+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Транковый порт и трансляция VLAN

Транковый порт и трансляция VLAN, RouterOS

Bender

Guest

02.07.2018 17:11:00

Всем привет! Хочу настроить трансляцию VLAN на RB951. Вот текущая ситуация: все компьютеры и сетевые устройства в одной подсети (192.168.0.0/22). К интернету подключён один роутер от провайдера, который не поддерживает транковые порты на своих LAN-портах и не умеет переводить VLAN... очень ограниченный, честно говоря. Все коммутаторы в сети — 3750G и 3560G. Два из 3750G подключены напрямую к Mikrotik, а Mikrotik затем напрямую к роутеру провайдера через WAN-порт. На всех Cisco-коммутаторах настроены разные VLAN для разделения доступа между отделами.

Я пытался (безуспешно) перевести все VLAN, получаемые с Cisco, в VLAN 1. Создавал все VLAN, мосты для каждого VLAN и так далее, как прочитал на этом форуме — без результата. Также пробовал форвардить весь трафик с помощью статических маршрутов на WAN-порт Mikrotik — тоже не помогло. Пробовал и с NAT, и без NAT — результат одинаковый.

Так что, в первую очередь, способен ли RB951 на такую задачу? Если да, то какая будет лучшая конфигурация? Должен ли WAN-порт Mikrotik быть с VLAN 1 в виде tagged (ingress/egress) или лучше сделать его access-портом и просто пропускать весь трафик со всеми тегами?

Спасибо за внимание!

sindy

Guest

25.07.2018 17:43:00

Понял, если так объяснить, мне это кажется логичным и совпадает с вашей конфигурацией, где ether4 сам по себе (представляющий нетегированный трафик L3) имеет IP-настройку и к нему подключён полностью настроенный DHCP-сервер. VLAN 1 на Cisco по умолчанию является native VLAN для всех портов, и даже на транковых портах кадры, внутрь помеченные ID native VLAN, при выходе идут без тэга (что делает такой порт «гибридным» по терминологии других производителей). Работа Mikrotik с VLAN ID 1 сложнее для понимания, но, видимо, установка pvid=1 (аналог cisco switchport trunk native vlan) на интерфейсе означает, что безтеговые кадры остаются без тэга при входе, что невозможно на большинстве обычных свитчей, где внутри всё идёт с тегом. Можно так сделать, но делать это сразу необязательно — это просто упростит конфигурацию, а не решит проблему. Отсюда у меня вопрос: указание ether4 в качестве интерфейса для каждого /interface vlan хотя бы для VLAN с настроенным DHCP-сервером решило проблему?

Bender

Guest

26.07.2018 14:48:00

Спасибо, ADahi, что поучаствовали в этой теме. На данный момент, с такой простой конфигурацией, я не думаю, что CRS нужен, но понимаю, что с точки зрения CPU и железа он бы работал лучше. Ниже приведена конфигурация, которая решила проблему. Спасибо, CZFan. Я посмотрел тот пост, не сказал бы, что ситуация такая же. Похоже, sindy указал, куда именно смотреть.

Привет, sindy! Спасибо, что взглянул на этот код и указал на ошибки. Не понимаю, как Mikrotik разрешил такое сделать. Но назначение физического интерфейса решило проблему. Вообще, мне было любопытно насчёт твоего совета по удалению бриджей (в других постах и видео я учился делать именно через бриджи, поэтому и пробовал так), поэтому я удалил бриджи и связанные с ними интерфейсы. Всё работает как часы. Я смог обеспечить интернет на каждой VLAN, плюс каждый DHCP-сервер выдаёт правильный IP в зависимости от VLAN. Большое спасибо за подсказку.

Вот сам код:

/interface ethernet
set [ find default-name=ether1 ] name="ether2 - WAN"
set [ find default-name=ether2 ] name="ether4 - LAN"

/interface pppoe-client
add add-default-route=yes disabled=no interface="ether2 - WAN" name=pppoe-out1 use-peer-dns=yes user=ISP´s-username

/interface vlan
add interface="ether4 - LAN" name=ether4vlan10 vlan-id=10
add interface="ether4 - LAN" name=ether4vlan100 vlan-id=100
add interface="ether4 - LAN" name=ether4vlan20 vlan-id=20
add interface="ether4 - LAN" name=ether4vlan30 vlan-id=30
add interface="ether4 - LAN" name=ether4vlan50 vlan-id=50

/interface list
add name=WAN
add name=LAN

/ip pool
add name=dhcp-pool10 ranges=10.0.10.20-10.0.10.250
add name=dhcp-pool20 ranges=10.0.20.20-10.0.20.250
add name=dhcp-pool30 ranges=10.0.30.20-10.0.30.250
add name=dhcp-pool50 ranges=10.0.50.20-10.0.50.250

/ip dhcp-server
add address-pool=dhcp_pool10 disabled=no name=dhcp-vlan10
add address-pool=dhcp-pool20 disabled=no name=dhcp-vlan20
add address-pool=dhcp-pool30 disabled=no name=dhcp-vlan30
add address-pool=dhcp-pool50 disabled=no name=dhcp-vlan50

/tool user-manager customer
set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw

/interface list member
add interface="ether2 - WAN" list=WAN
add interface="ether4 - LAN" list=LAN
add interface=pppoe-out1 list=WAN

/ip address
add address=10.0.88.1/24 interface=ether4vlan100 network=10.0.88.0
add address=10.0.10.1/24 interface=ether4vlan10 network=10.0.10.0
add address=10.0.20.1/24 interface=ether4vlan20 network=10.0.20.0
add address=10.0.30.1/24 interface=ether4vlan30 network=10.0.30.0
add address=10.0.50.1/24 interface=ether4vlan50 network=10.0.50.0
add address=10.0.80.10/24 interface="ether4 - LAN" network=10.0.80.0

/ip dhcp-client
add dhcp-options=hostname,clientid interface="ether2 - WAN"

/ip dhcp-server network
add address=10.0.10.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=10.0.10.10 netmask=24
add address=10.0.20.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=10.0.20.10 netmask=24
add address=10.0.30.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=10.0.30.10 netmask=24
add address=10.0.50.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=10.0.50.10 netmask=24
add address=10.0.80.0/24 gateway=10.0.80.10 netmask=24

/ip firewall address-list
add address=facebook.com list=Facebook
add address=www.facebook.com list=Facebook2
add address=www.youtube.com list=YouTube

/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related connection-type=""
add action=drop chain=forward comment=Facebook disabled=yes dst-address-list=Facebook log=yes
add action=drop chain=forward comment=Facebook2 disabled=yes dst-address-list=Facebook2 log=yes
add action=drop chain=forward comment=YouTube disabled=yes dst-address-list=YouTube log=yes
add action=fasttrack-connection chain=forward connection-state=established,related

/ip firewall nat
add action=redirect chain=dstnat comment="Redirect\F3n proxy" dst-port=80 in-interface="ether4 - LAN" log=yes protocol=tcp to-ports=8080
add action=masquerade chain=srcnat out-interface-list=WAN

/ip proxy
set cache-on-disk=yes cache-path=disk1/lost+found enabled=yes max-client-connections=1000 max-server-connections=1000 serialize-connections=yes

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=10.0.0.0/16,10.10.10.0/24
set ssh disabled=yes
set api disabled=yes
set winbox address=10.0.0.0/16,10.10.10.0/24
set api-ssl disabled=yes

/ip smb
set allow-guests=no domain=owndomain

/ip smb users
add name=it read-only=no

/system clock
set time-zone-name=Europe/London

/system logging
set 0 action=disk
set 1 action=disk
set 2 action=disk

/tool user-manager database
set db-path=user-manager

[admin@MikroTik] >

Пока что это решило проблему с разными VLAN и роутером провайдера.

Bender

Guest

24.07.2018 15:40:00

Я вернулся после множества тестов. Наконец, провайдер убедился и предоставил роутер, который можно перевести в «bridge mode». Я настроил режим моста и сконфигурировал Mikrotik для подключения через PPPoE. Пока что всё правильно. Правило NAT (то, что создаётся автоматически) отлично работает, преобразуя трафик из VLAN1 для выхода через WAN-порт.

Теперь проблема появляется, когда я добавляю остальные VLANы и их настройки.

Во-первых, Cisco-коммутатор напрямую подключён к Mikrotik с такой конфигурацией:
switch trunk encapsulation dot1q
switch mode trunk
switch trunk allowed vlan 10,20,30,100

Затем другой порт на этом Cisco-коммутаторе настроен как: (сюда я подключаю ноутбук для тестов)
switch mode access
switch access vlan 10

На Mikrotik: (не знаю, как экспортировать конфигурацию, чтобы вставить сюда, что-то вроде «show running-config» в Cisco)
Все VLANы созданы. У каждого VLAN есть IP-адрес. У каждого VLAN есть собственный бридж с соответствующим именем. Дополнительных правил NAT не добавлял.

В чём может быть проблема? Спасибо!

sindy Guest	#5 0 24.07.2018 15:57:00 В Winbox или WebFig нажмите кнопку [Terminal], чтобы открыть окно командной строки. Затем следуйте инструкциям в моей автоматической подписи.

Bender Guest	#6 0 25.07.2018 08:59:00 Привет, Sindy! Спасибо за совет. Я слишком новичок в Mikrotik. Сейчас выложу свою полную конфигурацию.

Bender

Guest

25.07.2018 09:00:00

/interface bridge
add fast-forward=no name=bridgevlan10
add fast-forward=no name=bridgevlan20
add fast-forward=no name=bridgevlan30
add fast-forward=no name=bridgevlan50
add fast-forward=no name=bridgevlan100
/interface ethernet
set [ find default-name=ether3 ] name=ether4
set [ find default-name=ether4 ] name=ether5
set [ find default-name=ether5 ] name=ether6
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface vlan
add name=ether4vlan10 vlan-id=10
add name=ether4vlan100 vlan-id=100
add name=ether4vlan20 vlan-id=20
add name=ether4vlan30 vlan-id=30
add name=ether4vlan50 vlan-id=50
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=10.10.10.20-10.10.10.250
add name=dhcp-pool20 ranges=10.10.20.20-10.10.20.250
add name=dhcp-pool30 ranges=10.10.30.20-10.10.30.250
add name=dhcp-pool50 ranges=10.10.50.20-10.10.50.250
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridgevlan10 name=dhcp-vlan10 relay=10.10.10.1
add address-pool=dhcp-pool20 disabled=no interface=bridgevlan20 name=dhcp-vlan20 relay=10.10.20.1
add address-pool=dhcp-pool30 disabled=no interface=bridgevlan30 name=dhcp-vlan30 relay=10.10.30.1
add address-pool=dhcp-pool50 disabled=no interface=bridgevlan50 name=dhcp-vlan50 relay=10.10.50.1
/system logging action
set 1 disk-file-name=log
/interface pppoe-client
add add-default-route=yes disabled=no interface=*1 name=pppoe-out1 use-peer-dns=yes user=ISP-username
/interface bridge port
add bridge=bridgevlan10 interface=ether4vlan10
add bridge=bridgevlan100 interface=ether4vlan100
add bridge=bridgevlan20 interface=ether4vlan20
add bridge=bridgevlan30 interface=ether4vlan30
add bridge=bridgevlan50 interface=ether4vlan50
/interface list member
add list=WAN
add list=LAN
add interface=pppoe-out1 list=WAN
add list=LAN
/ip address
add address=10.10.88.1/24 interface=bridgevlan100 network=10.10.88.0
add address=10.10.10.1/24 interface=bridgevlan10 network=10.10.10.0
add address=10.10.20.1/24 interface=bridgevlan20 network=10.10.20.0
add address=10.10.30.1/24 interface=bridgevlan30 network=10.10.30.0
add address=10.10.50.1/24 interface=bridgevlan50 network=10.10.50.0
add address=10.10.80.10/24 interface=ether4 network=10.10.80.0
/ip dhcp-client
add dhcp-options=hostname,clientid
/ip dhcp-server network
add address=10.10.10.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=10.10.10.1
add address=10.10.80.0/24 gateway=10.10.80.10 netmask=24
/ip firewall address-list
add address=facebook.com list=Facebook
add address=www.facebook.com list=Facebook2
add address=www.youtube.com list=YouTube
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related connection-type=""
add action=drop chain=forward comment=Facebook disabled=yes dst-address-list=Facebook log=yes
add action=drop chain=forward comment=Facebook2 disabled=yes dst-address-list=Facebook2 log=yes
add action=drop chain=forward comment=YouTube disabled=yes dst-address-list=YouTube log=yes
add action=fasttrack-connection chain=forward connection-state=established,related
/ip firewall nat
# no interface
add action=redirect chain=dstnat comment="Redirect\F3n proxy" dst-port=80 in-interface=*2 log=yes protocol=tcp to-ports=8080
add action=masquerade chain=srcnat out-interface-list=WAN
/ip proxy
set cache-on-disk=yes cache-path=disk1/lost+found enabled=yes max-client-connections=1000 max-server-connections=1000 serialize-connections=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=10.10.0.0/16,10.10.10.0/24
set ssh disabled=yes
set api disabled=yes
set winbox address=10.10.0.0/16,10.10.10.0/24
set api-ssl disabled=yes
/ip smb
set allow-guests=no domain=myowndomain
/ip smb shares
set [ find default=yes ] directory=/pub
/ip smb users
add name=it read-only=no
/system clock
set time-zone-name=Europe/London
/system logging
set 0 action=disk
set 1 action=disk
set 2 action=disk
/system routerboard settings
set silent-boot=no
[admin@MikroTik] > Итак, в чём, по-вашему, проблема? Как только я настраиваю порт доступа на свитче на VLAN 10, 20, 30… я не могу пропинговать соответствующий VLAN-адрес, заданный в MikroTik, и при этом нет выхода в интернет. Спасибо!

sindy

Guest

25.07.2018 10:05:00

Мне понять правильно, что пока вы не настроите access-порты, у вас есть выход в интернет? Но при всём при этом как, чёрт возьми, вам удалось сконфигурировать /interface vlan без указания имени интерфейса? Обычно Tik не позволяет так делать.

Вместо

/interface vlan
add name=ether4vlan10 vlan-id=10
add name=ether4vlan100 vlan-id=100
add name=ether4vlan20 vlan-id=20
add name=ether4vlan30 vlan-id=30
add name=ether4vlan50 vlan-id=50

должно быть так:

/interface vlan
add interface=ether4 name=ether4vlan10 vlan-id=10
add interface=ether4 name=ether4vlan100 vlan-id=100
add interface=ether4 name=ether4vlan20 vlan-id=20
add interface=ether4 name=ether4vlan30 vlan-id=30
add interface=ether4 name=ether4vlan50 vlan-id=50

Если бы Mikrotik позволял создавать /interface vlan просто так, свисающими в воздухе, я бы списал это на твоё следование Cisco-подходу, где VLAN существует, независимо от того, есть у него порты или нет. Но здесь философия совсем другая: /interface vlan — это труба, которая помечает кадры тегами в одном направлении и снимает теги в обратном. И Tagged-сторона этой трубы всегда должна быть привязана к какому-то интерфейсу, а сама безтеговая сторона — это интерфейс.

Кроме того, раз ты, похоже, планируешь использовать ‘Tik как маршрутизатор с несколькими VLAN на одном порте и не собираешься нигде мостить эти VLAN, можно значительно упростить конфигурацию на следующем этапе: вместо того чтобы делать /interface vlan единственным портом своих уникальных мостов, можешь напрямую прикрепить IP-настройки (/ip address, /ip dhcp-server) к /interface vlan (после того, как удалишь этот /interface vlan из моста).

Что касается /ip dhcp-server, я не совсем понимаю, что ты хочешь сделать. Поскольку устройства подключены к VLAN через access-порты внешнего коммутатора, relay — лишний, ведь он указывает IP из той же подсети, что и пул, и это вряд ли имеет смысл. И только клиенты, получающие аренду из 10.10.10.0/24 и 10.10.80.0/24, получат шлюз по умолчанию от DHCP-сервера, потому что /ip dhcp-server network есть только для этих двух сетей. Это так и задумано?

Bender Guest	#9 0 25.07.2018 16:23:00 Привет, Синди, спасибо за твой подробный ответ. Отвечу тебе напрямую по поводу предложения, так как есть несколько моментов, которые стоит обсудить. Спасибо, Синди!

CZFan Guest	#10 0 25.07.2018 16:55:00 Начинаю задумываться, не закрался ли здесь какой-то баг, смотрите фрагмент конфигурации в этом посте Dealing with VLANs on cisco switch. - #4 от CZFan. В этом случае интерфейсы отображаются, а вот Vlan-id нет?

ADahi Guest	#11 0 25.07.2018 17:04:00 Порт доступа VLAN поддерживается аппаратным коммутатором, но транслирование между VLAN поддерживается процессором. Вывод: выбирайте CRSXXX.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры