Разделение сети на VLAN

RIP, OSFP, BGP, MPLS/VPLS
Ответить
Аватара пользователя
freewood
Сообщения: 45
Зарегистрирован: 03 мар 2016, 14:47
Откуда: Зеленоград

Разделение сети на VLAN

Сообщение freewood »

Всем привет. Заморочился тут все таки разобраться как в микротах VLANы работают и что-то я в отчаянии. Вроде бы в вики у них все грамотно расписано, но на свою сеть не могу сообразить как правильно экстраполировать это. К тому же после 6.41 они предлагают VLANы разруливать через мост, но при этом мы hardware offload теряем на интерфейсах (CRS125), т.е. не вариант.
Сеть представляет собой звезду с CRS125 по центру. Впринципе для упрощения можно рассматривать только 4 девайса:
точка_доступа - коммутатор_1 - центральный_коммутатор - роутер
Хочется, что бы точка_доступа помимо основной сети отдавала еще и гостевую в VLAN200, а девайсы (кроме роутера) управлялись только через отдельный VLAN99. Это уже настроено и даже (вроде бы) работает, но большие сомнения, что все корректно настроено. Ниже собственно выдержки из конфигов:
точка_доступа (это RB2011, на нем трафик только от вайфай, слабенький, поэтому vlan через vlan filtering на мосту настроены)

Код: Выделить всё

/interface wireless
add disabled=no keepalive-frames=disabled mac-address=E6:8D:8C:07:75:1F master-interface=wlan1 multicast-buffering=disabled name=virt-ap-guest security-profile=virt-ap-guest ssid=guest-wifi vlan-id=200 wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/interface bridge
add admin-mac=E4:8D:8C:07:75:16 auto-mac=no fast-forward=no name=bridge pvid=99 vlan-filtering=yes
/interface bridge port
add bridge=bridge hw=no interface=ether1
add bridge=bridge interface=wlan1
add bridge=bridge interface=virt-ap-guest pvid=200
/interface bridge vlan
add bridge=bridge tagged=virt-ap-guest,ether1 vlan-ids=200
add bridge=bridge tagged=ether1,bridge vlan-ids=99
коммутатор_1 (на мосту bridge-mgmnt висит dhcp-client, получает от роутера адрес для управления)

Код: Выделить всё

/interface vlan
add interface=bridge1 loop-protect=on name=mgmnt1-vlan99 vlan-id=99
/interface bridge
add fast-forward=no name=bridge-mgmnt pvid=99 vlan-filtering=yes
add admin-mac=6C:3B:6B:B2:C0:D2 auto-mac=no name=bridge1 protocol-mode=none
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=для_каждого_порта
add bridge=bridge-mgmnt interface=mgmnt1-vlan99 pvid=99
центральный_коммутатор - настроен точно так же

Код: Выделить всё

/interface vlan
add interface=bridge1 loop-protect=on name=mgmnt-vlan99 vlan-id=99
/interface bridge
add fast-forward=no name=bridge-mgmnt pvid=99 vlan-filtering=yes
add admin-mac=4C:5E:0C:92:54:EE auto-mac=no fast-forward=no name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=для_каждого_порта
add bridge=bridge-mgmnt interface=mgmnt-vlan99 pvid=99
На роутере собственно просто на интерфейс к которому центральный_коммутатор подключен навешаны вланы и на них уже нужные адреса и dhcp-сервера. Основной вопрос по настройке коммутаторов, правильно ли делать так как я сделал? И что меня очень смущает, если vlan-filtering на bridge-mgmnt отключить, то он все равно получает адрес через vlan99 от роутера, а по идее не должен, ведь там же тегированный трафик через mgmnt-vlan99 интерфейс прилетает.
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Разделение сети на VLAN

Сообщение Chupaka »

Доброго.

В принципе, bridge-mgmnt слегка избыточен - можно просто всё настроить на mgmnt1-vlan99, как вижу. А с включенным Filtering он ещё больше запутывает схему, как мне кажется :)

С отключенным VLAN Filtering всё должно работать: bridge-mgmnt отправляет в свой порт трафик без тега, mgmnt1-vlan99 его тегирует и отправляет в сеть через бридж bridge1. Обратно - аналогично.
Аватара пользователя
freewood
Сообщения: 45
Зарегистрирован: 03 мар 2016, 14:47
Откуда: Зеленоград

Re: Разделение сети на VLAN

Сообщение freewood »

Спасибо большое за ответ.
bridge-mgmnt я сделал специально, т.к. на mgmnt-vlan99 не дает навесить адрес, ругается, что это slave интерфейс.
Вот момент про хождение трафика я не много не понял. Если допустим мост bridge-mgmnt будет иметь pvid=1 (или отключенный vlan filtering), то почему нетегированный трафик будет уходить через mgmnt-vlan99, в него же только тегированный трафик должен попадать? И наоборот, почему при попадании на интерфейс моста из интерфейса mgmnt-vlan99 снимается тег?
А в целом такая настройка корректна?
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Разделение сети на VLAN

Сообщение Chupaka »

freewood писал(а): 02 янв 2019, 16:13 bridge-mgmnt я сделал специально, т.к. на mgmnt-vlan99 не дает навесить адрес, ругается, что это slave интерфейс.
VLAN точно не был добавлен в тот момент в основной бридж? Какой же он слейв, не должен он слейвом быть, если он не в бридже...
freewood писал(а): 02 янв 2019, 16:13 Вот момент про хождение трафика я не много не понял. Если допустим мост bridge-mgmnt будет иметь pvid=1 (или отключенный vlan filtering), то почему нетегированный трафик будет уходить через mgmnt-vlan99, в него же только тегированный трафик должен попадать? И наоборот, почему при попадании на интерфейс моста из интерфейса mgmnt-vlan99 снимается тег?
Не будет трафик уходить нетегированным. Представьте VLAN как трубу, в которую трафик из роутера влетает - а на выходе (на физическом интерфейсе) оказывается с тегом. И в обратку этот тег пропадает. Т.е. трафик прилетает в ethernet с тегом, попадает в bridge1 - тут он тоже с тегом. На бридже его ловит VLAN, снимает тег - и (вот необходимость этого пункта я оспариваю выше) отправляет без тега в bridge-mgmnt, где его уже ловит IP-уровень.

С VLAN Filtering оно работает, видимо, только потому, что вы ничего из Filtering не используете, и оно просто создаёт в VLANs динамическую запись о нетегированном вилане 99, который тегируется опять же только благодаря интерфейсу VLAN, как и в предыдущем абзаце.
freewood писал(а): 02 янв 2019, 16:13 А в целом такая настройка корректна?
Ну, ничего прямо уж неприятно режущего глаз не нахожу :)
Аватара пользователя
freewood
Сообщения: 45
Зарегистрирован: 03 мар 2016, 14:47
Откуда: Зеленоград

Re: Разделение сети на VLAN

Сообщение freewood »

Chupaka писал(а): 02 янв 2019, 17:10 VLAN точно не был добавлен в тот момент в основной бридж? Какой же он слейв, не должен он слейвом быть, если он не в бридже...
Точно, видимо что-то не так натыкал и интерфейс на момент присвоения адреса был в каком-то мосту.
Chupaka писал(а): 02 янв 2019, 17:10 Не будет трафик уходить нетегированным. Представьте VLAN как трубу, в которую трафик из роутера влетает - а на выходе (на физическом интерфейсе) оказывается с тегом. И в обратку этот тег пропадает. Т.е. трафик прилетает в ethernet с тегом, попадает в bridge1 - тут он тоже с тегом. На бридже его ловит VLAN, снимает тег - и (вот необходимость этого пункта я оспариваю выше) отправляет без тега в bridge-mgmnt, где его уже ловит IP-уровень.
Теоритический вопрос. А если я на один мост повешу два одинаковых VLAN интерфейса, то как будет определяться какой из них тегированный трафик сожрет который пришел на роутер? Или тут просто как хаб отработает и тегированный пакет улетит в оба интерфейса?
Chupaka писал(а): 02 янв 2019, 17:10 С VLAN Filtering оно работает, видимо, только потому, что вы ничего из Filtering не используете, и оно просто создаёт в VLANs динамическую запись о нетегированном вилане 99, который тегируется опять же только благодаря интерфейсу VLAN, как и в предыдущем абзаце.
Точно, так и есть.

Еще вопрос, если не против. Я обнаружение neighbors повесил на интерфейс mgmnt-vlan99, но при этом у меня в сети компы все равно видят частично коммутаторы и даже могут к ним подключиться по маку. Это потому что VLAN поверх моста создан и висит в сети с его мак-адресом? И по сути хоть обнаружение и висит на интерфейсе mgmnt-vlan99 но оно отвечает так же и на обнаружение которое запрашивается по мосту?

Еще раз спасибо за ответы, очень выручаете. :)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Разделение сети на VLAN

Сообщение Chupaka »

freewood писал(а): 02 янв 2019, 20:57 Теоритический вопрос. А если я на один мост повешу два одинаковых VLAN интерфейса, то <...>?
... ачивку заработаете, ещё ни у кого не получалось так сделать :)
freewood писал(а): 02 янв 2019, 20:57 Я обнаружение neighbors повесил на интерфейс mgmnt-vlan99, но при этом у меня в сети компы все равно видят частично коммутаторы и даже могут к ним подключиться по маку. Это потому что VLAN поверх моста создан и висит в сети с его мак-адресом? И по сути хоть обнаружение и висит на интерфейсе mgmnt-vlan99 но оно отвечает так же и на обнаружение которое запрашивается по мосту?
Частично - это как? Все discovery-пакеты должны летать только в 99-м вилане. Они где-нибудь ещё не могут в вилан с компьютерами утекать?

А подключение по маку настраивается в Tools -> MAC Server - можно разрешить только на определённых интерфейсах
Аватара пользователя
freewood
Сообщения: 45
Зарегистрирован: 03 мар 2016, 14:47
Откуда: Зеленоград

Re: Разделение сети на VLAN

Сообщение freewood »

Chupaka писал(а): 02 янв 2019, 23:44 Частично - это как? Все discovery-пакеты должны летать только в 99-м вилане. Они где-нибудь ещё не могут в вилан с компьютерами утекать?
Только на роутере, на нем специально оставил обнаружение на всех интерфейсах кроме внешних. Но он же, как я понимаю, не может (не должен) проксировать пакеты обнаружения в другие сети. А частично - это грубо говоря из 5 коммутаторов видится в обнаружении только 2 на произвольном ПК. Причем они не всегда сразу появляются, бывает и через пару минут. Такой себе симптом конечно. Но на коммутаторах которые видятся точно обнаружение только на влане висит.
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Разделение сети на VLAN

Сообщение Chupaka »

Хм... Некоторые драйверы сетевых карт на Шindoшs игнорируют теги VLAN - не может быть, что по сети прилетает пакет с тегом, а винда его считает обычным? Других предположений пока нет...
Аватара пользователя
freewood
Сообщения: 45
Зарегистрирован: 03 мар 2016, 14:47
Откуда: Зеленоград

Re: Разделение сети на VLAN

Сообщение freewood »

На центральном коммутаторе сделал таблицу vlan и все сразу как надо стало, обнаружение работает только в vlan99.
Я то по незнанию думал, что он автоматически пакеты с тегами знает куда пихать. :)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Разделение сети на VLAN

Сообщение Chupaka »

А центральный коммутатор — это кто?.. Не совсем понятно, что значит "сделал таблицу vlan" :)
Аватара пользователя
freewood
Сообщения: 45
Зарегистрирован: 03 мар 2016, 14:47
Откуда: Зеленоград

Re: Разделение сети на VLAN

Сообщение freewood »

Центральный это обычный CRS125, в который воткнуты остальные коммутаторы.

Код: Выделить всё

/interface ethernet switch vlan
Тут добавил какие вланы на каких интерфейсах.

Но все еще веселее стало, у меня один из коммутаторов соединен с центральным через провайдерский джунипер. И как только я на центральном настроил вланы, коммутатор который через провайдера подключен с радостью отвалился. Разбирательство показало, что проблема в стп, симптомы один в один с этой заметкой: https://wiki.mikrotik.com/wiki/Manual:L ... _interface
Выключил стп и забил пока что, пусть так работает.
Ответить