+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Switch Chip Fun (проблема с Vlan 0)

Switch Chip Fun (проблема с Vlan 0), RouterOS

ofrxnz

Guest

12.07.2012 01:02:00

Итак, у меня роутер RouterBoard 2011 года выпуска. Пытаюсь создать гибридный порт, который принимает как помеченный, так и непомеченный трафик. Допустим, мне нужен непомеченный трафик и VLAN 100. Согласно Wiki, мне нужно сделать следующее: 1.) установить порты CPU и Switch в режим “Secure” или “Check” (Fall Back меня пугает). 2.) Создать две записи в таблице VLAN: одну для VLAN 0 и одну для VLAN 100 (обе авторизуют CPU и физический порт). Так, когда я тестирую с отключенным VLAN, всё отлично. Как только я переключаю в режим "Secure" или "Check", трафик проходить не может. Если запускаю torch, то трафика нет вообще, хотя я постоянно пингую интерфейс. Это указывает мне на то, что проблема, скорее всего, в чипе коммутатора. Я пробовал это на обоих чипах коммутатора. Странно, но если разрешить VLAN 1, то на нём видно входящий ARP-трафик. Хотя, даже если я создаю VLAN-интерфейс и назначаю ему адрес, входящий ARP-трафик всё равно виден. Буду рад любым мыслям, комментариям или предложениям. Спасибо.

mtmx80 Guest	#2 0 04.11.2012 19:53:00 У меня точно такая же проблема. К сожалению, ответа на этот пост нет уже несколько месяцев. Заметь: Fall Back был настройкой по умолчанию до того, как недавно её отключили.

efaden Guest	#3 0 16.08.2013 23:31:00 Предполагаю, ответа на это так и не было.

biatche Guest	#4 0 13.11.2017 00:57:00 Тоже столкнулся с этой проблемой... интересно, Microtik вообще обращает внимание.

docmarius

Guest

13.11.2017 06:55:00

Стандартный неназначенный VLAN – это 1, а не 0. VLAN 0 является недействительным идентификатором VLAN. Идентификатор VLAN (VID): это 12-битное поле, определяющее VLAN, к которому принадлежит кадр. Шестнадцатеричные значения 0x000 и 0xFFF зарезервированы. Все остальные значения могут использоваться в качестве идентификаторов VLAN, что позволяет создать до 4094 VLAN. Зарезервированное значение 0x000 указывает на то, что кадр не содержит идентификатор VLAN; в этом случае тег 802.1Q указывает только приоритет и называется тегом приоритета. На коммутаторах VID 0x001 (идентификатор VLAN по умолчанию) часто резервируется для управления VLAN; это зависит от производителя. Значение VID 0xFFF зарезервировано для использования в реализации; его нельзя настраивать или передавать. 0xFFF можно использовать для указания wildcard match в операциях управления или записях базы данных фильтрации. [7] https://en.wikipedia.org/wiki/IEEE_802.1Q

nelfou

Guest

26.01.2018 03:10:00

Тоже самое… исправлений с 2012 года не было? По ссылке http://forum.mikrotik.com/t/native-vlan-1-vlans-connected-to-cisco-switch/106074/1 пишут, что мой Mikrotik использует vlan 0 для идентификации немаркированного трафика. Если я попробую с vlan 1, то не работает.

acruhl

Guest

29.01.2018 19:57:00

Я наткнулся на это, потому что хотел разобраться с настройками в разделе “switch->port”. Например, из Вики https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features: есть опция — отбрасывать пакеты с тегом VLAN, которого нет в таблице VLAN. Пакеты с тегами VLAN, которые есть в таблице VLAN, но входящий порт не совпадает ни с одним портом в записи таблицы VLAN, тоже отбрасываются. Я включил это на своем интерфейсе, выходящем в интернет, и он отключился. Это заблокировало весь трафик. Думаю, основная проблема в том, что я нахожу это объяснение очень запутанным. У моего интерфейса, выходящего в интернет, нет тегов VLAN, так что должен ли он пропускать трафик с опцией "check" включенной или нет? Может, я упускаю контекст "vlan tag"? Это какой-то внутренний тег VLAN, который я не вижу? Моя цель — отбрасывать любые пакеты (фреймы?), которые пытаются войти через мой интерфейс, выходящий в интернет, с тегом VLAN, потому что я считаю это попыткой взлома. Если кто-то сможет угадать, какие VLAN я использую, этот пакет должен быть отброшен, верно? Не весь трафик? Я не знаю.

nelfou

Guest

31.01.2018 02:37:00

Не уверен, связано ли это с тем, что я обновился до 6.41 или использовал другой ID VLAN (64 вместо 0 или 1), но мне стало гораздо проще управлять помеченным и непомеченным трафиком, как только я добавил таблицу VLAN 64 на все порты, с настройкой всех портов (включая switch-cpu) на secure + default-vlan-id=64 + always strip. То есть VLAN 64 как VLAN по умолчанию непомеченным везде. Тогда я мог изменить default-vlan-id одного порта на что-то другое (например, 100), чтобы он был непомеченным на этом порту и помеченным на остальных, перечисленных в таблице VLAN для VLAN 100.

nelfou

Guest

04.02.2018 10:52:00

Если это кому-то поможет, я разобрался в своей основной проблеме. Не прошивка, не ID VLAN, а в том, что гибридные порты (то есть, обрабатывающие и помеченные, и непомеченные VLAN) не поддерживаются на всех роутерах. Роутер не будет жаловаться или говорить что-то о том, что не поддерживает их, он просто тихо сломается. Согласно вики о гибридных портах, это умеют чипы QCA8337 и AR8327. Согласно таблице вверху этой страницы, один из роутеров, который я использовал для тестов, поддерживал это (Hex PoE), а другой (Hex PoE lite) — нет… К тому же, на этих роутерах, как указано в вики, когда “vlan-mode=secure”, он игнорирует опции switch port “vlan-header”. Мне кажется, роутер должен выдавать ошибку, когда ты настраиваешь что-то, что он просто проигнорирует.

pe1chl Guest	#10 0 04.02.2018 12:21:00 Да, я тоже заметил это. Я переводил сложную конфигурацию на новую 6.41 с бриджем на моем RB2011, в котором 2 чипа коммутатора. На портах 1-5, использующих Atheros8327, все прошло довольно хорошо, но на портах 6-10, использующих Atheros8227, были странные проблемы. Интересно, что все работает отлично, когда настраиваешь отдельные порты (без master-порта) с подинтерфейсами VLAN как без тегов, так и с тегами в версиях до 6.40, но не работает, когда пытаешься перевести эту конфигурацию в “коммутируемую” с одним master-портом со всеми VLAN и разными портами коммутатора с разными тегированными и нетегированными VLAN. Однако, когда делаешь ту же конфигурацию в новом VLAN-aware bridge 6.41, она тоже не работает. Это немного сбивает с толку. Я всегда так или иначе полагал, что конфигурация отдельных портов просто тихо трансформируется в VLAN+коммутируемую конфигурацию роутером. То есть, когда ты настраиваешь ether10 как отдельный порт без VLAN, он тихо создает какой-то VLAN, членом которого ether10 является без тега, а CPU-порт — с тегом, и создает подинтерфейс VLAN на CPU-порте, и это то, что ты, как пользователь, считаешь ether10. Однако, когда делаешь это вручную, это не работает корректно. Странно…

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры