+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Vlan Interface Bridge

Vlan Interface Bridge, RouterOS

mix359

Guest

06.06.2016 17:14:00

Всем привет! Сейчас работаю с большой сетью (/16), которую хочу разбить на разные VLANы. У меня много коммутаторов, и все они подключены к транковому порту на моём CCR1009. На данный момент у меня есть только один VLAN-интерфейс с VID 1 на этом транковом порту, и весь LAN-трафик идёт через него. Я использую MikroTik как основной файрвол, роутер, DHCP-сервер и хотспот.

Идея в том, чтобы разбить текущую сеть примерно на 25–30 VLAN, но для этого нужно настроить каждый порт на всех коммутаторах (а это займёт несколько дней). И в течение этих дней новые VLANы должны иметь возможность подключаться к старой сети и быть её частью.

Поэтому мой первый план — создать все VLAN-интерфейсы на транковом порту MikroTik, объединить их в бридж и назначить IP-адрес и DHCP-сервер на этот бридж.

Вот пример части моей конфигурации:

/interface bridge
add name=bridge-test

/interface ethernet
set [find default-name=ether1] l2mtu=1588 name="lan ether1"
set [find default-name=ether7] l2mtu=1590 name="wan (7)"

/interface vlan
add arp=reply-only interface="lan ether1" name="its (3)" vlan-id=3
add arp=reply-only interface="lan ether1" name="test (98)" vlan-id=98

/ip dhcp-server
add address-pool=its disabled=no interface=bridge-test lease-time=3d name=its

/ip pool
add name=its ranges=10.2.50.1-10.2.50.254

/interface bridge port
add bridge=bridge-test interface="test (98)"
add bridge=bridge-test interface="its (3)"

/ip address
add address=10.2.10.254/16 interface=bridge-test network=10.2.0.0

Я пробовал такую конфигурацию, и сейчас не могу достучаться до клиента в VLAN 2 из VLAN 98, а из VLAN 98 не всегда удаётся связаться с MikroTik (иногда, если пинговать с ПК на MikroTik или наоборот, теряются все пакеты... если подождать несколько секунд и попробовать снова — работает).

Я заметил, что в ARP-таблице MikroTik клиент из VLAN 98 появляется 3 раза: с интерфейса VLAN 98, с интерфейса VLAN 3 и с бриджа. Я попытался переключить оба VLAN-интерфейса в режим arp=reply-only, но это не помогло.

Есть идеи? Я что-то делаю не так или так вообще нельзя? По моему, я просто бриджу два интерфейса, так что это должно работать как бридж между физическими портами.

Может, есть какой-то другой способ сделать что-то подобное?

Спасибо всем!

mix359 Guest	#2 0 30.06.2016 15:09:00 Никто не может помочь?

ZeroByte

Guest

30.06.2016 16:42:00

Ваша цель не совсем понятна. Вы пытаетесь реализовать изоляцию хостов? Или хотите разбить сеть /16 на более мелкие подсети? Если вы хотите разбить /16 на подсети, то не стоит использовать бридж. Лучше назначьте разные подсети вашего основного префикса на разные VLAN-интерфейсы. Например:
10.0.1.0/24 interface=vlan1
10.0.2.0/24 interface=vlan2
10.0.3.0/24 interface=vlan3
…и так далее (естественно, подсети могут быть меньше /24, это лишь пример).

В таком случае хосты в vlan2 смогут обращаться к хостам в vlan3 через маршрутизацию — то есть, используя роутер как шлюз для связи друг с другом. Они не будут видеть MAC-адреса друг друга и не получат широковещательный трафик из других VLAN, ведь они находятся в разных VLAN. Если не настроены никаких правил межсетевого экрана или policy-based routing, это будет работать "из коробки", так как базовая функция роутера — пересылать IP-пакеты между сетями.

Если же вы используете бридж, то объединяете несколько интерфейсов в одну широковещательную доменную зону. Значит, если вы бриджите vlan2 и vlan3, то, хоть они и будут использовать разные 802.1q заголовки VLAN, на самом деле они окажутся в одной широковещательной домене и по сути — в одной VLAN… тем не менее, есть некоторые возможности для изоляции хостов в такой конфигурации — предположим, что VLAN-интерфейсы объединены в бридж, при этом у обоих установлено одинаковое значение split-horizon. Это значит, что порты в одной VLAN, но не смогут напрямую общаться между собой…

Во втором случае вам понадобится более крупная подсеть с достаточным количеством адресов для всех хостов, включённых в бридж — при этом IP-адрес назначается на сам бридж-интерфейс, а не на VLAN-интерфейсы. Например:
10.0.16.1/22 → interface=bridge1

Все хосты на VLAN, входящих в этот бридж, будут частью одной большой IP-подсети и должны использовать маску 255.255.252.0 и шлюз 10.0.16.1.

mix359

Guest

30.06.2016 17:43:00

Спасибо за ответ, наверное, я выразился не совсем ясно. Конечная цель — иметь много /24 VLAN. Но пока я настраиваю коммутаторы на новые VLAN, мне нужно, чтобы все эти новые VLAN находились в одной и той же /16 сети (текущая сеть, которая есть на VLAN 1).

Я пробовал создать бридж на Mikrotik, и когда закончу работу, отключу его и буду использовать отдельный интерфейс. Но это не работает: клиент из одного VLAN не может связаться с клиентом из другого VLAN, и часто не может связаться с Mikrotik (как я упоминал в посте).

Надеюсь, теперь стало понятнее. Спасибо!

ZeroByte

Guest

30.06.2016 18:56:00

Хорошо — решение для тебя не в бриджинге, а в proxy arp. На «оригинальном» VLAN установи arp=proxy-arp. Затем, когда добавляешь новые VLAN, просто настрой подсеть напрямую на интерфейсах VLAN в твоём роутере. Потом переконфигурируй хосты в каждом VLAN с правильной маской подсети и шлюзом по умолчанию.

На самом деле, можно поставить arp=proxy-arp на новых VLAN как «миграционную заплатку», чтобы хосты с исходной маской /16 могли нормально работать, если они подключены к определённому VLAN (при условии, что их реальный IP подпадает под подсеть этого VLAN). Как только все хосты в новом VLAN будут обновлены — прокси-арп на этом интерфейсе можно спокойно убрать.

Когда в оригинальном /16 не останется ни одного хоста — просто удали этот IP и убери proxy-arp с оригинального VLAN-интерфейса.

Например:
/interface ethernet set ether1 arp=proxy-arp (IP-адрес 10.0.0.1/16 живёт на ether1)
/interface vlan add name=vlan2 interface=ether1 vlan-id=2 arp=proxy-arp
/interface vlan add name=vlan3 interface=ether1 vlan-id=3 arp=proxy-arp
/interface vlan add name=vlan4 interface=ether1 vlan-id=4 arp=proxy-arp
… и так далее
/ip address add address=10.0.2.1/24 interface=vlan2
/ip address add address=10.0.3.1/24 interface=vlan3
/ip address add address=10.0.4.1/24 interface=vlan4
… и так далее

Proxy arp позволит хостам из диапазона 10.0.2.X общаться с хостами на оригинальном интерфейсе 10.0.0.0/16 (при условии, что «влановский» хост 1 не использует IP из 10.0.2.x).

mix359

Guest

30.06.2016 19:05:00

Эээ, спасибо за совет. Только вопрос: если у меня есть какой-то другой vlan-интерфейс, который я не хочу «прокси» через этот новый vlan, могу я просто не включать proxy arp на нём, и они останутся изолированными? И чисто ради интереса, почему неправильно создавать мост из vlan-интерфейсов? Я видел некоторые рекомендации, где в мост объединяют vlan-интерфейс с физическим vlan, так почему же нельзя сделать мост из двух vlan-интерфейсов? Ещё раз спасибо, я проведу тесты с proxy arp. Byz

ZeroByte

Guest

30.06.2016 19:11:00

Мостовое соединение может смешивать вещи так, как вам совсем не нужно. Например, все широковещательные сообщения будут усиливаться, ведь их нужно будет отправлять во все VLANы. Решение с proxy-arp позволяет сразу перейти к чистому разделению на уровне 2 между VLANами, как вы и хотите, при этом «наложив пластырь» на исходный /16, чтобы хосты, которые еще не перенесены, могли общаться с уже перенесёнными. Учтите, что хосты в разных подсетях смогут общаться друг с другом через маршрутизатор по IP — то есть через маршрутизируемое соединение. Если нужно запретить VLANам общаться друг с другом, можно настроить правила файрвола, чтобы это ограничить. (это будет в любом случае, вне зависимости от того, использовали ли вы proxy arp или мосты для миграции).

Как работает proxy arp: на основном интерфейсе /16 все хосты считают другие адреса внутри этого диапазона «локальными» соседями и рассылают ARP-запросы, чтобы узнать MAC-адрес хоста, которому пытаются отправить пакет. Если ваш маршрутизатор знает, что нужный IP находится на другом интерфейсе, он отвечает ARP-запросом от имени целевого хоста своим MAC-адресом (сам целевой хост этот запрос не увидит, потому что он не подключен к той же сети). Отправитель же передает IP-пакет с нужным IP-адресом назначения, но MAC-адресом назначения ставит MAC маршрутизатора — чтобы пакет получил именно он и правильно переслал. Отправитель просто не понимает, что на самом деле использует маршрутизатор, но для него это неважно — маршрутизатор всё правильно направит.

В вашем случае получатель будет иметь маску сети /24 и уже считать IP отправителя «удалённым», поэтому автоматически будет отправлять ответы через маршрутизатор без всяких proxy arp.

mix359

Guest

30.06.2016 19:24:00

Не думал про рассылку широковещательных пакетов :ухм: Видел пример выше. Вот реальный случай у меня: vlan 1 → 10.1.0.0/16 ← текущий vlan vlan 20 → 10.1.20.0/24 ← новая подсеть vlan vlan 30 → 10.1.30.0/24 Должно ли это работать? Или новая vlan должна быть другого класса, чтобы всё работало? Если надо менять класс IP, то proxy arp вообще не понадобится... Просто разрешу связь между новыми и старыми vlan через фаервол. Но моя цель — сохранить тот же IP, просто изменить размер подсети. Ещё раз спасибо!

ZeroByte Guest	#9 0 30.06.2016 19:32:00 Хороший вопрос! Да, это сработает — я даже проверил на виртуальном Mikrotik, который запускал ранее, прежде чем рекомендовать это решение (просто чтобы убедиться, что 'тик не выйдет из себя).

Bytezone Guest	#10 0 05.07.2016 20:14:00 ZeroByte, не мог бы ты взглянуть на пост по ссылке ниже? Мне действительно нужны твои советы и рекомендации, что делать, чтобы решить мою проблему http://forum.mikrotik.com/t/vlans-over-single-ethernet-port-on-x86-routeros-low-isp-throughput/99587/1

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры