+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

vLAN с коммутаторами _ решения на основе сценариев

vLAN с коммутаторами _ решения на основе сценариев, RouterOS

paradigm

Guest

28.02.2014 09:26:00

У меня есть RB751-2HnD с коммутаторным чипом Atheros7240. Как видно на фото выше, я установил мастер-порт для eth3–eth5 на eth2. Таким образом, у меня есть 5-портовый коммутатор с портами:
1 – port1 = CPU порт
2 – port2 = eth2
3 – port3 = eth3
4 – port4 = eth4
5 – port5 = eth5

Простая ситуация: все мои ПК имеют IP-адреса из диапазона 192.168.1.x/24, чтобы в обычной ситуации они могли общаться друг с другом. Но я хочу настроить две VLAN: VLAN(A) и VLAN(B). PC2 и PC3 находятся в VLAN(A) с VLAN ID 200, а PC4 и PC5 — в VLAN(B) с VLAN ID 400.

В этом сценарии я хочу достичь следующего: PC2 и PC3 могут общаться между собой, PC4 и PC5 — тоже, а PC2/PC3 не могут связаться с PC4/PC5 и наоборот.

dynek

Guest

20.03.2014 15:58:00

Я прочитал, перечитал и перечитал снова, пока (кажется, что) не понял всё. Судя по вашей презентации, сейчас я предполагаю, что интерфейсы VLAN вообще не нужны для управления VLAN, если используется чип коммутатора, правильно? Спасибо.

efaden Guest	#3 0 20.03.2014 16:23:00 Это правильно, если только вы не хотите, чтобы routerboard видел весь трафик… Когда вы используете коммутатор, интерфейсы VLAN обычно нужны для того, чтобы разрешить трафику от RouterOS попадать в VLAN.

dynek Guest	#4 0 20.03.2014 16:46:00 Значит, я могу объявлять чипы переключателя, а рядом с этим также объявлять VLANы как интерфейсы?

efaden Guest	#5 0 20.03.2014 16:48:00 Да... чип коммутатора управляет тем, к каким портам привязаны VLANы... а интерфейс определяет, какие VLANы RouterOS действительно видит для маршрутизации, IP-адресов, DHCP-сервера и всего такого.

dasiu

Guest

21.03.2014 11:09:00

Правильно. Если вы хотите, чтобы теги VLAN проходили с одного порта на другой, просто используйте «/interface ethernet» для настройки того, какие порты управляются коммутатором, а затем «/interface ethernet switch» для остальной настройки. «/interface vlan» применяется только в следующих случаях: если вы хотите добавить IP-адрес для VLAN (например, чтобы маршрутизировать трафик, иметь возможность пинговать хосты в VLAN с вашего MikroTik и так далее); если хотите связать (пробросить) VLAN (тот, что на коммутаторе) с другими портами (беспроводными, туннелями и прочими); если нужно проанализировать трафик на VLAN (тогда на коммутаторе должна быть настроена зеркалировка или правило с «copy to cpu»). Круто, что презентация реально помогла кому-то. Спасибо!

dynek

Guest

21.03.2014 11:54:00

Я так долго искал объяснение и никак не мог понять, как всё это работает. Так что, честно говоря, ваша презентация — лучшее, что я до сих пор видел. Команде Mikrotik стоит обязательно выложить её где-нибудь в Wiki. Я даже подозреваю, что некоторые думают, что используют свой роутер на полную, но на самом деле не до конца понимают, как использовать чип коммутатора для VLAN.

dynek

Guest

21.03.2014 19:36:00

Dasiu, теперь между «я понял» и «я умею применить» — целая пропасть. В твоей презентации ты упоминаешь только один мастер-порт для чипа. А что, если я хочу иметь два, но только один с использованием switch chip для VLAN? У меня сейчас RB450G (планирую перейти на 2011UiAS), можешь взглянуть, правильно ли у меня настроено?

Я использую ether1 для WAN, ether2 и ether3 — для транка VLAN, ether4 и ether5 пока что — «без VLAN» порты:

/interface ethernet
set [ find default-name=ether1 ] mac-address=00:0C:42:BD:D3:F7 name=ether1-gateway
set [ find default-name=ether2 ] mac-address=00:0C:42:BD:D3:F8 name=ether2-master-trunk
set [ find default-name=ether3 ] mac-address=00:0C:42:BD:D3:F9 master-port=ether2-master-trunk name=ether3-slave-trunk
set [ find default-name=ether4 ] mac-address=00:0C:42:BD:D3:FA name=ether4-master-local
set [ find default-name=ether5 ] mac-address=00:0C:42:BD:D3:FB name=ether5-slave-local

/interface vlan
add interface=ether2-master-trunk l2mtu=1516 name=vlan100-management vlan-id=100
add interface=ether2-master-trunk l2mtu=1516 name=vlan200-private vlan-id=200
add interface=ether2-master-trunk l2mtu=1516 name=vlan300-guest vlan-id=300

/interface ethernet switch port
set 1 vlan-mode=secure
set 2 vlan-mode=secure

/interface ethernet switch vlan
add ports=switch1-cpu,ether2-master-trunk,ether3-slave-trunk switch=switch1 vlan-id=100
add ports=switch1-cpu,ether2-master-trunk,ether3-slave-trunk switch=switch1 vlan-id=200
add ports=switch1-cpu,ether2-master-trunk,ether3-slave-trunk switch=switch1 vlan-id=300

Спасибо!

dcuk

Guest

21.03.2014 22:06:00

К сожалению, на один чип свитча может быть только один главный порт. Если нужно логически разделить порты, придётся использовать VLANы. Конечно, в RB2011 стоят два чипа свитча, так что можно подождать именно его.

dasiu

Guest

#10

22.03.2014 09:10:00

Упоминал ли я, что презентация уже на TikTube и готова к просмотру? http://tiktube.com/video/CKhm3fCqjpGpDHCHDpEqDuDsllJoKmmE= Как я там сказал — в одном чипе коммутатора может быть только один мастер-порт… НО, есть один хитрый момент. Если я правильно понимаю, нужно поменять местами порты ether4 и ether5 без VLAN-тегов, и тогда они будут отделены от трафика ether1–ether3? Если так — тогда можно назначить для ether4 и ether5 мастер ether2 (да, именно так!) и сделать их access-портами в VLAN 999, например. Так как только эти два порта имеют VLAN 999, и у них нет других VLAN (ни 100, ни 200, ни 300), а режим VLAN у всех портов — secure, то trunk ether1–ether3 будет отделён от переключателя ether4–ether5. И VLAN 999 здесь не важен, так как оба порта — access, снаружи никто не увидит тег, он только для внутреннего использования.

efaden Guest	#11 0 22.03.2014 11:52:00 Это хитро. Кстати, имей в виду, что на crs можно использовать сразу несколько master портов. Отправлено с моего SCH-I545 через Tapatalk

dynek Guest	#12 0 22.03.2014 19:10:00 Спасибо ещё раз за ваш ответ. Тем не менее, я могу настроить два master-порта в конфигурации. Значит ли это, что в таком случае я не использую коммутатор для управления VLAN-трафиком?

efaden

Guest

#13

22.03.2014 19:13:00

На какой плате? В серии 2011 года для портов GigE используется один коммутатор, а для портов FastE — другой. Любой трафик, который проходит между этими двумя коммутаторами, должен обрабатываться основным процессором. На коммутаторах серии 2011 возможно иметь только один основной порт на каждый чип. Если попытаться настроить больше одного, система выдаст ошибку. В CRS можно иметь более одного… по сути, это значит, что трафик между любым вспомогательным портом и заданным основным портом обрабатывается на уровне коммутатора. Трафик же между группами основных портов идёт через основной процессор. Это то, что вы хотели узнать?

dynek

Guest

#14

22.03.2014 19:20:00

RB450G на данный момент, и RouterOS не возражает, если я объявляю: порт 1 — WAN (шлюз) порт 2 — мастер для моих VLAN порт 3 — слейв для моих VLAN порт 4 — мастер для другого IP-диапазона порт 5 — слейв для другого IP-диапазона

efaden

Guest

#15

22.03.2014 19:27:00

У меня нет 450G, поэтому точно не знаю. В интернете не могу найти блок-схему. Думаю, если система позволяет его указать, значит она должна с этим справиться. Можешь написать в службу поддержки, чтобы точно уточнить.

dynek Guest	#16 0 24.03.2014 21:00:00 Хорошо, я наконец настроил один мастер-порт для WAN/NAT и один для VLAN, это звучит правильно? [MODEM]----(ether1) RB450G ----[SWITCH]----[NAS / Компьютер / …] Однако когда компьютер отправляет данные на NAS — в моём случае синхронизировалась почта на 6 Гб, а потом делалась резервная копия в TimeMachine — загрузка CPU на Mikrotik просто выходит из-под контроля, смотри прикреплённый файл… Я такого не ожидал.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры