+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

RB2011 с объединёнными VLAN через транковый аплинк и объединёнными (LACP и 802.3ad) даунлинками.

RB2011 с объединёнными VLAN через транковый аплинк и объединёнными (LACP и 802.3ad) даунлинками., RouterOS

promethean

Guest

09.03.2016 04:54:00

Пытаюсь настроить RB2011(UiAS-RM) для VLAN, транковой uplink-связи и объединённых (LACP и 802.3ad) downlink-портов. VLAN:
name=mgmt vlan-id=10 (с management IP-адресом 10.1.1.41/24)
name=cust-1 vlan-id=41
name=cust-2 vlan-id=42

Порты:
sfp1 — uplink на core switch: tagged VLANы mgmt, cust-1, cust-2
ether6, ether7, ether8 — bonded, untagged cust-1
ether9, ether10 — bonded, untagged cust-2
(ether1–ether5 будут использоваться для других задач, но там всё гораздо проще, так что опустим их в этом примере.)

Хотелось бы пробросить VLANы с транка на объединённые downlink-порты, при этом маршрутизировать IP на основном роутере (доступ через sfp1 uplink на core switch) и на CPE-роутере заказчика (hEX Lite, который также будет заниматься bonding). (NAT и маршрутизация на RB2011 не нужны — он должен работать как коммутатор.)

Реально ли такое? Немного работал с VLAN и разбирался с базовой настройкой bonding, но все примеры, которые видел, используют маршрутизируемые интерфейсы. Признаюсь, я запутался во взаимодействии чипов коммутатора и VLAN, особенно когда добавляется bonding.

Какой код для RouterOS (6.34.2) позволит это настроить?

Заранее спасибо всем, кто сможет помочь!

plum

Guest

18.12.2020 20:55:00

Спасибо за самответ, он помог мне решить ту же проблему, с которой я столкнулся, когда пытался добавить новое устройство с поддержкой LCAP/802.3ad. Я разобрался без сброса устройства, но это мне не совсем понятно. На мой взгляд, эти два порта должны передавать пакеты с VLAN ID, но, похоже, этого не происходит? Буду признателен, если кто-то объяснит, почему это именно так работает (или может я просто всё сделал неправильно).

Вот инструкция, как из ранее настроенных VLAN-портов сделать бонд (порт 3+4).

Сначала уберите порты 3 и 4 из VLAN коммутатора (/interface ethernet switch vlan).
Затем в разделе Switch → Port (/interface ethernet switch port) измените default-vlan-id на auto (в интерфейсе: удалите значение с помощью стрелки вверх) и отключите обе настройки VLAN:

# ИМЯ КОММУТАТОР VLAN-РЕЖИМ VLAN-ЗАГОЛОВОК DEFAULT-VLAN-ID
1 eth01 switch1 secure always-strip 40
2 eth02 switch1 secure always-strip 40
3 eth03 switch1 disabled leave-as-is auto
4 eth04 switch1 disabled leave-as-is auto

Дальше всё как в посте выше:
Создайте бонд на портах 3+4 (/interface bonding).
Добавьте VLAN с бондом как интерфейсом (/interface vlan).
Добавьте бонд в vlan-bridge (важно: добавляйте сам бонд, а не VLAN бонда!).

mkx

Guest

18.12.2020 21:11:00

То, как ты настроил bond-порты, аппаратное обеспечение (чип коммутатора) никак не влияет на VLAN-теги. Бридж при использовании без vlan-filtering, установленного в yes, тоже не обрабатывает VLAN. Так как ты добавил bond прямо в бридж, ROS VLAN-теги трогать не будет. Так что будут ли пакеты помечены тегами или нет, зависит от того, как настроен интерфейс switch1-cpu в разделе /interface ethernet switch. Можешь выложить вывод команды /interface export, чтобы мы посмотрели реальную конфигурацию и смогли дать дельные советы.

plum

Guest

19.12.2020 01:27:00

Привет! Да, буду рад, если ты сможешь немного прояснить ситуацию. Конфигурация аппаратного переключателя как минимум мешает работе bond, любые другие настройки не срабатывают. Я ожидал получить untagged bond, но VLAN на интерфейсе bond как будто ведёт себя как VLAN по умолчанию. Исходная конфигурация была сделана 3-4 года назад и перенесена на новую прошивку, тогда “bridge vlans” ещё не существовало, когда этот роутер настраивали, но я не уверен, стоит ли вообще мигрировать?

ПРАВКА:
Думаю, у меня получилось то, что не рекомендуется — VLAN в bridge с физическим интерфейсом.
1 — internet
2 и 6 — trunk к свитчу
3+4 — bonding
# dec/19/2020 02:05:09 by RouterOS 6.44.3
# software id = TQ36-1UAQ
#
# model = 2011UiAS-2HnD
# serial number = XXXX

/interface bridge
add admin-mac=5C:4B:2B:1C:72:A0 auto-mac=no comment=defconf name=bridge
add name=bridge-vlan-dmz-20
add name=bridge-vlan-guest-80
add name=bridge-vlan-int-40

/interface ethernet
set [ find default-name=ether1 ] name=eth01-outside speed=100Mbps
set [ find default-name=ether2 ] name=eth02-master speed=100Mbps
set [ find default-name=ether3 ] name=eth03 speed=100Mbps
set [ find default-name=ether4 ] mac-address=6C:3B:6B:8C:7D:A1 name=eth04 speed=100Mbps
set [ find default-name=ether5 ] name=eth05 speed=100Mbps
set [ find default-name=ether6 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=eth06-master
set [ find default-name=ether7 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=eth07
set [ find default-name=ether8 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=eth08
set [ find default-name=ether9 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=eth09
set [ find default-name=ether10 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=eth10
set [ find default-name=sfp1 ] disabled=yes

/interface wireless
set [ find default-name=wlan1 ] country=switzerland disabled=no distance=indoors frequency=2467 frequency-mode=regulatory-domain installation=indoor mode=ap-bridge name=wlan-int-40 ssid="Internal WLAN" vlan-id=40 wireless-protocol=802.11 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=6E:3B:6B:8C:7D:AA master-interface=wlan-int-40 multicast-buffering=disabled name=wlan-iot-40 ssid="IOT WLAN" vlan-id=40 wds-cost-range=0 wds-default-cost=0 wps-mode=disabled

/interface vlan
add interface=bridge name=vlan-dmz-20 vlan-id=20
add interface=bridge name=vlan-guest-80 vlan-id=80
add interface=bridge name=vlan-int-40 vlan-id=40

/interface bonding
add arp=disabled mode=802.3ad name=bond-nas-34 slaves=eth03,eth04

/interface vlan
add interface=bond-nas-34 name=vlan-int-bond vlan-id=40

/interface ethernet switch port
set 2 default-vlan-id=1 vlan-header=add-if-missing vlan-mode=secure
set 5 default-vlan-id=40 vlan-header=always-strip vlan-mode=secure
set 6 default-vlan-id=1 vlan-header=add-if-missing vlan-mode=secure
set 7 default-vlan-id=1 vlan-header=add-if-missing vlan-mode=secure
set 8 default-vlan-id=40 vlan-header=always-strip vlan-mode=secure
set 9 default-vlan-id=20 vlan-header=always-strip vlan-mode=secure
set 10 default-vlan-id=80 vlan-header=always-strip vlan-mode=secure
set 11 vlan-mode=check
set 12 vlan-mode=check

/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox

/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key="xxx" wpa2-pre-shared-key="xxx"
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=profile-guest supplicant-identity=MikroTik wpa-pre-shared-key="xxx" wpa2-pre-shared-key="xxx"
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=hotspot supplicant-identity="" wpa-pre-shared-key="xxx" wpa2-pre-shared-key="xxx"

/interface wireless
add disabled=no mac-address=6E:3B:6B:8C:7D:A9 master-interface=wlan-int-40 name=wlan-guest-80 security-profile=profile-guest ssid="Guest WLAN" vlan-id=80 wps-mode=disabled

/interface bridge filter
add action=drop chain=forward in-interface=wlan-guest-80
add action=drop chain=forward out-interface=wlan-guest-80

/interface bridge port
add bridge=bridge comment=defconf interface=eth02-master
add bridge=bridge-vlan-int-40 comment=defconf interface=wlan-int-40
add bridge=bridge interface=eth06-master
add bridge=bridge-vlan-int-40 interface=vlan-int-40
add bridge=bridge-vlan-guest-80 interface=vlan-guest-80
add bridge=bridge-vlan-guest-80 interface=wlan-guest-80
add bridge=bridge-vlan-dmz-20 interface=vlan-dmz-20
add bridge=bridge interface=eth10
add bridge=bridge interface=eth05
add bridge=bridge interface=eth07
add bridge=bridge interface=eth08
add bridge=bridge interface=eth09
add bridge=bridge-vlan-int-40 interface=bond-nas-34
add bridge=bridge-vlan-int-40 disabled=yes interface=eth03
add bridge=bridge-vlan-int-40 disabled=yes interface=eth04

/interface bridge settings
set use-ip-firewall-for-vlan=yes

/interface ethernet switch vlan
add ports=eth06-master,eth07,eth08,switch2-cpu switch=switch2 vlan-id=40
add ports=eth06-master,eth07,eth10,switch2-cpu switch=switch2 vlan-id=80
add independent-learning=no ports=eth02-master,eth05,switch1-cpu switch=switch1 vlan-id=40
add independent-learning=no ports=eth02-master,switch1-cpu switch=switch1 vlan-id=80
add ports=eth06-master,eth09,switch2-cpu switch=switch2 vlan-id=20
add independent-learning=no ports=eth02-master,switch1-cpu switch=switch1 vlan-id=20

/interface list member
add interface=sfp1 list=discover
add interface=eth02-master list=discover
add interface=eth03 list=discover
add interface=eth04 list=discover
add interface=eth05 list=discover
add interface=eth06-master list=discover
add interface=eth07 list=discover
add interface=eth08 list=discover
add interface=eth09 list=discover
add interface=eth10 list=discover
add interface=wlan-int-40 list=discover
add interface=bridge list=discover
add interface=vlan-int-40 list=discover
add interface=vlan-guest-80 list=discover
add interface=bridge-vlan-int-40 list=discover
add interface=bridge-vlan-guest-80 list=discover
add interface=wlan-guest-80 list=discover
add interface=vlan-dmz-20 list=discover
add interface=bridge-vlan-dmz-20 list=discover
add interface=eth02-master list=mactel
add interface=eth06-master list=mactel
add interface=eth02-master list=mac-winbox
add interface=eth10 list=mactel
add interface=eth06-master list=mac-winbox
add interface=sfp1 list=mactel
add interface=eth10 list=mac-winbox
add interface=wlan-int-40 list=mactel
add interface=sfp1 list=mac-winbox
add interface=wlan-guest-80 list=mactel
add interface=wlan-int-40 list=mac-winbox
add interface=wlan-guest-80 list=mac-winbox

mkx

Guest

19.12.2020 15:39:00

У тебя в конфигурации странная смесь разных версий. Читать это сложно, и, по моему мнению, не стоит заморачиваться с исправлениями. Я бы посоветовал продумать настройку заново. С RB2011, скорее всего, лучше продолжать использовать VLAN на switch chip для производительности, учитывая, что у твоего RB два коммутаторных чипа, и трафик между портами, принадлежащими разным чипам, вынужден проходить через (медленный) CPU.

Тем не менее, ты можешь использовать один мост, единственная загвоздка — бонд к NAS, который ты используешь как порт доступа для VLAN 40. Можешь ли ты настроить NAS на tagged-соединение? Если да, тогда этот бонд сможет стать обычным участником "тупого" моста, так же, как и остальные транковые порты. Имей в виду, что при двух линках в bond и учитывая, что трафик bond проходит через медленный CPU, у тебя в итоге может получиться скорость даже хуже, чем при использовании одного ether-порта, который бы потом уже переключался.

Вопрос: зачем у тебя в интерфейсах bridge стоит настройка use-ip-firewall-for-vlan=yes? Это не нужно для меж-VLAN трафика, этим занимается обычный L3-файрвол. Эта настройка заставляет весь трафик внутри VLAN проходить через правила файрвола, а в твоём случае это будет незначительная часть intra-VLAN трафика, только тот, что проходит через мост (я полагаю, что большая часть обрабатывается напрямую двумя switch chip).

plum

Guest

20.12.2020 00:42:00

Спасибо за ваше мнение! IP-файрвол, возможно, был попыткой разрешить конкретное соединение vlan-to-vlan, которое доступно извне и использует проброс портов в файрволе. Я воздержался от полного сброса, потому что в этой сети круглосуточно работает немало сервисов. Думаю, проще всего просто забыть про bonding или сделать так, чтобы NAS помечал это соединение. Пока не хотел так делать, потому что если испорчу конфигурацию, то окажусь заблокированным от NAS. Есть ли какой-нибудь свежий гайд по настройке VLAN на RB2011? Если я правильно понял, просто использовать фильтрацию на мосту — плохая идея, ведь всё будет ложиться на процессор, так что всё равно придется как-то смешивать мосты, коммутатор и Wi-Fi.

mkx Guest	#7 0 20.12.2020 16:08:00 На устройствах с слабым процессором, но с приличными коммутирующими чипами (например, RB2011), всё равно лучше придерживаться того же пути, что и ты... только с минимальным количеством мостов. Имей в виду, что по умолчанию мост — это своего рода транк, который пропускает всё между портами-участниками. Он никак не обрабатывает VLAN-теги, что нормально для большинства интерфейсов, которые сами справляются с VLAN-тегами. К сожалению, bond к таким не относится. Поэтому можно пойти наполовину: использовать один мост для всего, кроме bond. Для bond нужно создать VLAN-интерфейс поверх моста (это создаст что-то вроде access-порта для этого VLAN). Затем создать другой мост, который свяжет bond и VLAN-интерфейс. Если роутер должен работать с этим VLAN, добавь соответствующий IP-адрес (и DHCP-сервер и прочее) на этот второй мост. Но повторюсь: если всё будет проходить между NAS и остальной сетью через RB, процессор сильно загрузится, а пропускная способность NAS снизится, что повлияет на общую производительность роутера (например, интернет-трафик). Если NAS — не единственное устройство в этой подсети (а так было бы странно), то это не самый правильный подход. Если ты всё же хочешь использовать bond, тогда возьми нормальный умный коммутатор (любой из серии CxS3xx хорошо подойдёт) и используй RB2011 только для маршрутизации.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры