+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Виртуализированные VLANы (для Proxmox)

Виртуализированные VLANы (для Proxmox), RouterOS

3eff

Guest

04.04.2024 18:31:00

Всем привет! После того как я решил эту проблему http://forum.mikrotik.com/t/vlans-seems-not-to-isolate-each-other/174894/1, хочу узнать, как настроить RouterOS 7 (без внешнего коммутатора), чтобы получить следующую конфигурацию: VLAN10, 192.168.10.0/24 — для управления роутером и Proxmox; VLAN11, 192.168.11.0/24 — для виртуальных машин внутри узлов Proxmox.

На VLAN10 я хочу организовать виртуальную LAN, чтобы изолировать «оперативную» инфраструктуру/LAN (VLAN11) внутри IT LAN (VLAN10).

Кроме настройки Proxmox и виртуальных машин, какая должна быть правильная конфигурация тегированных и нетегированных портов в роутере?

Сейчас у меня такая конфигурация (только то, что считаю важным для VLAN), но работает только VLAN10 (интернет, LAN-подключение), VLAN11 вне Proxmox работает нормально, а VLAN11 внутри Proxmox, кажется, не имеет сетевого подключения (ни внутри, ни снаружи):

/interface bridge
add name=aBridge port-cost-mode=short protocol-mode=none pvid=11 vlan-filtering=yes

/interface vlan
add interface=aBridge name=VLAN10 vlan-id=10
add interface=aBridge name=VLAN11 vlan-id=11

/interface list
add name=WAN
add name=LAN
[...]

/ip pool
add name=VLAN10_POOL ranges=192.168.10.100-192.168.10.200
add name=VLAN11_POOL ranges=192.168.11.100-192.168.11.200

/ip dhcp-server
add address-pool=VLAN10_POOL interface=VLAN10 lease-time=10m name=VLAN10_DHCP
add address-pool=VLAN11_POOL interface=VLAN11 lease-time=10m name=VLAN11_DHCP
[...]

/interface bridge port
add bridge=aBridge frame-types=admit-only-untagged-and-priority-tagged interface=ether2 internal-path-cost=10 path-cost=10 pvid=10
add bridge=aBridge frame-types=admit-only-untagged-and-priority-tagged interface=ether3 internal-path-cost=10 path-cost=10 pvid=10
add bridge=aBridge frame-types=admit-only-untagged-and-priority-tagged interface=wlan1 internal-path-cost=10 path-cost=10 pvid=10
add bridge=aBridge frame-types=admit-only-untagged-and-priority-tagged interface=wlan2 internal-path-cost=10 path-cost=10 pvid=11
add bridge=aBridge frame-types=admit-only-untagged-and-priority-tagged interface=ether4 internal-path-cost=10 path-cost=10 pvid=11
add bridge=aBridge frame-types=admit-only-untagged-and-priority-tagged interface=ether5 internal-path-cost=10 path-cost=10 pvid=11
[...]

/interface bridge vlan
add bridge=3TSBridge tagged=3TSBridge vlan-ids=101
add bridge=3TSBridge tagged=3TSBridge vlan-ids=100

/interface list member
add interface=ether1 list=WAN
add interface=VLAN10 list=LAN
add interface=VLAN11 list=LAN

/ip address
add address=192.168.10.1/24 interface=VLAN10 network=192.168.10.0
add address=192.168.11.1/24 interface=VLAN11 network=192.168.11.0
[...]

/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1
add address=192.168.11.0/24 dns-server=192.168.11.1 gateway=192.168.11.1

/ip dns
set allow-remote-requests=yes

/ip firewall address-list
add address=192.168.10.0/24 list=LAN
add address=192.168.11.0/24 list=LAN

/ip firewall filter
add action=accept chain=input comment="Accept established/related/untracked" connection-state=established,related,untracked
add action=drop chain=input comment="Drop invalid" connection-state=invalid
add action=accept chain=input comment="Accept ICMP" protocol=icmp
add action=accept chain=input comment="Accept local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="Drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="Accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="Accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="Fasttrack for established/related" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="Accept forwarding of established/related/untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="Drop all WAN not NATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

/ip firewall nat
add action=masquerade chain=srcnat comment="NAT out" ipsec-policy=out,none out-interface-list=WAN
[...]

Заранее спасибо! Хуан Игнасио.

Lokamaya

Guest

30.10.2024 17:22:00

Заработало с одной сетевой картой на моём сервере Proxmox. Этот туториал и видео «How To Create VLANs in Proxmox For a Single NIC» на Youtube помогли мне понять, зачем нужны «admit-only-vlan-tagged» и нужно добавить «pvid=4094» на порт моста в Mikrotik.

Lokamaya Guest	#3 0 30.10.2024 17:29:00 #Bridge /interface bridge add frame-types=admit-only-vlan-tagged name=bridge1 vlan-filtering=yes … #Bridge Port: Порт, направленный на Proxmox /interface bridge port add bridge=bridge frame-types=admit-only-vlan-tagged interface=ether2 pvid=4094

tdw Guest	#4 0 01.11.2024 23:58:00 Установка pvid= не имеет значения при frame-types=admit-only-vlan-tagged, так как непомеченные пакеты отбрасываются.

Lokamaya

Guest

02.11.2024 09:46:00

Да, это именно то, что и ожидалось. Стандартный сетевой интерфейс Proxmox с поддержкой bridge-vlan-aware выглядит так:

auto lo
iface lo inet loopback

iface enp0s25 inet manual

auto vmbr0
iface vmbr0 inet static
address 192.168.99.100/24
gateway 192.168.99.1
bridge-ports enp0s25
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094

source /etc/network/interfaces.d/*

Если хотим использовать все доступные VLAN на одном сетевом интерфейсе, ничего не работает, кроме конфигурации выше, то есть с добавлением несуществующего PVID. При такой конфигурации можно использовать любые доступные VLAN внутри Proxmox или у его виртуальных машин.

auto lo
iface lo inet loopback

auto enp0s25
iface enp0s25 inet manual

auto vmbr0
iface vmbr0 inet manual
bridge-ports enp0s25
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4000
#vlans: 99, 210, 220;

auto vmbr0.99
iface vmbr0.99 inet static
address 192.168.99.100/24
gateway 192.168.99.1
#vlan-mgmt

auto vmbr0.210
iface vmbr0.210 inet static
address 192.168.210.100/24
#vlan-210

source /etc/network/interfaces.d/*

Стоит отметить, что значение bridge-vids 2-4094 (по умолчанию) нужно изменить на что-то вроде bridge-vids 2-4090, чтобы использовать значение вне этого диапазона в качестве PVID для моста/порта в Mikrotik. Я не эксперт по Linux, поэтому не могу сказать, распространяется ли такое поведение на все Linux-мосты или только на Proxmox.

В виртуальной машине внутри Proxmox просто помечаем нужный VLAN:

mkx Guest	#6 0 02.11.2024 11:50:00 Не совсем так. При настройке всего, что связано с VLAN на уровне моста и его элементов, всё делится примерно так: элементы под bridge/port отвечают за поведение при входе (ingress). Настройка bridge port с параметром frame-types=admit-only-vlan-tagged заставляет порт отбрасывать любые неразмеченные кадры при входе. Это также делает настройку pvid совершенно неактуальной. Элементы под bridge/vlan отвечают только за поведение при выходе (egress) — через порт могут проходить только кадры, принадлежащие одному из VLAN, членом которого является этот порт. Если порт настроен как untagged member, то VLAN-заголовок снимается при выходе кадра с порта. Элементы в разделе bridge (сам мост) либо касаются самого моста как коммутатора (их очень мало), либо порта, обращённого к CPU (большинство элементов). frame-types — это свойство порта, обращённого к CPU. Далее есть несколько взаимодействий между первыми двумя пунктами — какие-то происходят автоматически, какие-то нужно включать вручную: если у порта задан PVID (а он всегда задан, даже если стоит значение по умолчанию — 1) и frame-types позволяет прием неразмеченных кадров, то порт автоматически добавляется как untagged член соответствующего VLAN. У вас этого не происходит, потому что frame-types не разрешает неразмеченные кадры на входе, а ingress-filtering включён вручную на bridge/port. При включённом ingress-filtering для определения возможности приёма кадра портом проверяется его членство в VLAN из bridge/vlan. То есть если порт является членом VLAN с ID 100 и 200, а приходит кадр с VID 300, то при включённом ingress-filtering он будет отброшен. А при отключённом (что стоит по умолчанию) этот кадр пропускается. Конфигурация Proxmox для MT порта, смотрящего в сторону Proxmox, будет выглядеть так: /interface/bridge/port add bridge=bridge interface=etherX ingress-filtering=yes frame-types=allow-only-vlan-tagged /interface/bridge/vlan add bridge=bridge vlan-ids=2-4094 tagged=etherX Проблема с конфигурацией в разделе bridge/vlan в том, что может быть только одна строка, задающая правила для конкретного VLAN ID. Если бы была строка add bridge=bridge vlan-ids=300 tagged=bridge,etherX, то попытка конфигурации провалилась бы. Нужно переписать так: /interface/bridge/vlan add bridge=bridge vlan-ids=2-299,301-4094 tagged=etherX add bridge=bridge vlan-ids=300 tagged=bridge,etherX Порядок строк в конфигурации значения не имеет, важна разбивка интервала VID (и честно говоря, я не уверен, действительно ли синтаксис с объединением двух интервалов так работает). Эта необходимость «разрывать» интервал — самая большая головная боль в вопросе настройки VLAN в ROS (хотя это в целом так же, как и в linux bridge).

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры