evghoul Posted December 11, 2015 Posted December 11, 2015 (edited) Всем привет! Застрял на простейшей конфигурации, описанной в мануале http://wiki.mikrotik.com/wiki/Manual:CRS_examples#InterVLAN_Routing Суть такова: ROS 6.20 Один мастер-порт ether24, остальные slave. Управляющие интерфейсы вланов: > /interface vlan print Flags: X - disabled, R - running, S - slave # NAME MTU ARP VLAN-ID INTERFACE 0 R vlan1 1500 enabled 1 ether24 1 R vlan10 1500 enabled 10 ether24 Членство портов в вланах: > /interface ethernet switch vlan print Flags: X - disabled, I - invalid, D - dynamic # VLAN-ID PORTS SVL LEARN FLOOD INGRESS-MIRROR QOS-GROUP 0 D 4095 switch1-cpu no no no no none 1 1 ether3 no yes no no none ether4 ether9 ether19 ether20 ether21 ether22 ether23 ether24 switch1-cpu 2 10 ether2 no yes no no none ether5 ether6 ether7 ether8 ether11 ether19 switch1-cpu Тегирование в сторону ЦП: > /interface ethernet switch egress-vlan-tag print Flags: X - disabled, I - invalid, D - dynamic # VLAN-ID TAGGED-PORTS 0 D 4095 1 1 switch1-cpu 2 10 switch1-cpu Техирование акцессных портов на входе: > /interface ethernet switch ingress-vlan-translation print Flags: X - disabled, I - invalid, D - dynamic 0 ports=ether3,ether4,ether9,ether20,ether21,ether22,ether23,ether24 service-vlan-format=any customer-vlan-format=any new-customer-vid=1 pcp-propagation=no sa-learning=yes 1 ports=ether2,ether5,ether6,ether7,ether8,ether11 service-vlan-format=any customer-vlan-format=any new-customer-vid=10 pcp-propagation=no sa-learning=yes 2 D ports="" service-vlan-format=any customer-vlan-format=any new-customer-vid=4095 pcp-propagation=no sa-learning=no Адресация: > /ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 xxx.xxx.xxx.190/28 xxx.xxx.xxx.176 vlan1 1 10.109.73.190/24 10.109.73.0 vlan10 В итоге — устройства из VLAN1 не видят устройства из VLAN10 Статический маршрут в сторону сети VLAN10 на хосте из VLAN1: 10.109.73.0 xxx.xxx.xxx.190 255.255.255.0 UG 0 0 0 vmbr0 При этом с коммутатора устройства в обеих VLAN видно: > ping 10.109.73.87 HOST SIZE TTL TIME STATUS 10.109.73.87 56 255 1ms 10.109.73.87 56 255 0ms > ping xxx.xxx.xxx.179 HOST SIZE TTL TIME STATUS xxx.xxx.xxx.179 56 64 0ms xxx.xxx.xxx.179 56 64 0ms Посмотрел сниффером на каждый из интерфейсов vlan — пакет прилетает в vlan1, а из vlan10 не выходит. Также не растут и счетчики на них. Также на всякий случай полная конфигурация свитча: > /interface ethernet switch print name: switch1 type: QCA-8513L bridge-type: customer-vid-used-as-lookup-vid drop-if-no-vlan-assignment-on-ports: drop-if-invalid-or-src-port-not-member-of-vlan-on-ports: unknown-vlan-lookup-mode: svl forward-unknown-vlan: no use-svid-in-one2one-vlan-lookup: no use-cvid-in-one2one-vlan-lookup: yes mac-level-isolation: yes multicast-lookup-mode: dst-ip-and-vid-for-ipv4 override-existing-when-ufdb-full: no unicast-fdb-timeout: 5m ingress-mirror0: switch1-cpu,unmodified ingress-mirror1: switch1-cpu,unmodified ingress-mirror-ratio: 1/1 egress-mirror0: switch1-cpu,modified egress-mirror1: switch1-cpu,modified egress-mirror-ratio: 1/1 fdb-uses: mirror0 vlan-uses: mirror0 mirror-egress-if-ingress-mirrored: no mirror-tx-on-mirror-port: no mirrored-packet-qos-priority: 0 mirrored-packet-drop-precedence: green bypass-vlan-ingress-filter-for: bypass-ingress-port-policing-for: bypass-l2-security-check-filter-for: Прошу вас помочь разобраться, что я упустил. Документацию читал внимательно и много раз, но в данном случае не помогло( Спасибо! Edited December 11, 2015 by evghoul Вставить ник Quote
kostikbel Posted December 12, 2015 Posted December 12, 2015 А форвардинг на процессоре включен ? Вставить ник Quote
No_name Posted December 12, 2015 Posted December 12, 2015 (edited) Тут вроде как разжевано. Edited December 12, 2015 by Brainiac Вставить ник Quote
kostikbel Posted December 12, 2015 Posted December 12, 2015 Тут вроде как разжевано. Это не про CRS, у них другой interface ethernet switch ... . Вставить ник Quote
No_name Posted December 12, 2015 Posted December 12, 2015 Ну вот есть на официальном сайте. Вставить ник Quote
evghoul Posted December 12, 2015 Author Posted December 12, 2015 А форвардинг на процессоре включен ? Вот так имеете в виду? > /ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 chain=forward action=accept in-interface=all-vlan log=yes log-prefix="" Ничего не изменилось, к сожалению. Связности нет, счетчик на правиле не растет, в логе пусто. Ну вот есть на официальном сайте. Есть, конечно. Я в начале на этот же документ сослался, и конфиг по нему делал. Вставить ник Quote
kostikbel Posted December 12, 2015 Posted December 12, 2015 А форвардинг на процессоре включен ? Вот так имеете в виду? > /ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 chain=forward action=accept in-interface=all-vlan log=yes log-prefix="" Ничего не изменилось, к сожалению. Связности нет, счетчик на правиле не растет, в логе пусто. ip settings set ip-forward=yes Вставить ник Quote
evghoul Posted December 13, 2015 Author Posted December 13, 2015 ip settings set ip-forward=yes Помогло, огромное спасибо! Удивительно, конечно, что на вики микротика это не отражено. Вставить ник Quote
kostikbel Posted December 13, 2015 Posted December 13, 2015 Удивительно, конечно, что на вики микротика это не отражено. Конечно отражено, как бы я узнал ? wiki Нужно представлять себе, что CRS состоит из двух почти не связанных частей, switch-chip и процессор. Процессор ведет себя точно как любой микротиковский маршрутизатор, после того как к нему попали пакеты. К сожалению, нечестные продавцы называют это "L3 switch" :(. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.