyen tagged minden, és menni fog.

Egyszerűbb lenne, ha le írnád mit szeretnél a két konfig helyett. Pl a mikrotik egy wireless access ami akar hotspottal vagy akármivel felgyűjt ipket a wlan interfészére, és ezt kellene nettel ellátnom, nekem egy cisco switchportom van és a csomagokat a X id-jü vlanba kellene betennem. Mit tegyek. Most jelenleg a 108 -as vlan tagged módban föl van konfigurálva a mikrotikeden. Ami nem egészen érthető mit akarsz vele a ciscon... ahol nativ vlanként van ez beállítva. Így aztán senki sehova.

Van egy viszonylag nagynak nevezhető hálózatom, tizenvalahány switch-el. Mindenhol az 1-es vlan a management vlan, értelem szerűen itt hálózati forgalom nem megy. A forgalom a többi (pl. vlan 101-109) vlanon megy. A mikrotikek 2 épületet kötnének össze pont-pont kapcsolattal wifin. Azt szeretném elérni, hogy a mikrotikeket az 1-es vlanba belerakva management ipcímmel elérném és egy másik vlanon (108) keresztül pedig menne a kliensek forgalma. A mégjobb az lenne, ha ez utóbbi vlannak nem is lenne a mikrotiken IP címe, bár tudom nem switch ez az eszköz.

Köszi.

De ez az eszköz switch, meg router. Bizonyos szempontok alapján többet is tud, mint a switcheid. Ettől nem jobb csak más.
Amit elmondtam az az, hogy untagged (nem azonos, de fogalmilag közös a nativ vlan fogalmával) nem működik közös interfészen mikrotik esetén tagged vlannal. Te a 108-at nativ vlannak állítottad be, így tag nélkül fog kimenni a porton a forgalom ami a 108-as vlanban van viszont a test interfészt meg taggedként konfiguráltad fel a 108as vlanra.
Hát ez hosszú, és teljesen pontosan nem értelek, de megpróbálom:
Én ciscon én sima engedélyezett vlanként felraknám a 108-at és a 1-et erre a portra.
Majd mindkét mikrotiken felhuznék 2 db bridget (interface bridge add)
Az "A" mikrotkiken csinálnék az adott ethernet interfészen 2db tagged vlant (interface vlan add vlan-id=) a 108 és az 1-es vlannak.
Az "A" és a "B" mikrotik közt létrehozod a kapcsolatot.
Én a helyedben nem ap-bridge-station hanem ap-bridge-ap-bridge(wds) módban hoznám létre a kapcsolatot. Ekkor transzparens bridge-et kapsz ezen az interfészen. (ehhez nem kell sok dolog, ugyanaz az ssid, frekvencia beállítás, valamint wds-mode=static a vlan interfészen /mindkét oldalon/ utánna létrehozod a wds interfészt, ezt konfigurálod master interfész (az adott wlan) és a távoli wds azonosító mac address-e révén illete disabled=no val engedélyezed ha ezzel készvagy a wds interfészek is runningba kerülnek és egy drótként funkcionálló wlant kapsz eredményként)
És a létrejövő (mindkét oldali) wds interfészre szintén létrehoznék 2 vlant a 108 illetve a 1-es vlanból ("A" és "B" eszközön is)
Az igy létrejövó etherX wdsX interfészeken lévő vlanokat (vlan-idnként párban) hozzáadnám a létrehozott 2 bridge-hez
(interface bridge port add interface=wds1-vlan1 bridge=bridge1;
interface bridge port add interface=ether?-vlan1 bridge=bridge1;
interface bridge port add interface=wds1-vlan108 bridge=bridge2;
interface bridge port add interface=ether?-vlan108 bridge=bridge2;
Ezt a switch felől lévő "A" eszközön.
Az "A" eszköz konfigurációját befejezve a management interfészt kiszolgáló bridge1 interfésznek adjál ipt (ip address add interface=bridge1 address=managementip/netmask disabled=no)
Ekkor látnod kell a management networkből ezt az eszközt ezen az ip-n.
A másik eszközön már nem lenne kötelező használnod bridget- a management networkre, mert a management ip-t rakhatnád a wds interfészre rárakott vlan1- interfészre, de hátha egyszer mégis kell neked ez a bridge.
Most a konfigban ugye ott tartunk, hogy az első eszköz kész, a másodikkal van wds kapcsolata, és a második wds interfészén van 2db vlan a vlan1 és a vlan108 értelemszerü id-kkel. Van két bridged aminek nincs ip-je, és nincsenek benne portok.
A "B" eszköz releváns ethernet interfészére nem kell vlan (amit leírtál az alapján ide pc-t dugnak amire semmi nem lesz konfigurálva, és itt nem szabad elérni a management vlant).
Ekkor hozzáadod a portot/portpárokat a kiválasztott bridgehez.
interface bridge port add interface=wds1-vlan1 bridge=bridge1;
(ez a management network, ebbe a bridgebe nem kerül más semmi)
interface bridge port add interface=wds1-vlan108 bridge=bridge2;
interface bridge port add interface=ether? bridge=bridge2;
Azaz a releváns ethernet eszközt natívan belerakod a tagged 108-as vlan mellé bridge-be.
Az első brigdgenek adsz ip-t az előző példához hasonlóan. Innentől mindkét eszközt el kell érned a management networkből.
A második bridgeknek nem kell ip, de adhatsz nekik, más megfontolásból. A "B" eszköz ethernet portján pedig használni csak a vlan108-at tudod.
Ennél hosszabra nem vállalkoznék. (ja a minőség miatt bocs kapkodtam)

"Ennél hosszabra nem vállalkoznék. (ja a minőség miatt bocs kapkodtam)"

Ne hülyéskedj, sokkal bővebben írtál mint kelett volna!
Úgynézki, hogy tesz környezetben megy a dolog, még a wifi rész nincs beállítva. Ha élesben is menni fog leírom majd, ez időjárás függő is...

Mik

Szia,

szóval oda sikerült juni, hogy:
Cisco-n van egy fizikai interface 2 db vlannal. Vlan1 és vlan108.
A "switchport trunk native vlan 1" az alapértelmezett vlan.
Mikrotik:
Az 1-es vlant nem hoztam létre, hanem létrehoztam egy bridge-et (bridge1), és ehhez rendeltem a vlan108-at. A bridge1-nek adtam IP címet. Így elérem a management vlan-on (vlan1) keresztül az eszközt, ha adok a vlan108-nak címet akkor az is megy.
Dual-fejes parabolával dolgozunk, ezért a két mikrotik között nstreme-dual kapcsolatot csináltam. Nem tudom, hogy pl. a wds-hez ez hogyan viszonyul... (mármint, hogy mi a különbség közöttük, wds-el lehet-e két külön kártyával rx-tx-et csinálni)
Az nstreme1 szintén a bridge1-be került mind2 mikrotiknél. A kliensek az ether2-ön keresztül fognak kapcsolódni. Ehhez mind2 mikrotikben létrehoztam egy bridge2 interface-t, és ebbe a bridge2-be beletettem a vlan108-at. Így működik!

Konfigurációk, Cisco: 


interface GigabitEthernet4/28
 switchport
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 1,108
 switchport mode trunk
 no ip address
end

Mikrotik1: 


interface vlan print       
 #    NAME              MTU  ARP        VLAN-ID INTERFACE
 0  R vlan108           1500 enabled    108     bridge1

interface bridge print brief          
 #    NAME         MTU  
 0  R bridge1      1500 
 1  R bridge2      1500 

interface bridge port print
 #    INTERFACE BRIDGE  PRIORITY PATH-COST
 0    ether2    bridge1 128      10       
 1    vlan108   bridge2 128      10       
 2    ether3    bridge2 128      10       
 3    nstreme1  bridge1 128      10 

ip address print 
 0   192.168.1.1/24     192.168.1.0     192.168.1.255   ether1   
 1   10.0.10.81/16      10.0.0.0        10.0.255.255    bridge1

Mikrotik2: 


interface vlan print       
 #    NAME              MTU  ARP        VLAN-ID INTERFACE
 0  R vlan108           1500 enabled    108     bridge1

interface bridge print brief
 #    NAME         MTU  
 0  R bridge1      1500 
 1  R bridge2      1500 

interface bridge port print 
 #    INTERFACE BRIDGE  PRIORITY PATH-COST
 0    ether2    bridge2 128      10       
 1    nstreme1  bridge1 128      10       
 2    vlan108   bridge2 128      10 

ip address print
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         BROADCAST       INTERFACE
 0   10.0.10.82/16      10.0.0.0        10.0.255.255    bridge1

Ezzel 2 gondod lesz, most az A mikrotik untaged módban fogadja a vlan1-et, nem tudom milyen szoftververziót használsz, nálam ez soha nem ment, hogyha ugyanazon interfészen volt tagged vlan is. Nem tudom mostmár minden verzióval megy e, de én nem bíznék benne. Ha megy megy.
Másik az nstreme dual. Amellett, hogy gondolom sebesség miatt csinálod, és nem a duplexitása miatt problémás az üzemeltetése, és az információk kinyerése (jel/zaj szint stb.) ha megy akkor imádkozz, hogy mindig így menjen.

2.9.35 és 2.9.38

"Másik az nstreme dual. Amellett, hogy gondolom sebesség miatt csinálod, és nem a duplexitása miatt problémás az üzemeltetése, és az információk kinyerése (jel/zaj szint stb.) ha megy akkor imádkozz, hogy mindig így menjen."

Igen, a sebesség miatt. Ok, nem megbízható. Van más hasonló megoldás amivel érdemes foglalkozni? Bonding? Vagy legyen inkább 1 kártya WDS-el? Nemtudom...? Mit javasolsz?

Köszi! Majd írd meg sört/bort/csokit hova postázzam :)

Nincs javaslatom, a bonding nem megy rendesen. Nem tudom mi a platform, számítási teljesítménytől és átviteli sebességtől tenném függővé mit használok. SLA kérdése hogy mit mersz rajta üzemeltetni. Sok mindentől függ.
Egyébként, csak nehogy félrehalld: nem az nstreme-van gond, hanem az nstreme-dual technológiával, amit nem tudsz rendesen monitorozni, és egyszer csak bemondja az unalmast valami -- vagy csak rakoncátlankodik -- és még azt sem tudod mi történt (azt is sokáig fogod keresni mi a hiba maga).
Maga a sebesség pedig nem szokta indokolni ennek használatát. Lehet hogy neked megfelelő, ha csak ez a link van, és minden jól megy, akár évekig le van róla a gond.

( _Petya_ v | 2009. 02. 25., sze – 14:46 )

Sziasztok!

Van nekem 2 db mikrotikem, és tagged VLAN trunk-öt szeretnék rajta átvinni. Az eszközöknek csak az egyik VLAN-ban van IP címe. Az egyik oldalon felvettem az eth1 interface-re a két vlant, és az egyik vlan-nak beállítottam az IP-t.

Létrehoztam egy bridge-et, amelybe felvettem az eth1-et, és a wlan1-et, ezt követően az 1-es ethernet porton nem lehetett elérni az eszközt, csak miutás soros konzolról töröltem a brudge-et.

Kérdésem: ha nem így, akkor hogyan tudok több vlan-t átvinni egy bridge-en? (Ha a bridge-be a vlan interface-eket veszem fel, akkor közöttük is bridge-elni fog?)

Petya

Sziasztok!

A következőt szeretném elérni:

- van egy A oldali eszközöm, amelybe az ether1-en bejön egy VLAN trunk, amely 1-es és 2-es VLAN-t tartalmaz. Az 1-es a "management VLAN", tehát az A és B oldali eszközöknek innen szeretnék IP-t adni (10.0.0.0/8), a 2-es pedig a publikus VLAN (legyen mondjuk 1.2.3./24). Az A oldalon van egy bridge, amely az ether1-et és az nstreme1-et köti össze.
- a B oldalon az nstreme1-en tehát VLAN trunk jön. Én viszont azt szeretném, hogy a B oldal ether1 portján már csak a 2-es VLAN legyen (untagged).

Viszont a B oldali eszköznek nem szeretnék publikus tartományból IP-t adni, tehát továbbra is az 1-es VLAN-ból, 10.x.x.x címen szeretném elérni.

Ezt hogyan tudom mikrotik alatt megvalósítani?

a konfigok: A: http://molnarp.pastebin.com/f7f7a262f , B: http://molnarp.pastebin.com/f351697ed

Petya