[G@riK]

Доброе утро, коллеги!

 

Схема подключения Mikrotik -> VOIP Phone (Fanvil C58 or Cisco IP Phone) -> User PC

Есть задача по разделению трафика VOIP и DATA.

 

Пытался настроить данную схему двумя способами:

1. Порт на микротике делал транковым, на Fanvil в настройках указывал WAN VlanID 10 (подразумевая что это будет VlanID телефонии) и LAN VlanID 20 для проброса на ПК. При такой схеме телефон айпи не получает, на АТС не регистрируется.

2. Делал по мануалу http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN (по примеру Port based VLAN tagging #2 (Trunk and Hybrid ports). Ситуация аналогична п.1

 

Подскажите, реализовывал ли кто-нибудь такое на микротиках?

И если да, то направьте на правильный путь, пожалуйста.

[kt]

настройте на коммутаторе порт транком и подавайте в него два влана с тэгом.

[G@riK]

настройте на коммутаторе порт транком и подавайте в него два влана с тэгом.

Пробовал.

Но так не регистрируется телефон, т.е. то ли не снимает тэг, то ли ещё что-то нужно настроить.

[Saab95]

Вы хотите использовать телефон как коммутатор перед компьютером? То есть в порт LAN телефона кабель от микротика, а в порт PC кабель от компа? Работать будет, но обычно телефон не пропускает и 30-50 мегабит трафика через себя, то есть тормозит.

 

Для решения задачи вместо VLAN можно использовать PPPoE, телефоны поддерживают такую схему авторизации. На микротике достаточно настроить PPPoE сервер и учетку для телефона, указав уникальный IP адрес. Таким способом можно изолировать все телефоны в большой локальной сети, если она сделана на L2, не внося правки в настройки коммутаторов.

[G@riK]

Да, сейчас ПК подключены через телефоны. Сеть 100Мб. Трафик идёт не тегированный и поэтому телефон спокойно работает вместе с ПК за ним в том же самом сегменте (пользовательском).

Идея была именно в отделении трафика телефонии от остального в отдельный вилан.

Также есть еще несколько виланов под различные нужны (как то управления, админский, пользовательский, вайфай и т.д.).

[Saab95]

Если телефоны перенастроить на PPPoE то трафик телефонии будет уже отделен, т.к. его и в него компьютеры ничего не смогут передать, по факту это тот же влан, только сделан несколько другим способом.

 

Если хотите разбивать трафик нормально, тогда уже перед телефонами нужно устанавливать некие устройства (коммутаторы или микротики) на портах которых уже и разделять трафик, раньше для этого прокладывали отдельные кабели в серверную, где уже подключали к нужным портам коммутаторов.

[kt]

настройте на коммутаторе порт транком и подавайте в него два влана с тэгом.

Пробовал.

Но так не регистрируется телефон, т.е. то ли не снимает тэг, то ли ещё что-то нужно настроить.

на Fanvil в настройках

1)включаем "Enable WAN Port VLAN", "WAN Port VLAN ID" = 10 (VlanID, для телефонии).

2) включаем "LAN Port VLAN Mode", "LAN Port VLAN ID" = 20 (DataID, для данных).

 

ether2 <-> WAN port Fanvil

/interface vlan

add interface=ether2 name=vlan10 vlan-id=10

add interface=ether2 name=vlan20 vlan-id=20

 

/ip address

add address=10.10.20.1/24 interface=vlan10

add address=10.10.30.1/24 interface=vlan20

[G@riK]

Спасибо за советы.

 

Такой вопрос: на микротик может быть до 20 таких портов с подключенными телефонами + есть магистральные порты для связи с роутером.

 

Правильно ли я понимаю, что можно в таком случае не добавлять IP-адреса на виланы на порты, а объединить эти порты в бридж с транковыми портами, и будет использоваться IP-адреса на этих самых бриджах?

[kt]

1)IP адрес навешивается не на "вилан на порт", а на интерфейс VLAN.

2)Понимаете не правильно. Либо излагаете так что вас понять не могут.

[G@riK]

1. Да, всё верно. Интерфейс VLAN

2. Попробую расписать понятнее. Так, как я понимаю можно реализовать нужную мне схему.

Есть микротик, порт 23 - транковый для связи с роутером. В 1-22 порты подключены телефоны, а за ними ПК пользователей.

На микротике я создаю интерфейсы VLAN в виде e1_vlanid10 - e23_vlanid10 и e1_vlanid20 - e23_vlanid20 на соответствующих портах 1-23.

Дальше объединяю интерфейсы VLAN с транковым портом в бриджы, например bridge_vlan10 - e1_vlanid10...e23_vlanid10.

Аналогично делаю bridge_vlan20 - e1_vlanid20-e23_vlanid20.

И вот уже IP-адрес 10.10.10.1/24 (для VLAN 10) навешиваю на интерфейс bridge_vlan10, а 10.10.20.1/24 (для VLAN 20) на bridge_vlan20.

[EugeneTV]

...

На микротике я создаю интерфейсы VLAN в виде e1_vlanid10 - e23_vlanid10 и e1_vlanid20 - e23_vlanid20 на соответствующих портах 1-23.

Дальше объединяю интерфейсы VLAN с транковым портом в бриджы, например bridge_vlan10 - e1_vlanid10...e23_vlanid10.

Аналогично делаю bridge_vlan20 - e1_vlanid20-e23_vlanid20.

...

 

То бишь вы навешиваете функционал свича на дохленький процессор, вместо того чтоб сделать все то же самое на чипе самого коммутатора?

CRS какой-никакой, а все же свич. читайте тут http://wiki.mikrotik.com/wiki/Manual:CRS_features и тут http://wiki.mikrotik.com/wiki/Manual:CRS_examples

[FellOutOfBed]

У меня похожая ситуация, поэтому наверное нет смысла создавать новую тему и спрошу тут.

 

Суть такова: есть L2 коммутатор, к нему подключен пользовательский маршрутизатор MikroTik RB751U-2HnD. К LAN порту микротика подключен VoIP телефон Simens Gigaset A510IP. Микрот поднимает PPPoE сессию, а на телефоне поднимается SIP учетка. Соответственно через PPPoE ходит и трафик телефонии.

Нужно сделать, чтобы от коммутатора в сторону микрота в режиме tag подавался vlan для устройств телефонии и этот влан растегировался на LAN порт, куда подключен VoIP телефон. И трафик от телефонии ходил в этом vlan. Данный vlan уже прогнан до АТС и в нем прекрасно работает уже много устройств.

На VoIP телефоне уже забит ip адрес из нужной нам подсети(вида 172.20.xx.0/24). От коммутатора в сторону микротика я подаю нужный влан в режиме tag, создаю на микроте такой же влан и создаю бридж, в который добавляю этот влан и LAN порт, куда подключен телефон.

На наш коммутатор мак телефона приходит в нужном влане, но SIP регистрация не происходит и телефон не пингуется. Что я делаю не так?

 

На микротике в фаерволе нет правил, кроме nat для PPPoE (что-то вроде chain=srcnat action=masquerade src-address=192.168.88.0/24 out-interface=PPPoE). Я попробовал вынести ip телефона в dmz (к сожалению, сейчас не могу написать какое правило составил), счетчик пакетов у правила dmz начал копиться, но ничего не изменилось (может неверно составил правило? как составить верно?). Телефон не пингуется, sip учетка не регистрируется

[Saab95]

На микротике не надо ставить галочку use service tag. На порту в сторону коммутатора создаете влан с нужным номером, создаете бридж и добавляете в него этот влан, в него же добавляете и порт, куда подключен телефон. Вот и все что нужно сделать.

[FellOutOfBed]

На микротике не надо ставить галочку use service tag. На порту в сторону коммутатора создаете влан с нужным номером, создаете бридж и добавляете в него этот влан, в него же добавляете и порт, куда подключен телефон. Вот и все что нужно сделать.

Спасибо, действительно так и оказалось. И я так сделал первоначально, но не заработало, вот и стал велосипед изобретать... А в итоге проблема оказалась в том, что на самом деле на VoIP телефоне просто НЕ БЫЛ забит нужный ip. Я сам зашел на него из одного л2 и поменял ip на нужный и все заработало.

[Rainmib]

На микротике не надо ставить галочку use service tag. На порту в сторону коммутатора создаете влан с нужным номером, создаете бридж и добавляете в него этот влан, в него же добавляете и порт, куда подключен телефон. Вот и все что нужно сделать.

 

Сааб, объясни хотя бы на этом же примере зачем интерфейс влан на микротике засовывать в аналогичный бридж и включать и влан и порт в этот бридж? Или это способ не навешивать влан сразу на порт?

А если в терминологии циски говорить то это значит аксес порт? а если сразу навесить влан на порт то получится транк порт?

[FellOutOfBed]

Сааб, объясни хотя бы на этом же примере зачем интерфейс влан на микротике засовывать в аналогичный бридж и включать и влан и порт в этот бридж? Или это способ не навешивать влан сразу на порт?

А если в терминологии циски говорить то это значит аксес порт? а если сразу навесить влан на порт то получится транк порт?

 

 

Я, конечно, не такой эксперт как Сааб, но раз он пока молчит, тоже вставлю свои 5 копеек) по крайней мере как я понимаю.

Включать влан и порт в бридж нужно, чтобы трафик из лан интерфейса завернуть в этот влан. И при этом т.к. на лан интерфейс никакие вланы не навешаны и он ни о каких вланах "ничего не знает", то в итоге он станет аксес портом.

Если сразу навесить влан на порт, то получится транк порт, но если речь идет про лан интерфейс, то чтобы прокинуть влан с wan порта на lan порт, то нужно сперва создать нужный влан на wan порту, потом создать влан с тем же vlanid на lan порту и объединить эти два влана в бридж. Подробнее тут http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN#Port_based_VLAN_tagging_.232_.28Trunk_and_Hybrid_ports.29

[Saab95]

Сааб, объясни хотя бы на этом же примере зачем интерфейс влан на микротике засовывать в аналогичный бридж и включать и влан и порт в этот бридж? Или это способ не навешивать влан сразу на порт?

А если в терминологии циски говорить то это значит аксес порт? а если сразу навесить влан на порт то получится транк порт?

 

Микротик сам по себе уже транк порт, если настроить его как L2 коммутатор. То есть он пропускает через себя все пакеты.

 

Допустим есть 5-ти портовый микротик, вам надо транзитом прогнать кучу вланов, и снять 3 влана на порты 3-4-5, а порты 1-2 транзит.

Нужно создать бридж и добавить в него порты 1 и 2, теперь они транзитом пропускают все вланы.

Далее на этом бридже создаете нужные 3 влана.

Создаете еще 3 бриджа, в каждый помещаете связку нужный влан - нужный порт.

 

Если же нужно передать только один влан через роутер, заблокировав остальные, то как я и писал выше - создать нужные вланы на двух портах и объединить их в бридж. Но такая схема хороша, когда вланов не много, если нужно таким образом передать 100 вланов - надо создать 100 копий настроек, и в итоге на микротике будет создано 200 вланов и 100 бриджей, что не очень удобно.

 

Другой способ это использовать фильтры бриджа, там можно блокировать весь трафик с метками вланов, и создавать исключения для нужных вланов, но если вланов много опять надо много правил. Именно по этой причине микротик лучше использовать в схемах роутинга.

[bobersam]

Друзья, прошу помощи! Не первый день ищу ответ на свои вопросы, но проблема в том, что уровень моих познаний в Микротике и сетях вообще - низкий, поэтому даже вопрос правильно сформулировать не могу. Но поиски привели сюда, и первый же пост - практически моя задача.

 

Есть маленький офис, около 10-15 компов. Решился перейти с аналоговой телефонии на VoIP с вирт. АТС. АТСка будет от провайдера. Телефоны купил Panasы HDV130. Питать буду через PoE, уже купил пару инжекторов и БП, проверил - работает.

У каждого сотрудника на стене есть LAN-розетка, от которой патч-корд идет к компу. Планировал, что патч-корд подключить к телефону, а от телефона второй патч-корд - к компу. Т.е. в телефоне есть мини-коммутатор, который я и хочу задействовать.

Конечно, 1Гбит уже на компе не поднять, но это не критично.

 

Все "розетки" приходят на 1 коммутатор 24 порта. Интернет приходит на Микротик 951ый.

 

Настраивал Микротик я фактически по дефолту, т.е. через QuickSetup, поставил PPPoE, ввел логин/пароль - и вуаля.

 

И на протяжении нескольких лет периодически добавлял, настраивал различные фишки, которые с маршрутизацией никак не связаны (NTP, правила в firewall, проброс портов).

 

И вот теперь, когда понимаю, что этого уровня знаний никак не хватит для грамотной настройки будущей сети, решил попробовать настроить Микротик с нуля. Т.е. полностью чистым, без дефолта.

 

2 дня в на работе его мучал, и сегодня еще дома не спеша. Наконец-то получилось настроить просто, чтобы Микротик раздавал интернет на компы и WiFI. При этом firewall не трогал вообще, еще предстоит разобраться. 

Теперь хоть знаю, как поднять PPPoE клиент, DHCP-server и клиент, NAT; что такое бридж, интерфейс, порты.

 

 

Но совершенно не понимаю, как правильно настроить роутер, чтобы трафик не пересекался между телефонией и компами, а также выделить под телефонию фиксированный канал 50Мбит (получаю 100). Сначала ломал голову насчет VLAN, но изучение инета и примеров только запутало меня - вроде как создать VLAN - понятно, в чем плюсы VLAN - тоже понятно, но как это применить к моей задаче - не понимаю. Сути не могу уловить.

А тут еще выше вычитал про PPPoE-сервер поднять на Мтике. Вот тут я вообще подвис.

 

Помогите настроить роутер

[.None]

между телефонами и микротиком какие коммутаторы установлены? производитель/модель

они поддерживают vlan?

 

что-то я не нашел поддержки PPPoE на телефонах...

[bobersam]

Схема такая: Микротик 951, потом коммутатор (управляемый) HP (модель не помню, типа 1910...1920), и все, дальше - кабели пошли на розетки к сотрудникам. Зачем я покупал несколько лет назад управляемый коммутатор - я хз, пару раз заходил на web-морду его, полазил и все на этом. Знал бы тогда про PoE, не пришлось бы теперь городить инжекторы и кучу патч-кордов. Но это все мелочи.

 

Кстати, посмотреть поддержку PPPoE на телефонах я и не догадался. Только что погуглил, поддерживает он PPPoE

Edited February 4, 2018 by bobersam

[vvertexx]

@bobersam 

у какого телефона поддержка PPPoE? Телефон - как правило, тупая железка, питается от Poe, в лучшем случае поддерживает LLDP-med/voice vlan

[bobersam]

Пробежался по мануалу. На всех 340 страницах ни слова про PPPoE. Совсем запутался... @Saab95 наверняка знает, может быть увидит

Edited February 4, 2018 by bobersam

[.None]

при наличии управляемого коммутатора, PPPoE на телефонах не нужен, все решается через VLANы

 

ЗЫ: грандстрим имеет поддержу PPPoE

Edited February 4, 2018 by .None

[DRiVen]

Походу телепаты приехали, столько советов на пустом месте...

 

20 часов назад, bobersam сказал:

VoIP с вирт. АТС. АТСка будет от провайдера.

@bobersam , вам пров тех.данные для подключения VoIP выдал?

[bobersam]

@DRiVen , ну с этим провайдером мы уже давно работаем, просто линии через шлюз Грандстрим заходят в железную АТСку Панасоник. И да, пров выдал техданные. Но имеет ли это отношение к распределению трафика Роутер-Телефон-Комп ? o_O