+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

CRS VLAN Management IP

CRS VLAN Management IP, RouterOS

Jammy

Guest

24.03.2014 17:18:00

В пятницу я получил CRS125-24G-1S-RM и с тех пор пытаюсь назначить IP-адрес управления VLAN. Следовал руководству с примерами для CRS и смог настроить VLAN на основе портов (хотя трафик с тегами других VLAN протекает, но, судя по всему, пока это лучшее, что можно сделать). В самом низу страницы объясняется, как задать IP для управления VLAN, чтобы коммутатор мог выступать в роли шлюза. Но у меня это не работает. Запустил Wireshark на хосте в VLAN и попытался пропинговать его с коммутатора. В Wireshark вижу ARP-запросы от коммутатора (нетегированные) и ARP-ответы от хоста (тоже нетегированные). Я даже сбрасывал настройки маршрутизатора (удалял всё, что было настроено) и запускал настройки VLAN с нуля, но без результата. Мой экспорт настроек ниже. Кто-нибудь знает, что я делаю не так? У кого-нибудь это работает?

[admin@MikroTik] > export

jan/02/1970 00:35:59 by RouterOS 6.11 software id = 76PM-XHVB

/interface ethernet
set [ find default-name=ether1 ] name=ether1-master-local
set [ find default-name=ether2 ] master-port=ether1-master-local name=ether2-slave-local
set [ find default-name=ether3 ] master-port=ether1-master-local name=ether3-slave-local
set [ find default-name=ether4 ] master-port=ether1-master-local name=ether4-slave-local
set [ find default-name=ether5 ] master-port=ether1-master-local name=ether5-slave-local
set [ find default-name=ether6 ] master-port=ether1-master-local name=ether6-slave-local
set [ find default-name=ether7 ] master-port=ether1-master-local name=ether7-slave-local
set [ find default-name=ether8 ] master-port=ether1-master-local name=ether8-slave-local
set [ find default-name=ether9 ] master-port=ether1-master-local name=ether9-slave-local
set [ find default-name=ether10 ] master-port=ether1-master-local name=ether10-slave-local
set [ find default-name=ether11 ] master-port=ether1-master-local name=ether11-slave-local
set [ find default-name=ether12 ] master-port=ether1-master-local name=ether12-slave-local
set [ find default-name=ether13 ] master-port=ether1-master-local name=ether13-slave-local
set [ find default-name=ether14 ] master-port=ether1-master-local name=ether14-slave-local
set [ find default-name=ether15 ] master-port=ether1-master-local name=ether15-slave-local
set [ find default-name=ether16 ] master-port=ether1-master-local name=ether16-slave-local
set [ find default-name=ether17 ] master-port=ether1-master-local name=ether17-slave-local
set [ find default-name=ether18 ] master-port=ether1-master-local name=ether18-slave-local
set [ find default-name=ether19 ] master-port=ether1-master-local name=ether19-slave-local
set [ find default-name=ether20 ] master-port=ether1-master-local name=ether20-slave-local
set [ find default-name=ether21 ] master-port=ether1-master-local name=ether21-slave-local
set [ find default-name=ether22 ] master-port=ether1-master-local name=ether22-slave-local
set [ find default-name=ether23 ] master-port=ether1-master-local name=ether23-slave-local
set [ find default-name=ether24 ] master-port=ether1-master-local name=ether24-slave-local
set [ find default-name=sfp1 ] master-port=ether1-master-local name=sfp1-slave-local

/interface vlan
add interface=ether1-master-local l2mtu=1584 name=vlan200 vlan-id=200

/interface ethernet switch
set bridge-type=customer-vid-used-as-lookup-vid

/port
set 0 name=serial0

/interface ethernet switch egress-vlan-translation
add customer-vid=200 new-customer-vid=0 ports=ether2-slave-local
add customer-vid=200 new-customer-vid=0 ports=ether3-slave-local

/interface ethernet switch ingress-vlan-translation
add customer-vid=0 new-customer-vid=200 ports=ether2-slave-local sa-learning=yes
add customer-vid=0 new-customer-vid=200 ports=ether3-slave-local sa-learning=yes

/ip address
add address=192.168.88.1/24 comment="default configuration" interface=ether1-master-local network=192.168.88.0
add address=192.168.1.1/24 interface=vlan200 network=192.168.1.0

/ip upnp
set allow-disable-external-interface=no

/lcd interface
set ether1-master-local interface=ether1-master-local
set ether2-slave-local interface=ether2-slave-local
set ether3-slave-local interface=ether3-slave-local
set ether4-slave-local interface=ether4-slave-local
set ether5-slave-local interface=ether5-slave-local
set ether6-slave-local interface=ether6-slave-local
set ether7-slave-local interface=ether7-slave-local
set ether8-slave-local interface=ether8-slave-local
set ether9-slave-local interface=ether9-slave-local
set ether10-slave-local interface=ether10-slave-local
set ether11-slave-local interface=ether11-slave-local
set ether12-slave-local interface=ether12-slave-local
set ether13-slave-local interface=ether13-slave-local
set ether14-slave-local interface=ether14-slave-local
set ether15-slave-local interface=ether15-slave-local
set ether16-slave-local interface=ether16-slave-local
set ether17-slave-local interface=ether17-slave-local
set ether18-slave-local interface=ether18-slave-local
set ether19-slave-local interface=ether19-slave-local
set ether20-slave-local interface=ether20-slave-local
set ether21-slave-local interface=ether21-slave-local
set ether22-slave-local interface=ether22-slave-local
set ether23-slave-local interface=ether23-slave-local
set ether24-slave-local interface=ether24-slave-local
set sfp1-slave-local interface=sfp1-slave-local

/lcd interface pages
set 0 interfaces="ether1-master-local,ether2-slave-local,ether3-slave-local,ether4-slave-local,ether5-slave-local,ether6-slave-local,ether7-slave-local,ether8-slave-local,ether9-slave-local,ether10-slave-local,ether11-slave-local,ether12-slave-local"
set 1 interfaces="ether13-slave-local,ether14-slave-local,ether15-slave-local,ether16-slave-local,ether17-slave-local,ether18-slave-local,ether19-slave-local,ether20-slave-local,ether21-slave-local,ether22-slave-local,ether23-slave-local,ether24-slave-local"

efaden Guest	#2 0 12.04.2014 22:40:00 После выхода версии 6.12 и обновления полной документации я с удовольствием это сделаю.

vvujasinovic Guest	#3 0 30.07.2014 15:31:00 Есть какие-нибудь новости, ребята? Спасибо!

indnti

Guest

12.04.2014 22:31:00

У меня это частично работает… но сейчас есть несколько багов. В версии 6.12 исправлено много ошибок, и, судя по всему, будет больше примеров с документацией. Пожалуйста, не могли бы вы выложить рабочую конфигурацию VLAN с транк-портом (прозрачным для тегированных VLAN) для uplink на другой коммутатор? Было бы здорово.

xcom

Guest

30.07.2014 17:31:00

Команда, у меня такой же свич. У меня были некоторые проблемы, но с помощью я смог заставить его работать. Хотя мои требования немного отличались, это может помочь или дать другим идею… Вот мои заметки:

Сначала создайте vlan в интерфейсах — добавьте vlan и прикрепите его к “bridge-local” или сделайте так:
/interface vlan add interface=bridge-local name=vlan2 vlan-id=2

Далее назначьте IP этому vlan, в примере используется vlan2:
/ip address add address=10.30.10.1 netmask=255.255.255.0 interface=vlan2

Теперь добавим пул адресов:
/ip pool add ranges=10.30.10.100-10.30.10.200 name=vlan2

Создаем DHCP-сервер:
/ip dhcp-server add name=guest_vlan2 interface=vlan2

Добавляем сеть в DHCP-сервер:
/ip dhcp-server network add address=10.30.10.0/24 dns-server=8.8.8.8 gateway=10.30.10.1

Теперь выбираем пул для DHCP-сервера, используйте созданный ранее пул с именем “vlan2”. Можно сделать это через GUI, отредактировав DHCP-сервер и выбрав пул. Помните, что интерфейс — vlan2, а пул адресов — vlan2. Убедитесь, что на интерфейсе шлюза включен NAT, обычно он уже включен.

Далее работаем с firewall:

Создаем список адресов… Вы можете смотреть результат в GUI:
/ip firewall address-list add list=bogons address=10.0.0.0/8
/ip firewall address-list add list=bogons address=172.16.0.0/26
/ip firewall address-list add list=bogons address=192.168.0.0/16

Теперь добавляем правило фильтрации:
/ip firewall filter add dst-address-list=bogons chain=forward action=log in-interface=vlan2

Это означает, что логируется трафик, заходящий на интерфейс vlan2, и идущий к любым из частных IP-адресов. В GUI можно поменять действие с log на drop и переместить правило в начало списка. Теперь гости могут обращаться к любым адресам, кроме тех, что в списке bogons. Хотя bogons — не совсем точное название, обычно оно используется для частных IP в WAN, но мне нравится использовать его здесь.

Обратите внимание, что гости все еще могут обращаться к адресам самого роутера, потому что правило действует в цепочке forward. Можно добавить дополнительные правила в цепочку input — например, блокировать любой трафик, приходящий на vlan2, или разрешать ICMP, чтобы пинговать шлюз. Тут можно экспериментировать.

Если у вашей гостевой сети есть splash page (страница приветствия), убедитесь, что IP-адрес splash page разрешен. Если splash page находится на сервере в локальной сети, просто добавьте разрешающее правило в цепочке forward прямо перед блокирующим правилом. Правила применяются сверху вниз.

Для проверки выполненных настроек:
/ip address print where interface=vlan2
/ip pool print
/ip dhcp-server print
/ip dhcp-server network print

Вот пример проброса порта:
/ip firewall nat add chain=dstnat dst-address=YOURWANIP protocol=tcp dst-port=8088 action=dstnat to-address=YOURLANIP to-port=8088

Удачи!

r2504

Guest

03.10.2014 22:33:00

Откуда взялся этот "birdge-local"... Я нигде не вижу, чтобы его определяли? Также, глядя на стартовое сообщение темы, я бы подумал, что конфигурация правильная, но у меня есть похожая, и она тоже не работает. Вопрос, однако, простой: нужно определить VLAN на CRS, подключить к нему DHCP-клиент или сервер и сделать так, чтобы пакеты выходили без тегов на порту.

xcom Guest	#7 0 06.10.2014 01:56:00 Именно так я и сделал. bridge-local — это конфигурация коммутатора по умолчанию, и он с завода именно так настроен. Всё, что я сделал — создал VLAN, подключил его к мосту и, конечно, настроил DHCP, пул и так далее.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры