Ошибка VLAN на чипе коммутации CRS125
Добавлено: 13 фев 2019, 17:46
Добрый день.
Построил тестовый стенд, приведенный на картинке.
Настраиваю мануалу по https://wiki.mikrotik.com/wiki/Manual:B ... s_switches
;---Создание бриджа
/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether1 hw=yes
add bridge=bridge1 interface=ether2 hw=yes
add bridge=bridge1 interface=ether24 hw=yes
;---маркируем входящий на аксесс порт 24 в VLAN1. Egress не прописываю, ибо в документации прописано, что создав ingress обратную связь получаешь автоматически. (когда прописываю, итоговая ситуация не меняется.)
/interface ethernet switch ingress-vlan-translation
add ports=ether24 customer-vid=0 new-customer-vid=1 sa-learning=yes
;---Тегированные порты (switch1-cpu добавляю для управления)
/interface ethernet switch egress-vlan-tag
add tagged-ports=ether1,ether2,switch1-cpu vlan-id=1
add tagged-ports=ether1,ether2 vlan-id=10
;---Прописываем таблицу VLAN
/interface ethernet switch vlan
add ports=ether1,ether2,ether24,switch1-cpu vlan-id=1 learn=yes
add ports=ether1,ether2 vlan-id=10 learn=yes
;---Вешаем адрес управления
/interface vlan
add interface=bridge1 vlan-id=1 name=MGMT
/ip address
add address=10.122.199.100/24 interface=MGMT
Ура, все пингуется. А теперь:
Включаем фильтрацию
/interface ethernet switch
set drop-if-invalid-or-src-port-not-member-of-vlan-on-ports=ether1,ether2,ether24
или запрещаем прохождение неизвестных VLAN
/interface ethernet switch
set forward-unknown-vlan=no
пинги с 10.122.199.254 --> 10.122.199.1 & 10.122.199.2 пропадают. 10.122.199.254 --> 10.122.199.100 продолжается.
Следуя логике, получается, что трафик с 10.122.199.254 не получает тег VLAN на Микротике. Подскажите, куда еще смотреть, куда копать. Где же собака зарыта... Заранее благодарен за конструктивные направления.
Построил тестовый стенд, приведенный на картинке.
Настраиваю мануалу по https://wiki.mikrotik.com/wiki/Manual:B ... s_switches
;---Создание бриджа
/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether1 hw=yes
add bridge=bridge1 interface=ether2 hw=yes
add bridge=bridge1 interface=ether24 hw=yes
;---маркируем входящий на аксесс порт 24 в VLAN1. Egress не прописываю, ибо в документации прописано, что создав ingress обратную связь получаешь автоматически. (когда прописываю, итоговая ситуация не меняется.)
/interface ethernet switch ingress-vlan-translation
add ports=ether24 customer-vid=0 new-customer-vid=1 sa-learning=yes
;---Тегированные порты (switch1-cpu добавляю для управления)
/interface ethernet switch egress-vlan-tag
add tagged-ports=ether1,ether2,switch1-cpu vlan-id=1
add tagged-ports=ether1,ether2 vlan-id=10
;---Прописываем таблицу VLAN
/interface ethernet switch vlan
add ports=ether1,ether2,ether24,switch1-cpu vlan-id=1 learn=yes
add ports=ether1,ether2 vlan-id=10 learn=yes
;---Вешаем адрес управления
/interface vlan
add interface=bridge1 vlan-id=1 name=MGMT
/ip address
add address=10.122.199.100/24 interface=MGMT
Ура, все пингуется. А теперь:
Включаем фильтрацию
/interface ethernet switch
set drop-if-invalid-or-src-port-not-member-of-vlan-on-ports=ether1,ether2,ether24
или запрещаем прохождение неизвестных VLAN
/interface ethernet switch
set forward-unknown-vlan=no
пинги с 10.122.199.254 --> 10.122.199.1 & 10.122.199.2 пропадают. 10.122.199.254 --> 10.122.199.100 продолжается.
Следуя логике, получается, что трафик с 10.122.199.254 не получает тег VLAN на Микротике. Подскажите, куда еще смотреть, куда копать. Где же собака зарыта... Заранее благодарен за конструктивные направления.