+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Основная VLAN (PVID / native VLAN) + VLAN на одном порте

Основная VLAN (PVID / native VLAN) + VLAN на одном порте, RouterOS

TomHome

Guest

23.08.2016 20:19:00

Привет! Я пытаюсь настроить 4 VLAN на ether5, и если трафик приходит без тегов (без VLAN id), хочу, чтобы он автоматически относился к VLAN5. Если я подключаю устройство, не поддерживающее VLAN (например, Linux без vlan, то есть просто eth0), связи нет. А если подключить устройство, понимающее VLAN, всё работает (например, Linux с eth0.5 или eth0.10).

Как настроить «ловящий» VLAN, в который попадёт любой нетегированный трафик? Думаю, в Cisco это называется «Native VLAN» на транковом порту.

Роутер: RB750GL — версия 6.35.2

Конфигурация:

[admin@MikroTik] /interface vlan> print
Flags: X - отключено, R - работает, S - подчинено
# NAME MTU ARP VLAN-ID INTERFACE
0 R australia 1500 enabled 20 ether5
1 R backbone 1500 enabled 5 ether5
2 R france 1500 enabled 10 ether5
3 R riot 1500 enabled 666 ether5

[admin@MikroTik] /interface> ethernet switch print
Flags: I - невалидно
# NAME TYPE MIRROR-SOURCE MIRROR-TARGET SWITCH-ALL-PORTS
0 switch1 Atheros-8327 none none

[admin@MikroTik] /interface> ethernet switch port print
Flags: I - невалидно
# NAME SWITCH VLAN-MODE VLAN-HEADER DEFAULT-VLAN-ID
0 ether1 switch1 disabled leave-as-is auto
1 ether2-master switch1 disabled leave-as-is auto
2 ether3 switch1 disabled leave-as-is auto
3 ether4 switch1 disabled leave-as-is auto
4 ether5 switch1 fallback leave-as-is 5
5 switch1-cpu switch1 disabled leave-as-is auto

raymonvdm

Guest

28.10.2018 21:03:00

Я пытаюсь пометить немаркированный трафик, который приходит на ether2, чтобы он был помечен VLAN160. Но у меня никак не получается заставить это работать. Я использую RouterOS 6.43 на 2011UiAS с коммутатором Atheros 8327. Кто-нибудь может объяснить, что нужно сделать? Потому что описанные выше шаги не дали рабочего результата.

TomHome

Guest

24.09.2016 11:25:00

Я попробовал, и это не работает. Не могу поверить, что всё настолько сложно. У меня есть один интерфейс (eth5) с четырьмя VLAN. Это просто, но как, словами MikroTik, сделать так, чтобы всё, что без тегов, автоматически попадало в VLAN 5? И, чёрт возьми, Ubiquiti AP Pro — если бы только управляемый порт можно было тегировать!

pe1chl Guest	#4 0 24.09.2016 11:49:00 Что ты имеешь в виду под «когда трафик без тегов, я хочу, чтобы он был частью VLAN 5»? Если это VLAN 5, то он помечен тегом VLAN 5. Если хочешь, чтобы трафик был нетегированным, просто используй ether5.

richinuk

Guest

24.09.2016 22:54:00

Это на устройстве RB — маршрутизаторе или коммутаторе? Если на маршрутизаторе, у меня была похожая проблема. Я решил её, связав в мост неотмеченный интерфейс ether5 с исходящим VLAN5 ether2.5. Проблема была в том, что ether2.5 видел не только неотмеченные пакеты, но и дубликаты всех отмеченных пакетов, которые приходили на ether5.1, ether5.2 и так далее. Поэтому я поставил фильтр моста, который удалял всё с типом ethertype VLAN. Грубо, зато работало. Если на коммутаторе — понятия не имею. ROS-основные коммутаторы я не использовал. Rich

magchiel Guest	#6 0 25.09.2016 09:25:00 /interface ethernet switch port set ether5 default-vlan-id=5 vlan-header=add-if-missing vlan-mode=fallback

TomHome

Guest

03.10.2016 20:40:00

Привет, ребята, @pe1chl: я имею в виду, что если на пакете нет VLAN-тега (трафик без VLAN) при входе на интерфейс, то я хочу, чтобы этот трафик автоматически помечался VLAN, который я выберу. К слову, в Cisco эта функция называется Native VLAN. В моём случае, точка доступа Ubiquiti может тегировать трафик с разных SSID, но не может помечать свой собственный управляющий трафик (смешно, правда!), поэтому мне нужен порт для AP с одним VLAN на каждый SSID, при этом управляющий трафик (без VLAN) должен передаваться в нужном уровне 2 (чтобы, например, DHCP работал). @richinuk: да, это на роутере. RB750GL – 6.35.2. Не мог бы ты поделиться своей конфигурацией? @magchiel: я почти уверен, что пробовал все возможные варианты. Попробую ещё твой и обязательно отпишусь. Вот именно такую фишку я и ищу, да!

TomHome Guest	#8 0 07.10.2016 21:20:00 Это не работает. Я не получаю ID VLAN по умолчанию. На самом деле все помеченные VLAN тоже перестают работать, когда режим VLAN для порта установлен не в «disabled».

magchiel

Guest

08.10.2016 06:55:00

Конечно, прошло много времени с тех пор, как я настраивал VLANы на чипе коммутатора, но vlan-mode=disabled игнорирует все VLAN-теги, так что если вы настраиваете что-то другое и всё перестаёт работать, это значит, что конфигурация вашей VLAN-таблицы неправильная. Также добиться, чтобы VLAN-конфигурация на CPU и коммутаторе работала в связке, порой задачка не из простых. Если вы действительно хотите что-то сделать с трафиком в /interface vlan, то нужно настраивать VLAN-таблицу и порт для CPU тоже, например:

/interface ethernet switch vlan
add ports=ether5,switch1-cpu switch=switch1 vlan-id=5

/interface ethernet switch port
set ether5 default-vlan-id=5 vlan-header=add-if-missing vlan-mode=fallback
set switch1-cpu vlan-mode=fallback vlan-header=leave-as-is

/interface vlan
add name=backbone vlan-id=5 interface=ether5

Если это не решит проблему, пожалуйста, поделитесь выводом /interface export.

gauchi

Guest

#10

15.10.2016 15:05:00

Столкнулся с точно такой же проблемой (подключаю Unifi UAP-AC-PRO к RB750 — думаю, мы снова пересечёмся на форумах Ubiquiti по теме radius-назначенных VLAN'ов…), и решил поковыряться. Похоже, что для таких гибридных портов тег VLAN обычно существует только внутри свича, то есть пакет уходит без тега, когда выходит из свича. Правила, основанные на VLAN, внутри свича работают. Чтобы пакет реально получил тег, порт выхода (в данном случае switch1-cpu) должен быть настроен на «add if missing» (добавлять, если отсутствует). Если включить этот режим (и не забыть сначала создать VLAN-интерфейс на CPU-порту, иначе к роутеру вообще не подключиться), пакеты с гибридного порта будут получать тег, и VLAN-осведомлённые устройства на других портах, включая CPU, будут получать пакеты с этого порта. Но кажется, что ответы не лишаются тега, если приходят пакеты для default VLAN. В итоге, система, не понимающая VLAN, не может обработать входящие ответы. Это можно поправить, установив порт в режим «always strip» (всегда снимать тег). В такой конфигурации связь работает. К сожалению, «always strip» делает ровно то, что говорит: снимает все VLAN-теги с пакетов, выходящих через этот порт. Значит, использовать другие VLAN на этом порту уже нельзя. Мой вывод (пока) — гибридные порты сейчас работают некорректно. Был бы признателен за любые советы по этой теме, потому что на данный момент лучшее, что я могу придумать — поставить контроллер беспроводной сети (с radius-сервером) на другой порт свича с таким же default VLAN, чтобы это всё заработало.

magchiel

Guest

#11

16.10.2016 10:08:00

Я пересматривал свои старые настройки и страницу вики http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features, которую, мягко говоря, не так просто понять по этому вопросу. Гибридные порты VLAN, которые могут обрабатывать и тегированный, и нетегированный трафик, поддерживаются только некоторыми гигабитными свитч-чипами (QCA8337, AR8327) — http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Example_2_.28Trunk_and_Hybrid_Ports. Так что если речь просто о RB750, ты прав, это не работает, потому что на твоей модели просто нет такой поддержки. Один из вариантов — использовать мосты, например, объединить входящий ethernet-порт с нетегированным трафиком с VLAN-интерфейсом на выходном порту. Правда, я этого не тестировал. Согласно вики, эта модель должна поддерживать гибридные порты.

Изначально я советовал использовать ‘vlan-header=add-if-missing’, но это подходит для транк-портов, так что моё предложение было неверным. Для гибридных портов подходит ‘vlan-mode=leave-as-is’ с указанием default-vlan-id, то есть так:

/interface ethernet switch port
set ether5 vlan-mode=fallback vlan-header=leave-as-is default-vlan-id=5

‘vlan-mode=fallback’, кстати, обрабатывает теги, которых нет в таблице VLAN, как нетегированные. Теперь главный вопрос — значит ли это, что RouterOS уже не сможет их распознавать и связывать с теми, что настроены через /interface vlan.

Поскольку твоя конфигурация работает с ‘vlan-mode=disabled’, я бы сказал, что с ‘vlan-mode=fallback’ тоже должно работать, если атрибут vlan-header правильно настроен.

gauchi Guest	#12 0 18.10.2016 21:06:00 Если речь только о простой модели RB750, ты прав, это не работает, но она просто не поддерживается на твоей модели. Спасибо большое, думаю, пора уже брать новую плату — всё равно хотел вторую для экспериментов — слишком раздражает, когда блокируют из-за отправки запросов не в том порядке…

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры