ivabizov Posted April 5, 2016 · Report post Добрый день. Подскажите пожалуйста, как правильно реализовать следующее решение. Есть микротик CCR 1016 На каждом порту висит управляемый свитч, а к ним подключены антенны и так далее. Есть несколько Vlan для менеджмента оборудования vlan 250 для свитчей vlan 251 для антенн vlan 700 для OLT vlan 100 для камер vlan 200 для офиса Проблема в том, что: vlan 250 должен быть на 1.2.3.4.5.6 порту vlan 251 должен быть на 1.2.3.4.5.6.10 порту vlan 700 должен быть на 8.9.10 порту vlan 100 на 1.3.4 vlan 200 на 1.2.9 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tartila Posted April 5, 2016 · Report post Добрый день. Подскажите пожалуйста, как правильно реализовать следующее решение. Есть микротик CCR 1016 На каждом порту висит управляемый свитч, а к ним подключены антенны и так далее. Есть несколько Vlan для менеджмента оборудования vlan 250 для свитчей vlan 251 для антенн vlan 700 для OLT vlan 100 для камер vlan 200 для офиса Проблема в том, что: vlan 250 должен быть на 1.2.3.4.5.6 порту vlan 251 должен быть на 1.2.3.4.5.6.10 порту vlan 700 должен быть на 8.9.10 порту vlan 100 на 1.3.4 vlan 200 на 1.2.9 А что вас смущает? Делаете теги от нужных портов и вещаете mgmt ip на получившиеся VI. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vex Posted April 5, 2016 · Report post Правильно реализовать можно следующим образом - вставить после микротика еще один управляемый коммутатор, поднять LACP с ним, загнать все вланы на группу, и коммутатором уже раскидать вланы по портам. Возможно, некто рано или поздно захочет предложить вам Mikrotik CRS - не ведитесь, это говно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ivabizov Posted April 5, 2016 (edited) · Report post Добрый день. Подскажите пожалуйста, как правильно реализовать следующее решение. Есть микротик CCR 1016 На каждом порту висит управляемый свитч, а к ним подключены антенны и так далее. Есть несколько Vlan для менеджмента оборудования vlan 250 для свитчей vlan 251 для антенн vlan 700 для OLT vlan 100 для камер vlan 200 для офиса Проблема в том, что: vlan 250 должен быть на 1.2.3.4.5.6 порту vlan 251 должен быть на 1.2.3.4.5.6.10 порту vlan 700 должен быть на 8.9.10 порту vlan 100 на 1.3.4 vlan 200 на 1.2.9 А что вас смущает? Делаете теги от нужных портов и вещаете mgmt ip на получившиеся VI. Можно поподробней пожалуйста, я наверное не сильно понял, что Вы имеете ввиду А если на 100 и на 200 vlan должно еще бегать DHCP Edited April 5, 2016 by ivabizov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vex Posted April 5, 2016 · Report post А что вас смущает? Делаете теги от нужных портов и вещаете mgmt ip на получившиеся VI. Это вообще не некротик-way. На них, вроде, нужно добавлять порты в бридж, а бридж вешать на VI. Получится ли таким образом повесить тег, или несколько тегов, или два и более вланобриджей на один порт - тут в моих сетевых знаниях знаниях некротика огромный пробел. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ivabizov Posted April 5, 2016 · Report post А что вас смущает? Делаете теги от нужных портов и вещаете mgmt ip на получившиеся VI. Это вообще не некротик-way. На них, вроде, нужно добавлять порты в бридж, а бридж вешать на VI. Получится ли таким образом повесить тег, или несколько тегов, или два и более вланобриджей на один порт - тут в моих сетевых знаниях знаниях некротика огромный пробел. 1. Без бриджа не работает Причем в бридж надо загнать и вланы и интерфейсы 2. Повесить 1 интерфейс в 2 разных бриджа не получается Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vex Posted April 5, 2016 (edited) · Report post 1. Без бриджа не работает Причем в бридж надо загнать и вланы и интерфейсы 2. Повесить 1 интерфейс в 2 разных бриджа не получается Собственно, похоже на итог темы. вставить после микротика еще один управляемый коммутатор, поднять LACP с ним, загнать все вланы на группу, и коммутатором уже раскидать вланы по портам и будет щастье Только аккуратней с LACP. Если явной необходимости в нем нет, можно обойтись и одним физическим линком. Edited April 5, 2016 by vex Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tartila Posted April 5, 2016 · Report post А если на 100 и на 200 vlan должно еще бегать DHCP Поднять на интерфейсах DHCP. Разрешаю, действуйте. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mystray Posted April 5, 2016 (edited) · Report post Так в чем проблема? 1. Отделяете на *каждом* интерфейсе все нужные (на этом интерфейсе) вланы. 2. Создаете бриджи, по одному на каждый Vid. 2. Каждый *влан* с каждого интерфейса загоняете в соответствующий влану бридж. Потом можете навешивать на эти *бриджи* все, что нужно (дхцп, адреса, кашу с маслом). Но коммутатор (не CRS*) с этим справится лучше. Edited April 5, 2016 by Mystray Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted April 6, 2016 · Report post ivabizov, Вам нужно просто собрать L2 включить порты в vlan-ы? Приходят-уходят они сами уже тегированные? Тогда заходите в пункт меню switch -> VLAN и собирайте там порты в группы Vlan по номерам. Далее switch - PORT, задайте режим работы портов "secure" либо "check". Получите L2 коммутацию VLAN Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ivabizov Posted April 6, 2016 (edited) · Report post Так в чем проблема? 1. Отделяете на *каждом* интерфейсе все нужные (на этом интерфейсе) вланы. 2. Создаете бриджи, по одному на каждый Vid. 2. Каждый *влан* с каждого интерфейса загоняете в соответствующий влану бридж. Потом можете навешивать на эти *бриджи* все, что нужно (дхцп, адреса, кашу с маслом). Но коммутатор (не CRS*) с этим справится лучше. Именно так в первую очередь и сделал, и оно не работает. Микротик у меня ССR 1016 и это не свитч Может еще чего нужно прописать в firewall или NAT Опыта не хватило, а методом научного тыка не вышло. Edited April 6, 2016 by ivabizov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mystray Posted April 6, 2016 · Report post пункт меню switch у CCR же нет встроенного свича и такого пункта меню. Может еще чего нужно прописать в firewall А что не заработало? маки на портах бриджа учатся? Арпы появляются на бридже? Трафик на вланах и на бриджах видно? Что вообще в IP/Firewall и в Bridge/Filters есть? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vex Posted April 6, 2016 · Report post Боже мой. Хватит пытаться сделать из маршрутизатора коммутатор, оно так не работает и не будет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ivabizov Posted April 6, 2016 (edited) · Report post пункт меню switch у CCR же нет встроенного свича и такого пункта меню. Может еще чего нужно прописать в firewall А что не заработало? маки на портах бриджа учатся? Арпы появляются на бридже? Трафик на вланах и на бриджах видно? Что вообще в IP/Firewall и в Bridge/Filters есть? 1. Пинги не бегают 2. Мак адреса в Арпе появляются пустые 3. Трафик на вланах какой то бегает 4. В Bridge/Filters нет ничего 5. В IP/Firewall есть /ip firewall filter /ip firewall filter add action=add-src-to-address-list address-list=ddoss address-list-timeout=1d \ chain=input connection-limit=\ 100,32 dst-address=x.xxx.xxx.128/26 add action=drop chain=input connection-state=invalid add action=drop chain=input src-address-list=addr-bad add chain=input connection-state=established,related add chain=input in-interface=DIPT src-address-list=input_access add action=drop chain=input connection-state=new in-interface=DIPT add action=add-src-to-address-list address-list=spammer address-list-timeout=\ 1d chain=forward comment="detect spam" connection-limit=30,32 dst-port=25 \ protocol=tcp add action=drop chain=forward comment="bloack spam" dst-port=25 protocol=tcp \ src-address-list=spammer add action=fasttrack-connection chain=forward connection-state=\ established,related add action=drop chain=forward connection-state=invalid add chain=forward connection-state=established,related add chain=forward src-address-list=input_access add chain=forward src-address-list=addr-office add chain=forward dst-address-list=addr-dmz add chain=forward src-address-list=addr-dmz add chain=forward src-address-list=addr-vpn add chain=forward comment="\C4\EE\F1\F2\F3\EF \ED\E0 \F1\E0\E9\F2 VRLan.net \ \EF\F0\E8 \ED\E5\E3\E0\F2\E8\E2\ED\EE\EC \E4\E5\EF\EE\E7\E8\F2\E5" \ dst-address=10.0.254.1 src-address=192.168.200.0/23 add action=drop chain=forward comment="\E2\E5\F1\FC \F2\F0\E0\F4\E8\EA \EA\F0\ \EE\EC\E5 \F1\F2\F0\E0\ED\E8\F6\FB \E7\E0\E3\EB\F3\F8\EA\E8 - \ED\E0\F4\E8\ \E3" dst-address=!10.0.254.1 src-address=192.168.200.0/23 add action=drop chain=forward connection-nat-state=!dstnat connection-state=\ new in-interface=DIPT /ip firewall mangle /ip firewall mangle add action=jump chain=forward disabled=yes jump-target=change-mss protocol=\ tcp tcp-flags=syn,!rst add action=return chain=change-mss disabled=yes in-interface=*1 add action=change-mss chain=change-mss disabled=yes new-mss=1452 protocol=tcp \ tcp-flags=syn tcp-mss=1453-65535 add action=mark-packet chain=forward dst-address=0.0.0.0/0 new-packet-mark=\ ALLOW_TRAFFIC_CLASS_1_in src-address-list=CLIENTS_1 add action=mark-packet chain=forward dst-address-list=CLIENTS_1 \ new-packet-mark=ALLOW_TRAFFIC_CLASS_1_out src-address=0.0.0.0/0 add action=mark-packet chain=forward dst-address=0.0.0.0/0 new-packet-mark=\ ALLOW_TRAFFIC_CLASS_12_in src-address-list=CLIENTS_12 add action=mark-packet chain=forward dst-address-list=CLIENTS_12 \ new-packet-mark=ALLOW_TRAFFIC_CLASS_12_out src-address=0.0.0.0/0 add action=mark-packet chain=forward dst-address=0.0.0.0/0 new-packet-mark=\ ALLOW_TRAFFIC_CLASS_13_in src-address-list=CLIENTS_13 add action=mark-packet chain=forward dst-address-list=CLIENTS_13 \ new-packet-mark=ALLOW_TRAFFIC_CLASS_13_out src-address=0.0.0.0/0 add action=mark-packet chain=forward dst-address=0.0.0.0/0 new-packet-mark=\ ALLOW_TRAFFIC_CLASS_14_in src-address-list=CLIENTS_14 add action=mark-packet chain=forward dst-address-list=CLIENTS_14 \ new-packet-mark=ALLOW_TRAFFIC_CLASS_14_out src-address=0.0.0.0/0 add action=mark-packet chain=forward dst-address=0.0.0.0/0 new-packet-mark=\ ALLOW_TRAFFIC_CLASS_15_in src-address-list=CLIENTS_15 add action=mark-packet chain=forward dst-address-list=CLIENTS_15 \ new-packet-mark=ALLOW_TRAFFIC_CLASS_15_out src-address=0.0.0.0/0 add action=mark-packet chain=forward dst-address=0.0.0.0/0 new-packet-mark=\ ALLOW_TRAFFIC_CLASS_16_in src-address-list=CLIENTS_16 add action=mark-packet chain=forward dst-address-list=CLIENTS_16 \ new-packet-mark=ALLOW_TRAFFIC_CLASS_16_out src-address=0.0.0.0/0 add action=mark-packet chain=forward dst-address=0.0.0.0/0 new-packet-mark=\ ALLOW_TRAFFIC_CLASS_17_in src-address-list=CLIENTS_17 add action=mark-packet chain=forward dst-address-list=CLIENTS_17 \ new-packet-mark=ALLOW_TRAFFIC_CLASS_17_out src-address=0.0.0.0/0 add action=mark-packet chain=forward dst-address=0.0.0.0/0 new-packet-mark=\ ALLOW_TRAFFIC_CLASS_18_in src-address-list=CLIENTS_18 add action=mark-packet chain=forward dst-address-list=CLIENTS_18 \ new-packet-mark=ALLOW_TRAFFIC_CLASS_18_out src-address=0.0.0.0/0 add action=mark-packet chain=forward dst-address=0.0.0.0/0 new-packet-mark=\ ALLOW_TRAFFIC_CLASS_2_in src-address-list=CLIENTS_2 add action=mark-packet chain=forward dst-address-list=CLIENTS_2 \ new-packet-mark=ALLOW_TRAFFIC_CLASS_2_out src-address=0.0.0.0/0 add action=mark-packet chain=forward dst-address=0.0.0.0/0 new-packet-mark=\ ALLOW_TRAFFIC_CLASS_21_in src-address-list=CLIENTS_21 add action=mark-packet chain=forward dst-address-list=CLIENTS_21 \ new-packet-mark=ALLOW_TRAFFIC_CLASS_21_out src-address=0.0.0.0/0 add action=mark-packet chain=forward dst-address=0.0.0.0/0 new-packet-mark=\ ALLOW_TRAFFIC_CLASS_22_in src-address-list=CLIENTS_22 add action=mark-packet chain=forward dst-address-list=CLIENTS_22 \ new-packet-mark=ALLOW_TRAFFIC_CLASS_22_out src-address=0.0.0.0/0 add action=mark-packet chain=forward dst-address=0.0.0.0/0 new-packet-mark=\ ALLOW_TRAFFIC_CLASS_23_in src-address-list=CLIENTS_23 add action=mark-packet chain=forward dst-address-list=CLIENTS_23 \ new-packet-mark=ALLOW_TRAFFIC_CLASS_23_out src-address=0.0.0.0/0 add action=mark-packet chain=forward dst-address=0.0.0.0/0 new-packet-mark=\ ALLOW_TRAFFIC_CLASS_24_in src-address-list=CLIENTS_24 add action=mark-packet chain=forward dst-address-list=CLIENTS_24 \ new-packet-mark=ALLOW_TRAFFIC_CLASS_24_out src-address=0.0.0.0/0 add action=mark-packet chain=forward dst-address=0.0.0.0/0 new-packet-mark=\ ALLOW_TRAFFIC_CLASS_3_in src-address-list=CLIENTS_3 add action=mark-packet chain=forward dst-address-list=CLIENTS_3 \ new-packet-mark=ALLOW_TRAFFIC_CLASS_3_out src-address=0.0.0.0/0 add action=mark-packet chain=forward dst-address=0.0.0.0/0 new-packet-mark=\ ALLOW_TRAFFIC_CLASS_6_in src-address-list=CLIENTS_6 add action=mark-packet chain=forward dst-address-list=CLIENTS_6 \ new-packet-mark=ALLOW_TRAFFIC_CLASS_6_out src-address=0.0.0.0/0 /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.254.0/24 add action=dst-nat chain=dstnat comment="\EF\F0\E8 \ED\E5\E3\E0\F2\E8\E2\ED\EE\ \EC \E4\E5\EF\EE\E7\E8\F2\E5 \F1\EC\EE\F2\F0\E8\EC \F1\F2\F0\E0\ED\E8\F6\ \F3 \E7\E0\E3\EB\F3\F8\EA\E8" dst-address=!10.0.254.254 dst-port=\ 80,8080,443 protocol=tcp src-address=192.168.200.0/23 to-addresses=\ 10.0.254.1 to-ports=81 add action=masquerade chain=srcnat comment="\F0\E0\E7\F0\E5\F8\E0\F2\FC \E4\EE\ \F1\F2\F3\EF PPPoE \E0\E1\EE\ED\E5\ED\F2\E0\EC \EA \E7\EE\ED\E5 DMZ" \ dst-address-list=addr-dmz src-address-list=addr-vpn add action=masquerade chain=srcnat comment="\F0\E0\E7\F0\E5\F8\E0\F2\FC \E4\EE\ \F1\F2\F3\EF LAN \E0\E1\EE\ED\E5\ED\F2\E0\EC \EA \E7\EE\ED\E5 DMZ" \ dst-address-list=addr-dmz src-address-list=addr-lan add action=masquerade chain=srcnat comment="DMZ Masquerade" src-address-list=\ addr-dmz add action=masquerade chain=srcnat comment="Office Masquerade" \ src-address-list=addr-office add action=src-nat chain=srcnat comment="NTP for PON" protocol=udp \ src-address=10.0.200.0/24 src-port=123 to-addresses=10.0.200.254 add action=src-nat chain=srcnat comment="NTP for Switch" protocol=udp \ src-address=10.0.251.0/24 src-port=123 to-addresses=10.0.251.254 add action=src-nat chain=srcnat comment="NTP for UBNT" protocol=udp \ src-address=10.0.250.0/24 src-port=123 to-addresses=10.0.250.254 add action=src-nat chain=srcnat out-interface=DIPT src-address=192.168.2.0/28 \ to-addresses=x.xxx.xxx.129 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.2.16/28 to-addresses=x.xxx.xxx.130 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.2.32/28 to-addresses=x.xxx.xxx.131 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.2.48/28 to-addresses=x.xxx.xxx.132 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.2.64/28 to-addresses=x.xxx.xxx.133 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.2.80/28 to-addresses=x.xxx.xxx.134 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.2.96/28 to-addresses=x.xxx.xxx.135 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.2.112/28 to-addresses=x.xxx.xxx.136 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.2.128/28 to-addresses=x.xxx.xxx.137 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.2.144/28 to-addresses=x.xxx.xxx.138 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.2.160/28 to-addresses=x.xxx.xxx.139 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.2.176/28 to-addresses=x.xxx.xxx.140 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.2.192/28 to-addresses=x.xxx.xxx.141 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.2.208/28 to-addresses=x.xxx.xxx.142 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.2.224/28 to-addresses=x.xxx.xxx.143 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.2.240/28 to-addresses=x.xxx.xxx.144 add action=src-nat chain=srcnat out-interface=DIPT src-address=192.168.3.0/28 \ to-addresses=x.xxx.xxx.145 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.3.16/28 to-addresses=x.xxx.xxx.146 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.3.32/28 to-addresses=x.xxx.xxx.147 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.3.48/28 to-addresses=x.xxx.xxx.148 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.3.64/28 to-addresses=x.xxx.xxx.149 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.3.80/28 to-addresses=x.xxx.xxx.150 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.3.96/28 to-addresses=x.xxx.xxx.151 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.3.112/28 to-addresses=x.xxx.xxx.152 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.3.128/28 to-addresses=x.xxx.xxx.153 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.3.144/28 to-addresses=x.xxx.xxx.154 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.3.160/28 to-addresses=x.xxx.xxx.155 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.3.176/28 to-addresses=x.xxx.xxx.156 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.3.192/28 to-addresses=x.xxx.xxx.157 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.3.208/28 to-addresses=x.xxx.xxx.158 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.3.224/28 to-addresses=x.xxx.xxx.159 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.3.240/28 to-addresses=x.xxx.xxx.160 add action=src-nat chain=srcnat out-interface=DIPT src-address=192.168.4.0/28 \ to-addresses=x.xxx.xxx.161 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.4.16/28 to-addresses=x.xxx.xxx.162 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.4.32/28 to-addresses=x.xxx.xxx.163 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.4.48/28 to-addresses=x.xxx.xxx.164 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.4.64/28 to-addresses=x.xxx.xxx.165 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.4.80/28 to-addresses=x.xxx.xxx.166 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.4.96/28 to-addresses=x.xxx.xxx.167 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.4.112/28 to-addresses=x.xxx.xxx.168 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.4.128/28 to-addresses=x.xxx.xxx.169 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.4.144/28 to-addresses=x.xxx.xxx.170 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.4.160/28 to-addresses=x.xxx.xxx.171 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.4.176/28 to-addresses=x.xxx.xxx.172 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.4.192/28 to-addresses=x.xxx.xxx.173 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.4.208/28 to-addresses=x.xxx.xxx.174 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.4.224/28 to-addresses=x.xxx.xxx.175 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.4.240/28 to-addresses=x.xxx.xxx.176 add action=src-nat chain=srcnat out-interface=DIPT src-address=192.168.5.0/28 \ to-addresses=x.xxx.xxx.177 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.5.16/28 to-addresses=x.xxx.xxx.178 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.5.32/28 to-addresses=x.xxx.xxx.179 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.5.48/28 to-addresses=x.xxx.xxx.180 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.5.64/28 to-addresses=x.xxx.xxx.181 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.5.80/28 to-addresses=x.xxx.xxx.182 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.5.96/28 to-addresses=x.xxx.xxx.183 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.5.112/28 to-addresses=x.xxx.xxx.184 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.5.128/28 to-addresses=x.xxx.xxx.185 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.5.144/28 to-addresses=x.xxx.xxx.186 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.5.160/28 to-addresses=x.xxx.xxx.187 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.5.176/28 to-addresses=x.xxx.xxx.188 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.5.192/28 to-addresses=x.xxx.xxx.189 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.5.208/28 to-addresses=x.xxx.xxx.190 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.5.224/28 to-addresses=x.xxx.xxx.191 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.5.240/28 to-addresses=x.xxx.xxx.192 add action=src-nat chain=srcnat out-interface=DIPT src-address=\ 192.168.10.0/24 to-addresses=x.xxx.xxx.192 ip firewall.txt Edited April 6, 2016 by ivabizov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mystray Posted April 6, 2016 · Report post так не работает и не будет. В дебиане/вятте работает, а в микротике, значит, не должно? По какой причине? Там альтернативная реализация bridge или dot1q? На CCR1036 вполне работало. Сейчас нет под рукой, чтоб скриншот заверить. 1. Пинги не бегают 2. Мак адреса в Арпе появляются пустые А если вывести влан из бриджа и адрес прямо на влан натянуть, то пинги бегают? В bridge/hosts что-то есть? Вообще, указанные вланы "с той стороны" есть на портах в сторону микротика? Packet sniffer на sfp* гляньте, может с таким vid трафика вообще нет. И я бы стп на бриджах повыключал, мало ли как его воспринимают ваши управляемые коммутаторы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ivabizov Posted April 7, 2016 · Report post В общем проблему я сам себе придумал, из-за первой неудачной попытки переезда со связки Mikrotik x86 + L3 swith на Mikrotik CCR 1016. Из предисловия скажу, что проблему я пока так решить и не смог, но выяснил, что она (проблема) в другом. Итак. Все началось с того, что приехал новый Микротик CCR 1016 с достаточным кол-вом портов, чтобы можно было отказаться от промежуточного L3 Swithes. К нему были подключены 4-ре L2 Switches и 3 OLT BDCom 3310 Я первым делом настроил вланы для каждого из портов для OLT а именно vl700_sfp8 vl700_sfp9 vl700_sfp10 Создал бридж br_vl700 (Man_OLT) и добавил в него вышесозданные вланы. На этот бридж повесил адрес, и переключил все OLT в свои порты. Кроме этого на порты повесил вланы для клиентов. Клиенты заработали, а вот 700 влан нет. Я думал, что это грабли с микротиком, и целые сутки ковырял настройки вланов, бриджей, фаерволов и так далее. Необходимость заставила сегодня перенести на микротик все L2 свитчи. Вланы и бриджи для них настроил так-же как и для OLT и после переключения, они заработали в штатном режиме, как и положенно. Соответственно грабли можно смело перенести с микротика на настройки OLT И тут столкнулся со следующей проблемой. Все препробованные вариации настройки 700 влана на OLT отказываются правильно работать. Уже думал плюнуть на управляющий влан для OLT и связать их с микротиком просто с интерфейса на интерфейс, но и тут не получилось. В сервисе BDCom мне сказали, что увпавляющий IP для OLT можно назначить только на vlan interface Может кто сталкивался с такой проблемой, или знает вариант ее решения, прошу помочь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted April 7, 2016 · Report post Зачем на br_700 включен stp? Есть дополнительные линки между OLT? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ivabizov Posted April 7, 2016 · Report post Зачем на br_700 включен stp? Есть дополнительные линки между OLT? Нет, на расстоянии одного шнурка Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 7, 2016 · Report post Если бы вы нарисовали картинку схему сети что куда подключено, и что должно и как работать, можно бы было что-то подсказать. А сейчас получается ситуация, когда на микротик хотят повесить схему для работы, которая не пригодна для микротика, например на микротике в названиях интерфейсов лучше не использовать пробелы и всякие специфические символы, иначе при последующих обращениях к интерфейсам из командной строки могут быть проблемы - придется указывать имена в ковычках и т.п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ivabizov Posted April 7, 2016 (edited) · Report post Если бы вы нарисовали картинку схему сети что куда подключено, и что должно и как работать, можно бы было что-то подсказать. А сейчас получается ситуация, когда на микротик хотят повесить схему для работы, которая не пригодна для микротика, например на микротике в названиях интерфейсов лучше не использовать пробелы и всякие специфические символы, иначе при последующих обращениях к интерфейсам из командной строки могут быть проблемы - придется указывать имена в ковычках и т.п. Заодно покажу настройки из OLT interface GigaEthernet0/3 switchport trunk vlan-allowed 700-704 switchport mode trunk switchport pvid 700 - // - interface VLAN700 ip address 10.0.200.253 255.255.255.0 Всем спасибо за помощь Проблемку решил сам благодаря Вашим подсказкам. Если кому пригодится, то в OLT в конфиге должно быть interface GigaEthernet0/Х switchport trunk vlan-allowed 700-704 switchport trunk vlan-untagged none switchport mode trunk switchport pvid 700 Edited April 7, 2016 by ivabizov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xaker1 Posted April 7, 2016 · Report post switchport pvid 700 В этом и проблема. На bdcom вы принимаете VLAN 700 untagged, а отдаете с микротика tagged Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dang Posted April 12, 2016 (edited) · Report post Здравствуйте. Mikrotik 2011uias-2hnd-in, WebFig v6.34.4 eth1 - аплинк к серверу; eth2 - линк в локалку. Задача: отдать в локалку vlan10 native (192.168.1.0/24, dhcp) и vlan250 tagged (10.0.0.0/24, dhcp, в локалке имеется коммутатор, на аплинке которого настроен vlan250 tagged). Грубо говоря - принять vlan250 тегированным на 1 порту и отдать тегированным на 2 порт. Создаю вланы: eth1.10 и eth1.250 на интерфейсе eth1; eth2.250 на интерфейсе eth2. Создаю бридж br10, добавляю туда влан eth1.10 и порт eth2 // клиенты из локалки начинают получать адреса, всё работает; Создаю бридж br250, добавляю туда вланы eth1.250 и eth2.250 // коммутатор адрес не получает. Пробую получить dhcp-адреса из 250 влана: eth1.250 - адрес получен; br250 - адрес получен; eth2.250 - адрес НЕ получен. Из маков на бридже - сам микротик с пометкой Local и адрес сервера, который включен в 1 порт. Видимо где-то не вкуриваю логику. Прошу помощи. Edited April 12, 2016 by dang Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dang Posted April 13, 2016 (edited) · Report post Видимо где-то не вкуриваю логику. Прошу помощи. Для лучшего понимания приложил схему и скрин с микротика под спойлер. Edited April 13, 2016 by dang Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Guest Alex_Borov Posted September 26, 2016 · Report post В общем проблему я сам себе придумал, из-за первой неудачной попытки переезда со связки Mikrotik x86 + L3 swith на Mikrotik CCR 1016. Из предисловия скажу, что проблему я пока так решить и не смог, но выяснил, что она (проблема) в другом. Итак. Все началось с того, что приехал новый Микротик CCR 1016 с достаточным кол-вом портов, чтобы можно было отказаться от промежуточного L3 Swithes. К нему были подключены 4-ре L2 Switches и 3 OLT BDCom 3310 Я первым делом настроил вланы для каждого из портов для OLT а именно vl700_sfp8 vl700_sfp9 vl700_sfp10 Создал бридж br_vl700 (Man_OLT) и добавил в него вышесозданные вланы. На этот бридж повесил адрес, и переключил все OLT в свои порты. Кроме этого на порты повесил вланы для клиентов. Клиенты заработали, а вот 700 влан нет. Я думал, что это грабли с микротиком, и целые сутки ковырял настройки вланов, бриджей, фаерволов и так далее. Необходимость заставила сегодня перенести на микротик все L2 свитчи. Вланы и бриджи для них настроил так-же как и для OLT и после переключения, они заработали в штатном режиме, как и положенно. Соответственно грабли можно смело перенести с микротика на настройки OLT И тут столкнулся со следующей проблемой. Все препробованные вариации настройки 700 влана на OLT отказываются правильно работать. Уже думал плюнуть на управляющий влан для OLT и связать их с микротиком просто с интерфейса на интерфейс, но и тут не получилось. В сервисе BDCom мне сказали, что увпавляющий IP для OLT можно назначить только на vlan interface Может кто сталкивался с такой проблемой, или знает вариант ее решения, прошу помочь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...