+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

CAPsMAN с VLAN работает некорректно

CAPsMAN с VLAN работает некорректно, RouterOS

kunago

Guest

18.03.2018 08:28:00

Что я пытаюсь сделать и не получается, так это настроить DHCP-сервер, который бы раздавал IP-адреса и моим LAN-клиентам, и клиентам CAPsMAN, при этом все они находятся в одной VLAN. Все клиенты в этой VLAN должны без проблем видеть друг друга, при этом быть изолированными от других VLAN. Пока что мне удалось настроить это только для CAPsMAN. В текущей конфигурации мои CAPsMAN клиенты нормально получают IP и VLAN тег, а вот для LAN-клиентов это не работает. Они недоступны вообще, IP-адреса от DHCP не получают. Я пытался подключать LAN-клиентов напрямую к Mikrotik, где запущен DHCP-сервер, но это тоже не дало результата. Интерфейсы, к которым я подключаюсь, находятся в бридже, и этот бридж имеет VLAN-интерфейс. Может, кто-то подскажет, в чём может быть проблема?

/interface bridge
add fast-forward=no name="bridge company"
add fast-forward=no name="bridge company host"

/interface ethernet
set [ find default-name=ether1 ] name=ether01
set [ find default-name=ether2 ] name=ether02
set [ find default-name=ether3 ] name=ether03
set [ find default-name=ether4 ] name=ether04
set [ find default-name=ether5 ] name=ether05
set [ find default-name=ether6 ] name=ether06
set [ find default-name=ether7 ] name=ether07
set [ find default-name=ether8 ] name=ether08
set [ find default-name=ether9 ] name=ether09
set [ find default-name=ether10 ] poe-out=off
set [ find default-name=sfp1 ] name=sfp

/interface vlan
add interface="bridge company" name="VLAN company" vlan-id=8
add interface="bridge company host" name="VLAN company host" vlan-id=10

/ip address
add address=172.27.8.1/23 interface="VLAN company" network=172.27.8.0
add address=172.27.10.1/24 interface="VLAN company host" network=172.27.10.0

/caps-man datapath
add bridge="bridge company" client-to-client-forwarding=yes local-forwarding=no vlan-id=8 vlan-mode=use-tag name=company
add bridge="bridge company host" client-to-client-forwarding=no local-forwarding=no vlan-id=10 vlan-mode=use-tag name="company host"

/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn identity-regexp=wifi1 master-configuration="2,4 GHz company" name-format=identity slave-configurations="2,4 GHz company slave - host"
add action=create-dynamic-enabled hw-supported-modes=gn identity-regexp=wifi2 master-configuration="2,4 GHz company" name-format=identity slave-configurations="2,4 GHz company slave - host"

/interface bridge port
add bridge="bridge company" hw=no interface=ether03
add bridge="bridge company" hw=no interface=ether04
add bridge="bridge company" hw=no interface=ether05
add bridge="bridge company" hw=no interface=ether06
add bridge="bridge company" hw=no interface=ether07
add bridge="bridge company" interface=ether08
add bridge="bridge company" hw=no interface=ether09
add bridge="bridge company" hw=no interface=ether10
add bridge="bridge company" hw=no interface=sfp

/interface bridge settings
set allow-fast-path=no use-ip-firewall=yes

/ip address
add address=172.27.8.1/23 interface="VLAN company" network=172.27.8.0
add address=172.27.10.1/24 interface="VLAN company host" network=172.27.10.0

/ip dhcp-client
add default-route-distance=21 dhcp-options=hostname,clientid disabled=no interface=ether01 use-peer-dns=no use-peer-ntp=no

/ip dhcp-server
add add-arp=yes address-pool="pool company" authoritative=after-2sec-delay disabled=no interface="VLAN company" lease-time=8h name="dhcp company"
add add-arp=yes address-pool="pool company host" authoritative=after-2sec-delay disabled=no interface="VLAN company host" lease-time=2h name="dhcp company host"

/ip dhcp-server network
add address=172.27.8.0/23 dns-server=172.27.8.1 gateway=172.27.8.1 netmask=23
add address=172.27.10.0/24 dns-server=172.27.10.1 gateway=172.27.10.1 netmask=24

/ip pool
add name="pool company" ranges=172.27.9.64/27
add name="pool company host" ranges=172.27.10.64/27

mkx Guest	#2 0 03.06.2020 05:50:00 Я выложил ссылку на отличный урок, который хорошо объясняет рекомендованные методы создания VLAN в ROS.

lendy Guest	#3 0 29.05.2020 10:26:00 Привет, ты нашёл решение этой проблемы? У меня точно такая же ситуация… Спасибо!

anav Guest	#4 0 29.05.2020 19:13:00 /interface bridge settings set allow-fast-path=no use-ip-firewall=yes. Ты пробовал без установки ip firewall = yes? Обычно это не применяют к VLAN (я имею в виду к мосту, большинство просто ставит правила фильтрации файрвола…).

alexanwar

Guest

02.06.2020 10:01:00

Поскольку у тебя используется capsman forwarding, и он работает на Wi-Fi клиентах, думаю, что конфигурация capsman правильная. Проблема не в capsman, а в передаче VLAN между мостами.

Вот твоя конфигурация:
/interface vlan
add interface="bridge company" name="VLAN company" vlan-id=8
add interface="bridge company host" name="VLAN company host" vlan-id=10

Поскольку ты используешь «bridge company» как транковый порт, все VLAN должны быть настроены на нём, вот так:
/interface vlan
add interface="bridge company" name="VLAN company" vlan-id=8
add interface="bridge company" name="VLAN company host" vlan-id=10

Это заставит все порты, назначенные на «bridge company», работать как транк, так что можно будет подключать их к любому порту. Это удобно, если надо подключить несколько устройств. Далее привяжи VLAN к нужному мосту:
/interface bridge port
add bridge="bridge company" interface="VLAN company host"

Это свяжет мост и VLAN. DHCP сервер и IP-адрес должны быть назначены мосту, а не VLAN интерфейсу, например:
/ip address
add address=172.27.8.1/23 interface="bridge company" network=172.27.8.0
add address=172.27.10.1/24 interface="bridge company host" network=172.27.10.0

/ip dhcp-server
add add-arp=yes address-pool="pool company" authoritative=after-2sec-delay disabled=no interface="bridge company" lease-time=8h name="dhcp company"
add add-arp=yes address-pool="pool company host" authoritative=after-2sec-delay disabled=no interface="bridge company host" lease-time=2h name="dhcp company host"

Обязательно отключи VLAN-фильтрацию во всех настройках моста.

Для capsman forwarding VLAN-тег в datapath использовать не нужно, поэтому можно настроить так:
/caps-man datapath
add bridge="bridge company" client-to-client-forwarding=yes local-forwarding=no
add bridge="bridge company host" client-to-client-forwarding=no local-forwarding=no

То же самое сделай на остальных устройствах. Это позволит связать Wi-Fi клиентов и LAN/ethernet клиентов на одном мосту, чтобы создать одну широковещательную доменную зону.

Для лучшей производительности активируй аппаратное ускорение на портах моста и отключи использование IP firewall в настройках моста.

mkx

Guest

02.06.2020 14:02:00

Правильно. Неправильно! Интерфейс VLAN (точнее его тегированная часть) уже входит в состав «моста компании», и никогда не следует добавлять оба конца интерфейса VLAN в один и тот же мост. Из-за ошибки в приведённом ранее коде это снова неправильно. И остальная часть сообщения тоже неверна... Если используются VLAN на мосту, то обязательно должен быть включён vlan-фильтр. Серьёзно, прочитайте этот урок, чтобы понять, как правильно работать с VLAN в ROS. Если хотите использовать аппаратное ускорение для сетей с VLAN, конфигурация будет другой (и предыдущий пост тоже совсем неточен для такого варианта настройки).

alexanwar

Guest

02.06.2020 21:36:00

Спасибо, что указали на это, я только что заметил, что сделал опечатку. Должно быть так: /interface bridge port add bridge="bridge company host" interface="VLAN company host". Так работает, но, как вы и сказали, это не лучшая практика. Так что, есть у вас какие-нибудь советы по этому вопросу? Мне интересно узнать и исправить свою ошибку.

alexanwar

Guest

03.06.2020 07:01:00

Я использовал этот метод на 1100 и 4011, так как процессор достаточно мощный, чтобы справляться с трафиком, но на 750 или 951 процессор загружался на 100% при LAN-трафике, потому что аппаратное ускорение нельзя было включить. Мой трюк может быть не самым правильным решением, но хотя бы позволяет включить аппаратное ускорение на основном мосту. Ну а теперь я попробую найти способ, чтобы аппаратное ускорение работало в сценарии, описанном в этой теме.

mkx

Guest

03.06.2020 08:16:00

Если хотите, чтобы VLANы аппаратно обрабатывались, лучше использовать старый способ их настройки. Основная идея VLAN одинаковая, вне зависимости от того, где они настроены (на мосту или на чипе коммутатора), отличаются только команды конфигурации. Для олдскульного варианта есть мануал, где описаны VLANы для ether-портов. Нужно немного подкорректировать настройку других объединённых интерфейсов (например, wlan) — а уровни выше L2 (VLAN-интерфейсы, IP и прочее) будут одинаковыми в любом случае. Но учтите, что не все устройства Routerboard поддерживают аппаратное оффлоад VLAN, это доступно только на устройствах с коммутаторными чипами... и даже не на всех из них, например, RB4011 и RB750Gr4 к ним не относятся.

alexanwar Guest	#10 0 03.06.2020 10:04:00 Да, устройство с несколькими мультиплексорными чипами, такими как 4011 и 1100ah4x, тоже может доставить кучу головной боли. Думаю, лучше использовать коммутатор уровня 3, если нужна проводная скорость, а роутер — только для WAN и исходящего трафика. Всё равно скучаю по старым добрым временам, когда RouterOS ещё поддерживал master/slave-порты.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры