+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

CRS VLAN, транкинг и коммутация

CRS VLAN, транкинг и коммутация, RouterOS

steen

Guest

07.12.2013 21:34:00

Привет всем! Несколько недель назад получил свои первые CRS устройства. Первое из них уже в производстве, это было легко, так как это просто коммутатор без VLAN и trunk-линков и т.д. Работает как часы! У меня есть несколько вопросов (как, полагаю, у многих). CRS пришёл с предустановкой в виде классического роутера с активированным NAT и DHCP сервером и клиентом. Превратить его в коммутатор? Я отключил NAT, DHCP клиент и сервер, также отключил несколько пакетов, вроде hotspot и wireless, и открыл файрвол для winbox и отключил все ip → services, кроме ssh и winbox. Какие еще пакеты стоит отключить? Думаю отключить routing, ppp, mpls и dhcp тоже. IP Settings, IP Forward? Затем углубившись, ip → settings, там я вижу, что отмечены: IP Forward, Send Redirects, Secure Redirects, Allow Fast Path. Стоит ли их тоже отключать? IP Forward = routing включен, мне это не нужно в коммутаторе. И что ещё? Есть ли что-то ещё, о чём стоит подумать, чтобы сделать из него чистый коммутатор? Я не нашёл места для настройки Spanning Tree в коммутаторе, чтобы предотвратить петли, у нас большая сеть. Где мне активировать Spanning Tree? Даже если способ настройки VLAN показался мне немного странным, я понял, как происходит обработка ingress и egress с помощью VLAN-тегирования, и настроил это с помощью trunk и access портами. Заранее спасибо!

steen

Guest

07.12.2013 22:55:00

Привет всем! Небольшое обновление: я зашел в IP > Настройки и снял все галочки. Потом отключил hotspot, mpls, ppp, routing.

Все работает нормально, как и ожидалось, без них, смотрите на картинку, может, отключать их и не нужно, не знаю. У кого-нибудь есть какие-то идеи на этот счет? У меня есть одна проблема: я подключил свой ноутбук к одному access-порту CRS-свитча (подключен к VLAN 200). У меня примерно 10 разных VLAN:ов. Настройка: DHCP сервер —>> fa/10 (cisco access port)—>> Cisco 2960 fa/15 (cisco trunk port) —>> ether2 (CRS) —>> ether 10 —>> Конфигурация Laptop: Port Based VLAN configurion использовалась из: http://wiki.mikrotik.com/wiki/Manual:CRS_examples Я нахожусь в сети 172.16.1.0/24 VLAN 200, почему я вижу трафик из других VLAN?

23:49:35.413940 ARP, Запрос who-has 80-84-34-22.jscnet.se (Broadcast) сообщить 80-84-34-1.jscnet.se, длина 46
23:49:35.414222 IP 172.16.1.128.39600 > ns.radio2.ing-steen.se.domain: 29036+ PTR? 22.34.84.80.in-addr.arpa. (42)
23:49:35.416784 IP ns.radio2.ing-steen.se.domain > 172.16.1.128.39600: 29036 1/2/2 PTR 80-84-34-22.jscnet.se. (145)
23:49:35.417102 IP 172.16.1.128.60097 > ns.radio2.ing-steen.se.domain: 38386+ PTR? 1.34.84.80.in-addr.arpa. (41)
23:49:35.420729 IP ns.radio2.ing-steen.se.domain > 172.16.1.128.60097: 38386 1/2/2 PTR 80-84-34-1.jscnet.se. (143)
23:49:35.427696 ARP, Запрос who-has 172.16.1.128 сообщить ns.radio2.ing-steen.se, длина 46
23:49:35.427721 ARP, Ответ 172.16.1.128 is-at 00:21:cc:cf:0e:19 (oui Unknown), длина 28
23:49:35.457708 ARP, Запрос who-has 192.168.1.67 сообщить ns.lan2.ing-steen.se, длина 46
23:49:35.517581 ARP, Запрос who-has 80-84-43-65.jscnet.se (00:30:88:14:ed:8d (oui Unknown)) сообщить 80-84-43-75.jscnet.se, длина 46
23:49:35.742502 ARP, Запрос who-has 80-84-44-1.jscnet.se (00:30:88:14:ed:8d (oui Unknown)) сообщить 80-84-44-13.jscnet.se, длина 46
23:49:35.804651 ARP, Запрос who-has 80-84-40-11.jscnet.se (Broadcast) сообщить 80-84-40-1.jscnet.se, длина 46

Я вижу много ARP-запросов из других VLAN… Я попробовал проверить Switch → VLAN Level isolation и MAC level isolation. Если я подключаюсь к одному из access-портов Cisco2960, принадлежащих VLAN200, я их не вижу, так что здесь какая-то проблема. Но, кроме этого, все работает, насколько я могу видеть. Кто-нибудь может помочь разобраться с этим?

dburigo

Guest

09.12.2013 12:47:00

Привет, стин… ну, у меня была та же проблема… но моя работа проще. Хочу изолировать VLANы… хочу, чтобы порты 1 и 2 общались с портами 5, 6 и 7… но чтобы порты 5, 6 и 7 друг с другом не разговаривали… но я не могу. У тебя есть какие-нибудь идеи по этому поводу?

steen

Guest

09.12.2013 13:32:00

Привет, dburigo! Я несколько часов мониторил один из портов, подключенных к vlan id = 200. Также провел много тестов, подделывая IP-адреса, которые принадлежат соседним vlan'ам, пытаясь спровоцировать IP-конфликт, и занимался деятельностью DHCP. Не смог вызвать IP-конфликты, и DHCP-адреса доставляются правильно только клиентам в соответствующих vlan'ах. И я не смог подключиться к какому-то серверу, находясь, так сказать, в неправильном vlan'е. Пока что все выглядит нормально, кроме этих ARP-трансляций, "кто имеет…" пожалуйста, скажи... и всякой прочей ерунды. Это значит, что vlan'ы не полностью изолированы, поскольку происходит утечка какого-то трафика, но, похоже, это ни на что не влияет. Я не нашел алгоритм/протокол Spanning Tree для активации на свитче, поэтому не буду запускать это в продакшн, это слишком опасно в корпоративной сети. И да, я проверил галочку "изолировать vlan'ы" в меню свитча.

Moogman

Guest

10.12.2013 19:49:00

Я читал, что поддержка trunking (LAG 802.3ad) не поддерживается коммутатором. Эта функция необходима для моего проекта. Будет ли какая-то дата, когда она станет доступна? Я хотел бы видеть эту функцию как часть коммутатора, а не процессора управления.

Проект VMware fault tolerance scenario: 2 сервера с 4x LAG к коммутатору (всего 8 портов), 1 система хранения с 2x LAG к коммутатору (всего 2 порта).

Проект пока что только для оценки. Но я хотел бы использовать коммутатор Mikrotik.

steen Guest	#6 0 11.12.2013 11:09:00 У нас тоже похожие проблемы с IBM VIO серверами, нам нужна dual etherchannel с 4 портами Ethernet в каждой ветке от двух разных коммутаторов. Пока что вообще не работает.

steen

Guest

12.12.2013 08:22:00

Привет всем! На предстоящих выходных попробую запустить двойной CRS в продакшн. Это двухпортовая конфигурация, и мы отказываемся от etherchannels в пользу собственной возможности отказоустойчивости интерфейсов серверов на случай выхода из строя одного порта/кабеля/коммутатора. Получил ещё информацию от нашего дистрибьютора, что в меню коммутатора есть настройка вроде "drop if vlan does not match" или что-то похожее, но пока у нас не было времени для дальнейшего изучения. Вернусь с информацией и конфигурацией после выходных.

steen Guest	#8 0 21.12.2013 09:50:00 Цитата меня самого. Вот результат: Мы не внедрили их в продакшн из-за "утечки" vlans в свитче. Как бы мы ни меняли настройки и конфигурацию, они просто "утекают" трафиком между vlans, поэтому в RoS6.7 они не изолированы. От MT support сказали, что в релиз-кандидате RoS6.8 эта проблема решена, ждем выхода стабильной версии RoS6.8. До этого никаких попыток предпринимать не будем. Хотя CRS и можно использовать как soho-устройство с 24 портами, но это нам в любом случае не нужно.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры