+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Помогите разобраться с VLAN bridging на MikroTik. Я пытаюсь настроить VLAN на MikroTik RouterOS 7.10, и у меня возникла проблема. Я создал VLAN, подключил его к bridge и назначил IP-адрес на bridge. Но компьютеры в VLAN не видят друг друга. Что я сделал

Помогите разобраться с VLAN bridging на MikroTik. Я пытаюсь настроить VLAN на MikroTik RouterOS 7.10, и у меня возникла проблема. Я создал VLAN, подключил его к bridge и назначил IP-адрес на bridge. Но компьютеры в VLAN не видят друг друга. Что я сделал, RouterOS

runet Guest	#1 0 26.03.2007 21:50:00 Есть тут кто-нибудь, кто шарит в VLAN и бриджинге? У меня какие-то проблемы, и нужна консультация.

sergejs Guest	#2 0 27.03.2007 13:27:00 Думаю, тебе нужно предоставить больше информации о проблемах с VLAN и бриджем, если ты хочешь получить какие-нибудь советы.

runet

Guest

27.03.2007 14:49:00

Я попробую проиллюстрировать, что я хочу сделать: В этом эксперименте есть 3 VLAN, которые завершаются на access-порту свитча с одной стороны и на Mikrotik роутере с другой. (В реальной жизни я хочу около 100 VLAN) Вот конфигурация VLAN: add name="vlan1" mtu=1500 arp=enabled vlan-id=101 interface=ether1 comment="" disabled=no
add name="vlan2" mtu=1500 arp=enabled vlan-id=102 interface=ether1 comment="" disabled=no
add name="vlan3" mtu=1500 arp=enabled vlan-id=103 interface=ether1 comment="" disabled=no
Теперь, поскольку я хочу, чтобы все мои VLAN были в одной подсети (чтобы я мог раздавать динамические публичные IP-адреса), я подумал, что мне понадобится bridge, поэтому… / interface bridge
add name="sm" mtu=1500 arp=enabled stp=no priority=32768 ageing-time=5m forward-delay=15s \
garbage-collection-interval=4s hello-time=2s max-message-age=20s comment="" disabled=no
/ interface bridge port
add interface=vlan1 bridge=sm priority=128 path-cost=10 comment="" disabled=no
add interface=vlan2 bridge=sm priority=128 path-cost=10 comment="" disabled=no
add interface=vlan3 bridge=sm priority=128 path-cost=10 comment="" disabled=no
/ interface bridge broute
add chain=brouting in-interface=vlan1 in-bridge=sm action=accept comment="" disabled=yes
У bridge (sm) есть IP-адрес на подсети, которую я хочу использовать для моих клиентов; 192.168.5.0/24
/ ip address
add address=192.168.1.221/24 network=192.168.1.0 broadcast=192.168.1.255 interface=ether2 comment="" \
disabled=no
add address=192.168.11.1/24 network=192.168.11.0 broadcast=192.168.11.255 interface=ether1 comment="" \
disabled=no
add address=192.168.5.1/24 network=192.168.5.0 broadcast=192.168.5.255 interface=sm comment="" disabled=no
Я пробовал это, и проблема кажется в том, что не все клиенты могут пинговать шлюз 192.168.5.1, не говоря уже о пинге 192.168.1.221. Это правильный способ настроить это?

runet

Guest

27.03.2007 16:11:00

Поигрался с рабочей экспериментом на верстаке. Тестирую различные функции. Клиенты НЕ могут пинговать друг друга. Мне кажется, это должно работать. Это баг? Через какое-то время клиенты не могут пинговать интерфейс bridge (sm). -> баг? Буду благодарен за любые подсказки.

changeip

Guest

27.03.2007 16:36:00

Если создаешь кучу VLAN'ов, а потом связываешь их в один бридж, то просто выкидываешь безопасность, которую получаешь от VLAN'ов… Не думаю, что тебе это нужно. Я, честно говоря, не уверен, что посоветовать, чтобы получить то, что тебе нужно, но может, кто-то еще подскажет. Может, PPPoE? Sam

runet

Guest

27.03.2007 16:53:00

Ну, безопасность теперь есть, потому что я не могу заставить клиентов видеть друг друга. Как я уже упоминал выше, я не уверен, это ошибка или нет. Мой вариант – что это должно работать, как ты и сказал. Цель создания бриджа в том, чтобы я мог использовать одну подсеть для всех VLAN (я не нашел другого способа это реализовать). Другими словами, я мог бы убрать бридж и иметь много подсетей с 2 или 6 IP-адресами. Кто знает, может быть, удаление бриджа и решит всю проблему.

runet

Guest

27.03.2007 17:31:00

Хочу подчеркнуть, что VLANы нужны мне для того, чтобы я мог мониторить и контролировать полосу пропускания для каждого клиента. А мост нужен, чтобы все мои клиенты были в одной подсети. Я выдаю клиентам публичные IP-адреса, но все равно хочу, чтобы они получались динамически.

runet Guest	#8 0 27.03.2007 21:31:00 Не могу заставить работать объединенные VLAN! Соединение прерывистое и ненадежное! Клиенты не могут общаться друг с другом, хотя VLANы и объединены! Кто-нибудь может что-нибудь сказать? Разработчики MT?

JJCinAZ Guest	#9 0 29.03.2007 04:51:00 Конечно, прокомментирую – дизайн сломан. Используй PPPoE или настоящую подсеть.

runet

Guest

#10

30.03.2007 01:59:00

Спасибо за комментарий. Я использую VLAN'ы, потому что хочу реализовать QoS. Также использую Motorola Canopy. Я не хотел делать подсеть (но сделаю, если понадобится), так как хочу раздавать динамические и публичные IP-адреса. PPPoE требует логин, а VLAN-решение должно быть проще для клиента. Одна из причин, по которой я разработал VLAN-дизайн, – это возможность мониторить и ограничивать пропускную способность по интерфейсу: если трафик приходит на VLAN так-то, я знаю, что это от определенного клиента. Мне не нужно знать их MAC-адрес или что-то ещё о них, кроме VID. И потом, почему bridging VLAN'ов может быть проблемой?

changeip

Guest

#11

30.03.2007 02:58:00

Вся суть VLAN'ов в том, чтобы разделять трафик. Как только ты объединяешь их в bridge, то по сути возвращаешься к отсутствию VLAN'ов. Если ты просто хочешь мониторить/ставить в очередь трафик, делай это по IP-адресам. Если твой IP-адрес, IP-адрес шлюза, находится в VLAN1, а у клиента A есть VLAN101, как ты думаешь, они смогут общаться? 1 и 101 не в одной L2-сети. Какой подсеть ты планируешь выдавать, /24? Это значит, что все будут в одной подсети, но в разных L2-сетях… так не работает. Соединение прерывистое, потому что когда тайм-аут ARP-записи истекает, связь пропадает. Удивительно, что это вообще работает. Видишь ли ты, чтобы другие вендоры делали так?

runet

Guest

#12

30.03.2007 14:26:00

Окей, вот как всё выглядит: [-----bridge$vlan1] --- [AP] ----- [Canopy SM1$]----- [customer1]
[MT-bridge$vlan2] --- [AP] ----- [Canopy SM2$]----- [customer2]
[-----bridge$vlan3] --- [AP] ----- [Canopy SM3$]----- [customer3] VLAN-ы заканчиваются между знаками "$". Преимущество использования VLAN-ов в том, что я могу отслеживать трафик для конкретного клиента (например, если он проходит через VLAN 101, я знаю, что он идёт на аккаунт мистера Смита). Недостаток — требуется много подсетей. Если я хочу предоставить своим клиентам публичные IP-адреса, это становится расточительно, особенно если я хочу, чтобы мои клиенты получали динамические IP-адреса. Единственный способ, который я придумал пока, — это объединить VLAN-ы и использовать одну подсеть для всех VLAN-ов. Таким образом, мост становится шлюзовым интерфейсом. Это, очевидно, не сработало у меня, и причина в том, что когда VLAN-ы объединены, соединение между клиентом и мостом появляется и исчезает. Вот почему я подумал, что где-то ошибка. Я бы думал, что должно либо работать, либо не работать, но не то и другое, но на разных L2 сетях… так не работает. Соединение прерывистое, потому что как только истекает время записи ARP, связь пропадает. Я удивлён, что это вообще работает. Разве "bridge" не означает, что ARP транслируется всем участникам моста? Я пока не нашёл никого другого, кто так делает. Было бы неплохо поговорить с кем-то, кто это делал (если я смогу его найти).

sten

Guest

#13

30.03.2007 14:53:00

Стоишь на перепутье, да? В долгосрочной перспективе тебе, наверное, лучше будет с этими лишними IP-адресами. Но почему бы тебе не попробовать хотя бы proxy arping и host routes вместо того, чтобы портить структуру VLAN? Так твои VLAN не будут "утекать".

EDIT: На самом деле, тебе, возможно, и не придется использовать proxy-arp, потому что ядро будет отвечать на ARP-запросы для любого IP на роутере на любом широковещательном интерфейсе. В 2.9.x нужно добавить небольшой неофициальный адресную подсеть для каждого VLAN и затем маршрутизировать публичный IP на локальный адрес на роутере. В 3.x ты можешь маршрутизировать host route сразу на интерфейс, избавляясь от этой неофициальной подсети. (По крайней мере, так я прочитал в changelog) — это фишка, которой я не могу дождаться, чтобы попробовать на себе.

runet Guest	#14 0 30.03.2007 16:35:00 Спасибо, Стен. Можешь, пожалуйста, объяснить это подробнее?

runet

Guest

#15

30.03.2007 17:44:00

Раз уж ты упомянул "proxy arp", я потратил время, изучая пример тут: http://www.mikrotik.com/testdocs/ros/2.9/ip/address.php. Подскажите, кто знает, как настроить proxy-arp? Будет ли хост C использовать 192.168.0.129 или 192.168.0.1 в качестве шлюза, если хост C использует 192.168.0.129 в качестве шлюза? Не запутается ли R1, когда будет пытаться выйти в сеть через 192.168.0.1? Будет ли он транслировать на обоих интерфейсах ether1 и ether2?

JJCinAZ

Guest

#16

30.03.2007 19:23:00

Используйте VLAN для каждого клиента, но не давайте всем публичный IP, если они не готовы доплатить. Если им нужен только базовый доступ в Интернет, дайте им приватный IP и проксируйте их через NAT. Если им нужен публичный IP, выделите им подсеть. Да, это стоит вам 4 IP-адреса, чтобы продать 1, или 8 IP-адресов, чтобы продать 5, но при стоимости 2-5 долларов в месяц за IP-адрес вы с легкостью сможете на этом заработать, вместо того, чтобы раздавать их просто так. Если вы хотите поместить всех в один интерфейс, вы можете использовать функции SM и AP isolation в Canopy v8 и при этом всё ещё контролировать полосу пропускания с помощью Mikrotik queues. Вам нужно задаться вопросом, что лучше масштабируется, и, после того как попробовал много всего и выкупил сети у людей, которые экспериментировали со многими из тех вещей, что вы и другие упоминали, могу сказать, что ни один из этих методов не масштабируется хорошо. По-моему, правильно с самого начала — это использовать отдельную VLAN для каждого клиента и использовать IP-подсети.

runet

Guest

#17

30.03.2007 20:12:00

По-моему, правильно делать всё с самого начала – использовать отдельную VLAN для каждого клиента и использовать IP-подсети. VLAN'ы мне тоже нравятся, по многим причинам. V8 на оборудовании canopy пока не использую, но и это тоже изучу. Может быть, есть способ использовать VLAN, которые находятся в отдельных L2-пространствах вещания, а затем эхо-ARP во всех VLAN? А затем назначать адреса из одной и той же /24, скажем, ко всем устройствам, подключенным к другим концам VLAN. Мне кажется, это называется бриджем, но я тут новичок. Если уж придётся, я могу следовать вашему совету и выдавать приватные адреса, а публичные назначать только тем, кто платит. Просто было бы здорово не заставлять моих клиентов проходить через двойной NAT.

JJCinAZ

Guest

#18

30.03.2007 20:58:00

Мы постоянно прогоняем клиентов через двойной NAT без каких-либо проблем. Если бы это действительно вызывало проблемы, мои затраты на поддержку росли бы, и я бы от него избавился. Я только что спросил у наших ребят из поддержки, и, на самом деле, у нас ни разу не было случая, когда двойной NAT вызывал проблемы — например, когда клиент подключает роутер Linksys/Dlink/Netgear к соединению, которое уже проложено через наши Mikrotik. Да, вы должны уметь объединять несколько VLAN и чтобы это выглядело как свич (который сам по себе является бриджем). Но кое-какие детали вы упустили, например, как вы подключаетесь к своему провайдеру и хотите ли вы соединять клиентов напрямую с нашим интернет-каналом или маршрутизировать их на него.

changeip

Guest

#19

30.03.2007 22:01:00

Как насчет использования пространства rfc1918 между тобой и клиентом? Назначь /30 каждому vlan, получаешь 1 IP, они получают 1 IP. Затем настроишь маршрут /32 для их публичного IP, а следующий хоп - их приватный IP из /30. По-моему, это примерно то, как работают кабельные сети. Интересно, нужно ли тебе интерфейсная маршрутизация в 3.0, чтобы сделать это правильно… Сэм.

JJCinAZ Guest	#20 0 01.04.2007 16:28:00 И как это должно работать? Тебе нужно будет выполнять NAT для адреса rfc1918 клиента на публичный IP, иначе вышестоящий увидит пакеты с приватного адреса и просто отбросит их.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры