[evghoul]

Всем привет!

 

Застрял на простейшей конфигурации, описанной в мануале

http://wiki.mikrotik.com/wiki/Manual:CRS_examples#InterVLAN_Routing

 

Суть такова:

 

ROS 6.20

 

Один мастер-порт ether24, остальные slave.

 

Управляющие интерфейсы вланов:

 

> /interface vlan print
Flags: X - disabled, R - running, S - slave 
#    NAME                                                                    MTU ARP        VLAN-ID INTERFACE                                                                 
0 R  vlan1                                                                  1500 enabled          1 ether24                                               
1 R  vlan10                                                                 1500 enabled         10 ether24 

 

Членство портов в вланах:

 

> /interface ethernet switch vlan print 
Flags: X - disabled, I - invalid, D - dynamic 
#   VLAN-ID PORTS                                                           SVL LEARN FLOOD INGRESS-MIRROR QOS-GROUP                                                          
0 D    4095 switch1-cpu                                                     no  no    no    no             none                                                               
1         1 ether3                                                          no  yes   no    no             none
            ether4                                         
            ether9                                             
            ether19                                        
            ether20                                   
            ether21                                             
            ether22                                 
            ether23                                 
            ether24                                    
            switch1-cpu                                                    
2        10 ether2                                                          no  yes   no    no             none
            ether5                                      
            ether6                                          
            ether7                                    
            ether8                                            
            ether11                                       
            ether19                                        
            switch1-cpu                                                    

 

Тегирование в сторону ЦП:

> /interface ethernet switch egress-vlan-tag print 
Flags: X - disabled, I - invalid, D - dynamic 
#   VLAN-ID TAGGED-PORTS                                                   
0 D    4095
1         1 switch1-cpu                                                    
2        10 switch1-cpu                                                     

 

 

Техирование акцессных портов на входе:

> /interface ethernet switch ingress-vlan-translation print 
Flags: X - disabled, I - invalid, D - dynamic 
0   ports=ether3,ether4,ether9,ether20,ether21,ether22,ether23,ether24
    service-vlan-format=any customer-vlan-format=any new-customer-vid=1 
    pcp-propagation=no sa-learning=yes 

1   ports=ether2,ether5,ether6,ether7,ether8,ether11 
    service-vlan-format=any customer-vlan-format=any new-customer-vid=10 
    pcp-propagation=no sa-learning=yes 

2 D ports="" service-vlan-format=any customer-vlan-format=any new-customer-vid=4095 
    pcp-propagation=no sa-learning=no 

 

Адресация:

   > /ip address print 
Flags: X - disabled, I - invalid, D - dynamic 
#   ADDRESS            NETWORK         INTERFACE                                                                        
0   xxx.xxx.xxx.190/28 xxx.xxx.xxx.176 vlan1                                         
1   10.109.73.190/24   10.109.73.0     vlan10  

 

 

В итоге — устройства из VLAN1 не видят устройства из VLAN10

Статический маршрут в сторону сети VLAN10 на хосте из VLAN1:

 

10.109.73.0     xxx.xxx.xxx.190 255.255.255.0   UG    0      0        0 vmbr0

 

При этом с коммутатора устройства в обеих VLAN видно:

 

> ping 10.109.73.87
HOST                                     SIZE TTL TIME  STATUS                        
10.109.73.87                               56 255 1ms  
10.109.73.87                               56 255 0ms  

> ping xxx.xxx.xxx.179
HOST                                     SIZE TTL TIME  STATUS                        
xxx.xxx.xxx.179                            56  64 0ms  
xxx.xxx.xxx.179                            56  64 0ms  

 

Посмотрел сниффером на каждый из интерфейсов vlan — пакет прилетает в vlan1, а из vlan10 не выходит. Также не растут и счетчики на них.

Также на всякий случай полная конфигурация свитча:

> /interface ethernet switch print 
                                                    name: switch1
                                                    type: QCA-8513L
                                             bridge-type: customer-vid-used-as-lookup-vid
                     drop-if-no-vlan-assignment-on-ports: 
 drop-if-invalid-or-src-port-not-member-of-vlan-on-ports: 
                                unknown-vlan-lookup-mode: svl
                                    forward-unknown-vlan: no
                         use-svid-in-one2one-vlan-lookup: no
                         use-cvid-in-one2one-vlan-lookup: yes
                                     mac-level-isolation: yes
                                   multicast-lookup-mode: dst-ip-and-vid-for-ipv4
                        override-existing-when-ufdb-full: no
                                     unicast-fdb-timeout: 5m
                                         ingress-mirror0: switch1-cpu,unmodified
                                         ingress-mirror1: switch1-cpu,unmodified
                                    ingress-mirror-ratio: 1/1
                                          egress-mirror0: switch1-cpu,modified
                                          egress-mirror1: switch1-cpu,modified
                                     egress-mirror-ratio: 1/1
                                                fdb-uses: mirror0
                                               vlan-uses: mirror0
                       mirror-egress-if-ingress-mirrored: no
                                mirror-tx-on-mirror-port: no
                            mirrored-packet-qos-priority: 0
                         mirrored-packet-drop-precedence: green
                          bypass-vlan-ingress-filter-for: 
                        bypass-ingress-port-policing-for: 
                     bypass-l2-security-check-filter-for: 

 

Прошу вас помочь разобраться, что я упустил.

Документацию читал внимательно и много раз, но в данном случае не помогло(

 

Спасибо!

Изменено 11 декабря, 2015 пользователем evghoul

[kostikbel]

А форвардинг на процессоре включен ?

[No_name]

Тут вроде как разжевано.

Изменено 12 декабря, 2015 пользователем Brainiac

[kostikbel]

Тут вроде как разжевано.

Это не про CRS, у них другой interface ethernet switch ... .

[No_name]

Ну вот есть на официальном сайте.

[evghoul]

А форвардинг на процессоре включен ?

 

Вот так имеете в виду?

 

 > /ip firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic 
0    chain=forward action=accept in-interface=all-vlan log=yes log-prefix="" 

 

Ничего не изменилось, к сожалению. Связности нет, счетчик на правиле не растет, в логе пусто.

 

Ну вот есть на официальном сайте.

 

Есть, конечно. Я в начале на этот же документ сослался, и конфиг по нему делал.

[kostikbel]

А форвардинг на процессоре включен ?

 

Вот так имеете в виду?

 

 > /ip firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic 
0    chain=forward action=accept in-interface=all-vlan log=yes log-prefix="" 

 

Ничего не изменилось, к сожалению. Связности нет, счетчик на правиле не растет, в логе пусто.

 

 

ip settings set ip-forward=yes

[evghoul]

 

ip settings set ip-forward=yes

 

Помогло, огромное спасибо!

 

Удивительно, конечно, что на вики микротика это не отражено.

[kostikbel]

Удивительно, конечно, что на вики микротика это не отражено.

 

Конечно отражено, как бы я узнал ?

wiki

 

Нужно представлять себе, что CRS состоит из двух почти не связанных частей, switch-chip и процессор. Процессор ведет себя точно как любой микротиковский маршрутизатор, после того как к нему попали пакеты. К сожалению, нечестные продавцы называют это "L3 switch" :(.