Jump to content
Калькуляторы

VLAN в CRS после 6.42

Хоть микротик и заявляет, что:

 

Quote

Bridge VLAN Filtering since RouterOS v6.41 provides VLAN aware Layer2 forwarding and VLAN tag modifications within the bridge. This set of features makes bridge operation more like a traditional Ethernet switch

 

Все равно остаются вопросы:

 

1) Не совсем понятно, каково поведение свича если на портах не включено "ingress-filtering" но при этом frame-types установлен в admit-only-vlan-tagged или admit-only-untagged-and-priority-tagged?

 

2) Если бридж сам по себе является портом и имеет PVID - что это значит на практике? Все привязанные к этому бриджу порты по умолчанию будут иметь доступ в еще один VLAN который прописан как PVID для бриджа?

 

 

Quote

 

ingress-filtering (yes | no; Default: no)     Enables or disables VLAN ingress filtering, which checks if the ingress port is a member of the received VLAN ID in the bridge VLAN table. Should be used with frame-types to specify if the ingress traffic should be tagged or untagged. This property only has effect when vlan-filtering is set to yes.

 

frame-types (admit-all | admit-only-untagged-and-priority-tagged | admit-only-vlan-tagged; Default: admit-all)     Specifies allowed ingress frame types on a bridge port. This property only has effect when vlan-filtering is set to yes.

 

vlan-filtering (yes | no; Default: no)     Globally enables or disables VLAN functionality for bridge.

 

pvid (integer: 1..4094; Default: 1)     Port VLAN ID (pvid) specifies which VLAN the untagged ingress traffic is assigned to. It applies e.g. to frames sent from bridge IP and destined to a bridge port. This property only has effect when vlan-filtering is set to yes.

 

Warning: You don't have to add access ports as untagged ports, they will be added dynamically as untagged port with the VLAN ID that is specified in PVID, you can specify just the trunk port as tagged port. All ports that have the same PVID set will be added as untagged ports in a single entry. You must take into account that the bridge itself is a port and it also has a PVID value, this means that the bridge port also will be added as untagged port for the ports that have the same PVID. You can circumvent this behaviour by either setting different PVID on all ports (even the trunk port and bridge itself), or to use frame-type set to accept-only-vlan-tagged

 

 

Share this post


Link to post
Share on other sites

1. Без включённого ingress-filtering фильтр frame-types не работает.

2. Да.

Share this post


Link to post
Share on other sites

1. Думал об этом, но странно, что нигде нет оговорки про то, что без включенного ingress-filtering все остальное не имеет смысла, а vlan-filtering получается это просто общий рубльник, ни на что не влияющий без включенного ingress-filtering?

Share this post


Link to post
Share on other sites

vlan-filtering включает общий функционал разбора тегов на бридже,

ingress-filtering это мелкая опция порта, которая включает дополнительный простой фильтр "С тегом/Пропускать всё" прямо на порту бриджа.

 

В доке есть.

2019-3-18 13-0-6.png

Share this post


Link to post
Share on other sites

Или вопрос о том, будет ли работать ingress-filtering если выключен vlan-filtering на бридже?

Вот это нужно проверить)

Share this post


Link to post
Share on other sites


https://wiki.mikrotik.com/wiki/Manual:CRS3xx_series_switches

Quote

 

frame-types (admit-all | admit-only-untagged-and-priority-tagged | admit-only-vlan-tagged; Default: admit-all)     Specifies allowed ingress frame types on a bridge port. Only has effect when ingress-filtering is enabled.


https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge

Quote

frame-types (admit-all | admit-only-untagged-and-priority-tagged | admit-only-vlan-tagged; Default: admit-all)     Specifies allowed ingress frame types on a bridge port. This property only has effect when vlan-filtering is set to yes.

 

Двойные стандарты? )

 

Потом еще глупый вопрос: PVID принимается во внимание только если admit-only-untagged-and-priority-tagged? А если при этом admit-all то ingress-filtering ни на что не влияет? Тогда зачем вообще admit-all?

 

Ранее была еще egress маркировка - теперь ее нет? Ее фунционал перенесли в /interface bridge vlan?

 

Пытаюсь понять конструкцию при которой настройка будет идентична нормальному L2 свичу, а в примерах на wiki все по принципу "it's up to you", например нигде включение ingress-filtering не рассматривается...

Share this post


Link to post
Share on other sites

Мне кажется ingress-filtering не имееет функционального значения без включения vlan-filtering.

Проверить не могу сейчас.

PVID принимается во внимание всегда, ingress-filtering как я понял на своих экспериментах, просто даёт выбор,

сделать порт подобием транка, где без тегов кадры игнорируются, либо пропускать только кадры без тегов - подобие аксесса.

admit-all это некоторая избыточность, согласен, тоже самое можно получить просто выключив ingress-filtering.

 

Но в тех же длинках в port_vlan примерно такая же ернуда с логикой, тоже есть адмит олл.

И использовал я это там точно также, для защиты от ошибок.

 

Ну допустим есть какой-то пир и с ним ходит несколько тегированных вланов, при этом указать PVID нужно обязательно,

и пир может ошибиться и влить какую-нибудь гадость без тегов, указываете PVID 1, врубаете ингресс фильтр, ставите admit-only-vlan-tagged.

 

Share this post


Link to post
Share on other sites

PVID это некий Native VLAN, получается для нормальной (L2 Switch like) работы на бридже его надо ставить отличным от PVID на транк портах, иначе все транк порты будут объеденены между собой вне зависимости от того, какой PVID для них указан?

 

При этом admit-only-vlan-tagged на tagged портах решает проблему с PVID? Например, если на порт придет пакет с тэгом равным PVID бриджа он будет отброшен поскольку порт не является tagged членом (только они добавляются вручную) для этого vlan?

 

А в случае с vlan hopping и двойным тэгированием - как обстоят дела?

Edited by amper

Share this post


Link to post
Share on other sites

Бридж - это порт CPU, всё, что залетает в него - видно торчем.

Если не нужен процессинг трафика, то не нужно допускать чтобы туда что либо попадало.

Там должен быть только тегированный management и больше ничего.

admit-only-vlan-tagged - да, решает, отбрасывает.

1 час назад, amper сказал:

если на порт придет пакет с тэгом равным PVID бриджа он будет отброшен поскольку порт не является tagged членом

Должен быть отброшен, если есть тег, но порт не член данного vlan.

Двойное тегирование проходит прозрачно, увеличить MTU.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now