Разделение сети на VLAN

RIP, OSFP, BGP, MPLS/VPLS
Аватара пользователя
freewood
Сообщения: 45
Зарегистрирован: 03 мар 2016, 14:47
Откуда: Зеленоград

Разделение сети на VLAN

Сообщение freewood » 02 янв 2019, 03:03

Всем привет. Заморочился тут все таки разобраться как в микротах VLANы работают и что-то я в отчаянии. Вроде бы в вики у них все грамотно расписано, но на свою сеть не могу сообразить как правильно экстраполировать это. К тому же после 6.41 они предлагают VLANы разруливать через мост, но при этом мы hardware offload теряем на интерфейсах (CRS125), т.е. не вариант.
Сеть представляет собой звезду с CRS125 по центру. Впринципе для упрощения можно рассматривать только 4 девайса:
точка_доступа - коммутатор_1 - центральный_коммутатор - роутер
Хочется, что бы точка_доступа помимо основной сети отдавала еще и гостевую в VLAN200, а девайсы (кроме роутера) управлялись только через отдельный VLAN99. Это уже настроено и даже (вроде бы) работает, но большие сомнения, что все корректно настроено. Ниже собственно выдержки из конфигов:
точка_доступа (это RB2011, на нем трафик только от вайфай, слабенький, поэтому vlan через vlan filtering на мосту настроены)

Код: Выделить всё

/interface wireless
add disabled=no keepalive-frames=disabled mac-address=E6:8D:8C:07:75:1F master-interface=wlan1 multicast-buffering=disabled name=virt-ap-guest security-profile=virt-ap-guest ssid=guest-wifi vlan-id=200 wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/interface bridge
add admin-mac=E4:8D:8C:07:75:16 auto-mac=no fast-forward=no name=bridge pvid=99 vlan-filtering=yes
/interface bridge port
add bridge=bridge hw=no interface=ether1
add bridge=bridge interface=wlan1
add bridge=bridge interface=virt-ap-guest pvid=200
/interface bridge vlan
add bridge=bridge tagged=virt-ap-guest,ether1 vlan-ids=200
add bridge=bridge tagged=ether1,bridge vlan-ids=99
коммутатор_1 (на мосту bridge-mgmnt висит dhcp-client, получает от роутера адрес для управления)

Код: Выделить всё

/interface vlan
add interface=bridge1 loop-protect=on name=mgmnt1-vlan99 vlan-id=99
/interface bridge
add fast-forward=no name=bridge-mgmnt pvid=99 vlan-filtering=yes
add admin-mac=6C:3B:6B:B2:C0:D2 auto-mac=no name=bridge1 protocol-mode=none
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=для_каждого_порта
add bridge=bridge-mgmnt interface=mgmnt1-vlan99 pvid=99
центральный_коммутатор - настроен точно так же

Код: Выделить всё

/interface vlan
add interface=bridge1 loop-protect=on name=mgmnt-vlan99 vlan-id=99
/interface bridge
add fast-forward=no name=bridge-mgmnt pvid=99 vlan-filtering=yes
add admin-mac=4C:5E:0C:92:54:EE auto-mac=no fast-forward=no name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=для_каждого_порта
add bridge=bridge-mgmnt interface=mgmnt-vlan99 pvid=99
На роутере собственно просто на интерфейс к которому центральный_коммутатор подключен навешаны вланы и на них уже нужные адреса и dhcp-сервера. Основной вопрос по настройке коммутаторов, правильно ли делать так как я сделал? И что меня очень смущает, если vlan-filtering на bridge-mgmnt отключить, то он все равно получает адрес через vlan99 от роутера, а по идее не должен, ведь там же тегированный трафик через mgmnt-vlan99 интерфейс прилетает.

Аватара пользователя
Chupaka
Сообщения: 1857
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Разделение сети на VLAN

Сообщение Chupaka » 02 янв 2019, 13:07

Доброго.

В принципе, bridge-mgmnt слегка избыточен - можно просто всё настроить на mgmnt1-vlan99, как вижу. А с включенным Filtering он ещё больше запутывает схему, как мне кажется :)

С отключенным VLAN Filtering всё должно работать: bridge-mgmnt отправляет в свой порт трафик без тега, mgmnt1-vlan99 его тегирует и отправляет в сеть через бридж bridge1. Обратно - аналогично.

Аватара пользователя
freewood
Сообщения: 45
Зарегистрирован: 03 мар 2016, 14:47
Откуда: Зеленоград

Re: Разделение сети на VLAN

Сообщение freewood » 02 янв 2019, 16:13

Спасибо большое за ответ.
bridge-mgmnt я сделал специально, т.к. на mgmnt-vlan99 не дает навесить адрес, ругается, что это slave интерфейс.
Вот момент про хождение трафика я не много не понял. Если допустим мост bridge-mgmnt будет иметь pvid=1 (или отключенный vlan filtering), то почему нетегированный трафик будет уходить через mgmnt-vlan99, в него же только тегированный трафик должен попадать? И наоборот, почему при попадании на интерфейс моста из интерфейса mgmnt-vlan99 снимается тег?
А в целом такая настройка корректна?

Аватара пользователя
Chupaka
Сообщения: 1857
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Разделение сети на VLAN

Сообщение Chupaka » 02 янв 2019, 17:10

freewood писал(а):
02 янв 2019, 16:13
bridge-mgmnt я сделал специально, т.к. на mgmnt-vlan99 не дает навесить адрес, ругается, что это slave интерфейс.
VLAN точно не был добавлен в тот момент в основной бридж? Какой же он слейв, не должен он слейвом быть, если он не в бридже...
freewood писал(а):
02 янв 2019, 16:13
Вот момент про хождение трафика я не много не понял. Если допустим мост bridge-mgmnt будет иметь pvid=1 (или отключенный vlan filtering), то почему нетегированный трафик будет уходить через mgmnt-vlan99, в него же только тегированный трафик должен попадать? И наоборот, почему при попадании на интерфейс моста из интерфейса mgmnt-vlan99 снимается тег?
Не будет трафик уходить нетегированным. Представьте VLAN как трубу, в которую трафик из роутера влетает - а на выходе (на физическом интерфейсе) оказывается с тегом. И в обратку этот тег пропадает. Т.е. трафик прилетает в ethernet с тегом, попадает в bridge1 - тут он тоже с тегом. На бридже его ловит VLAN, снимает тег - и (вот необходимость этого пункта я оспариваю выше) отправляет без тега в bridge-mgmnt, где его уже ловит IP-уровень.

С VLAN Filtering оно работает, видимо, только потому, что вы ничего из Filtering не используете, и оно просто создаёт в VLANs динамическую запись о нетегированном вилане 99, который тегируется опять же только благодаря интерфейсу VLAN, как и в предыдущем абзаце.
freewood писал(а):
02 янв 2019, 16:13
А в целом такая настройка корректна?
Ну, ничего прямо уж неприятно режущего глаз не нахожу :)

Аватара пользователя
freewood
Сообщения: 45
Зарегистрирован: 03 мар 2016, 14:47
Откуда: Зеленоград

Re: Разделение сети на VLAN

Сообщение freewood » 02 янв 2019, 20:57

Chupaka писал(а):
02 янв 2019, 17:10
VLAN точно не был добавлен в тот момент в основной бридж? Какой же он слейв, не должен он слейвом быть, если он не в бридже...
Точно, видимо что-то не так натыкал и интерфейс на момент присвоения адреса был в каком-то мосту.
Chupaka писал(а):
02 янв 2019, 17:10
Не будет трафик уходить нетегированным. Представьте VLAN как трубу, в которую трафик из роутера влетает - а на выходе (на физическом интерфейсе) оказывается с тегом. И в обратку этот тег пропадает. Т.е. трафик прилетает в ethernet с тегом, попадает в bridge1 - тут он тоже с тегом. На бридже его ловит VLAN, снимает тег - и (вот необходимость этого пункта я оспариваю выше) отправляет без тега в bridge-mgmnt, где его уже ловит IP-уровень.
Теоритический вопрос. А если я на один мост повешу два одинаковых VLAN интерфейса, то как будет определяться какой из них тегированный трафик сожрет который пришел на роутер? Или тут просто как хаб отработает и тегированный пакет улетит в оба интерфейса?
Chupaka писал(а):
02 янв 2019, 17:10
С VLAN Filtering оно работает, видимо, только потому, что вы ничего из Filtering не используете, и оно просто создаёт в VLANs динамическую запись о нетегированном вилане 99, который тегируется опять же только благодаря интерфейсу VLAN, как и в предыдущем абзаце.
Точно, так и есть.

Еще вопрос, если не против. Я обнаружение neighbors повесил на интерфейс mgmnt-vlan99, но при этом у меня в сети компы все равно видят частично коммутаторы и даже могут к ним подключиться по маку. Это потому что VLAN поверх моста создан и висит в сети с его мак-адресом? И по сути хоть обнаружение и висит на интерфейсе mgmnt-vlan99 но оно отвечает так же и на обнаружение которое запрашивается по мосту?

Еще раз спасибо за ответы, очень выручаете. :)

Аватара пользователя
Chupaka
Сообщения: 1857
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Разделение сети на VLAN

Сообщение Chupaka » 02 янв 2019, 23:44

freewood писал(а):
02 янв 2019, 20:57
Теоритический вопрос. А если я на один мост повешу два одинаковых VLAN интерфейса, то <...>?
... ачивку заработаете, ещё ни у кого не получалось так сделать :)
freewood писал(а):
02 янв 2019, 20:57
Я обнаружение neighbors повесил на интерфейс mgmnt-vlan99, но при этом у меня в сети компы все равно видят частично коммутаторы и даже могут к ним подключиться по маку. Это потому что VLAN поверх моста создан и висит в сети с его мак-адресом? И по сути хоть обнаружение и висит на интерфейсе mgmnt-vlan99 но оно отвечает так же и на обнаружение которое запрашивается по мосту?
Частично - это как? Все discovery-пакеты должны летать только в 99-м вилане. Они где-нибудь ещё не могут в вилан с компьютерами утекать?

А подключение по маку настраивается в Tools -> MAC Server - можно разрешить только на определённых интерфейсах

Аватара пользователя
freewood
Сообщения: 45
Зарегистрирован: 03 мар 2016, 14:47
Откуда: Зеленоград

Re: Разделение сети на VLAN

Сообщение freewood » 03 янв 2019, 20:08

Chupaka писал(а):
02 янв 2019, 23:44
Частично - это как? Все discovery-пакеты должны летать только в 99-м вилане. Они где-нибудь ещё не могут в вилан с компьютерами утекать?
Только на роутере, на нем специально оставил обнаружение на всех интерфейсах кроме внешних. Но он же, как я понимаю, не может (не должен) проксировать пакеты обнаружения в другие сети. А частично - это грубо говоря из 5 коммутаторов видится в обнаружении только 2 на произвольном ПК. Причем они не всегда сразу появляются, бывает и через пару минут. Такой себе симптом конечно. Но на коммутаторах которые видятся точно обнаружение только на влане висит.

Аватара пользователя
Chupaka
Сообщения: 1857
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Разделение сети на VLAN

Сообщение Chupaka » 04 янв 2019, 11:35

Хм... Некоторые драйверы сетевых карт на Шindoшs игнорируют теги VLAN - не может быть, что по сети прилетает пакет с тегом, а винда его считает обычным? Других предположений пока нет...

Аватара пользователя
freewood
Сообщения: 45
Зарегистрирован: 03 мар 2016, 14:47
Откуда: Зеленоград

Re: Разделение сети на VLAN

Сообщение freewood » 06 янв 2019, 21:50

На центральном коммутаторе сделал таблицу vlan и все сразу как надо стало, обнаружение работает только в vlan99.
Я то по незнанию думал, что он автоматически пакеты с тегами знает куда пихать. :)

Аватара пользователя
Chupaka
Сообщения: 1857
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Разделение сети на VLAN

Сообщение Chupaka » 07 янв 2019, 00:02

А центральный коммутатор — это кто?.. Не совсем понятно, что значит "сделал таблицу vlan" :)

Ответить