[karapuzikBIG]

Добрый день! Интересует следующий вопрос: имеется RB750, шнурок от провайдера по которому бежит линк с твумя VLANами, пусть это будет 200 влан и 144 влан, можно ли на данном роутере настроить конфиг таким образом, чтобы: каждый из вланов был на отдельном лан порту? Другими словами: патч от свича провайдера приходит в Ether_1, внутри VLANы распознаются и VLAN 200 выходит из порта Ether_2, а VLAN 144 из порта Ether_3. Помогите пожалуйста настроить, если это возможно. На микроте умею поднять PPPoE и настроить локалку ((((

[DRiVen]

/interface bridge
add name=bridge_vlan144 protocol-mode=none
add name=bridge_vlan200 protocol-mode=none

/interface vlan
add interface=ether1 l2mtu=1594 name=vlan144 vlan-id=144
add interface=ether1 l2mtu=1594 name=vlan200 vlan-id=200

/interface bridge port
add bridge=bridge_vlan144 interface=ether2
add bridge=bridge_vlan144 interface=vlan144
add bridge=bridge_vlan200 interface=ether3
add bridge=bridge_vlan200 interface=vlan200

[karapuzikBIG]

/interface bridge
add name=bridge_vlan144 protocol-mode=none
add name=bridge_vlan200 protocol-mode=none

/interface vlan
add interface=ether1 l2mtu=1594 name=vlan144 vlan-id=144
add interface=ether1 l2mtu=1594 name=vlan200 vlan-id=200

/interface bridge port
add bridge=bridge_vlan144 interface=ether2
add bridge=bridge_vlan144 interface=vlan144
add bridge=bridge_vlan200 interface=ether3
add bridge=bridge_vlan200 interface=vlan200

 

Я так понимаю это скрипт, который необходимо запустить, вы меня простите, но я чайник в данном деле, не могли бы вы пояснить: при запуске данного скрипта согласно настройкам, которые я вижу будет происходить все то, что я описал в первом посте, роутер сам распознает тегированный трафик с VLAN ID от свича провайдера так?

[karapuzikBIG]

/interface bridge

add name=bridge_vlan144 protocol-mode=none

add name=bridge_vlan200 protocol-mode=none

 

/interface vlan

add interface=ether1 l2mtu=1594 name=vlan144 vlan-id=144

add interface=ether1 l2mtu=1594 name=vlan200 vlan-id=200

 

/interface bridge port

add bridge=bridge_vlan144 interface=ether2

add bridge=bridge_vlan144 interface=vlan144

add bridge=bridge_vlan200 interface=ether3

add bridge=bridge_vlan200 interface=vlan200

 

Все работает как надо, огромное спасибо! Еще пару вопросов позвольте, что отредактировать в данном скрипте дабы скажем на остальные два порта так же раскидывался двухсотый влан, и второй вопрос: Если в этом скрипте оствить все как есть, на 4 порту поднять PPPoE клиент, а 5-й настроить как лан, будет ли все это работать вместе (первые трипорта по скрипту, а 4-й пппое клиент и 5-й лан совместно с пппое)?

[DRiVen]

что отредактировать в данном скрипте дабы скажем на остальные два порта так же раскидывался двухсотый влан

/interface bridge port
add bridge=bridge_vlan200 interface=ether4
add bridge=bridge_vlan200 interface=ether5

на 4 порту поднять PPPoE клиент, а 5-й настроить как лан, будет ли все это работать вместе

будет конечно, почему нет.

[user71]

лучше через свитч добавить. и в варианте с мостом оно как из моста с влан тегом вылетает а прилетает без? я имею ввиду в сторону локалки.

Edited October 7, 2015 by user71

[DRiVen]

Через свитч заводить не пробовал, тестить лениво, если ТС хочет - в принципе должно работать. С мостом все просто, в/из интерфейса влана идет с тэгом, в/из физического порта - без тэга.

[user71]

да неужели? на порту по умолчанию стоит "оставить как есть" считай игнор на влан. Вопрос кто будет этот тег снимать... ТС а не мог бы ты торч на езернете что в локал смотрит включить и посмотреть есть ли там метки на тх пакетах или нет?

p.s галку vlan id не забудь поставить и после стоп\старт иначе он их не показывает.

Edited October 7, 2015 by user71

[DRiVen]

Вопрос кто будет этот тег снимать...

М-да... даже боюсь предположить, CPU наверное, с мостами он работает. Не путайте мух с котлетами, свитч вланами занимается в случае их настройки на свитче. Cоздаваемые интерфейсы vlan в данном случае не вланы, а субинтерфейсы физического порта с L2-инкапсуляцией указанной меткой vlan.

[user71]

CPU? в firewall правило будет которое переписывает метку или мост ее будет снимать? он берет л2 и пихает его в л2 с меткой типа впна чтоли? :)

свитч в любом случае занимается вланами даже в дефолте внутри себя у него дефолтный влан только нетегированый со всех концов и потому никто не знает про него. Как то я не уловил про псевдоинтерфейсы, влан\невлан. На свитче то же можно на один физический порт посадить несколько вланов если об этом.

Edited October 7, 2015 by user71

[DRiVen]

А при чем тут файрвол то? ))) Во-первых, фреймы с тегом ethernet-адаптерами, не настроенными на прием таковых (если сие позволяет драйвер и ОС), расцениваются как битые по превышению размера кадра и отбрасываются, локалка работать не будет (это к вопросу о "посмотреть torch-ем"). Во-вторых, с принятого интерфейсом vlan тегированного фрейма тэг снимается ОС(физически - CPU), поскольку второй участник моста обычный интерфейс, сбриджуете два vlanif - получите тэгированный трафик и на второй стороне. В общем RTFM, ссылку на русскоязычный перевод мана по vlan в МТ я приводил выше, а по dot1q сами поищите.

Edited October 8, 2015 by DRiVen

[DRiVen]

свитч в любом случае занимается вланами даже в дефолте внутри себя у него дефолтный влан только нетегированый со всех концов и потому никто не знает про него.

Разговор шел о тегированном трафике, нативный влан никакого влияния на предмет разговора не оказывает, посему и не упоминался.

На свитче то же можно на один физический порт посадить несколько вланов если об этом.

Можно, только RОС в таком случае к обработке этого трафика отношения иметь не будет, этим будет заниматься собственный процессор свитча.

[user71]

ну я даже не знаю пишу с обычного домашнего ноута фреймы летают по 1524 и ничего не отбрасывается я более того скажу можно поставить 9000 и тоже полет нормальный хотя в настройках "vlan и приоритеты" выключены. обычный в понимани рос - игнор тега. т.е хочешь сказать что если я отравлю трафик с тегов на обычный интерфейс в мосту то через мост это не пройдет?

[user71]

ну вот мы и договорились об очевидном в свитче обрабатывает свитч и цпу в бридже обрабатывает свитч и цпу -) но есть разница не смотря на то что разницы нет. в свитче есть настройки что должно приходить на порт в каком виде путешествует внутри и что должно уходить. а в цпу этот момент как то очень неочевиден. я про дефолтный влан внутри свитча упоминул не для красоты слога, а хотел сказать что вопрос наличия отсутствия влана это не о том есть тег или нету тега это о том будет ли рос свитч его игнорить или нет.

[user71]

при двух вланах в мосте он будет переписывать тег, даже не мост а сам vlanif это его свойство. а торч на мосту покажет оба трафик с обоими вланами несмотря на то что мост не имеет никакого влана сам по себе.

[user71]

кстати о цпу. в настройках свитча он показывает аж 3 (три) цпу свитч порта. если я на эти порты чего нибудь отправлю в рос мне этот трафик где ловить?

[Limitov]

Из того что я понимаю, есть ЦПУ на котором работает ROS, и для которого выше приведен пример конфигурации софтбриджа, трафик тегируется силами цпу.

А есть чип комутации http://wiki.mikrotik.com/wiki/Руководства:Возможности_чипа_коммутации который делает это на физическом уровне, без нагрузки на цпу (соединён с цпу через master-port), но возможности его чуть более ограниченные и зависят от его типа, собственно говоря, всё по ссылке...

[Diman789]

Добрый день господа. Хочу попросить у Вас помощи так как уже задолбался и чет ни с места. Дело во в чем. Есть RB750GL и шнурок от провайдера. за RB750GL оборудование на которое нужно зайти для администрирования а точнее в winbox. Нужно сделать Vlan это я понял и сделал но вот штука все ровно попасть на другое оборудование не могу. в firewAll/NAT создал правило dstnat и все равно попасть не могу. в чем трабл может быть? А да совсем забыл провайдер по pppoe подключает это может влиять? заранее благодарен.

[DRiVen]

Не нужен вам vlan, только корректное правило dstnat.

[Diman789]

А в чем его корректность можно поподробнее

[DRiVen]

В виде

/ip firewall nat add action=netmap chain=dstnat dst-port=[порт на который идет обращение] in-interface=[входной интерфейс] \ 
protocol=tcp to-addresses=[внутренний ip к которому нужно подключиться] to-ports=[порт подключения внутреннего устройства]

Например:

/ip firewall nat add action=netmap chain=dstnat dst-port=8291 in-interface=pppoe-in1 protocol=tcp to-addresses=192.168.88.10 to-ports=8291

И соотвественно соединение должно быть разрешено файрволом.

 

P.S>Здесь общее описание NAT в ROS (насколько корректно переведено не проверял).