[amper]

Хоть микротик и заявляет, что:

 

Quote

Bridge VLAN Filtering since RouterOS v6.41 provides VLAN aware Layer2 forwarding and VLAN tag modifications within the bridge. This set of features makes bridge operation more like a traditional Ethernet switch

 

Все равно остаются вопросы:

 

1) Не совсем понятно, каково поведение свича если на портах не включено "ingress-filtering" но при этом frame-types установлен в admit-only-vlan-tagged или admit-only-untagged-and-priority-tagged?

 

2) Если бридж сам по себе является портом и имеет PVID - что это значит на практике? Все привязанные к этому бриджу порты по умолчанию будут иметь доступ в еще один VLAN который прописан как PVID для бриджа?

 

 

Quote

 

ingress-filtering (yes | no; Default: no)     Enables or disables VLAN ingress filtering, which checks if the ingress port is a member of the received VLAN ID in the bridge VLAN table. Should be used with frame-types to specify if the ingress traffic should be tagged or untagged. This property only has effect when vlan-filtering is set to yes.

 

frame-types (admit-all | admit-only-untagged-and-priority-tagged | admit-only-vlan-tagged; Default: admit-all)     Specifies allowed ingress frame types on a bridge port. This property only has effect when vlan-filtering is set to yes.

 

vlan-filtering (yes | no; Default: no)     Globally enables or disables VLAN functionality for bridge.

 

pvid (integer: 1..4094; Default: 1)     Port VLAN ID (pvid) specifies which VLAN the untagged ingress traffic is assigned to. It applies e.g. to frames sent from bridge IP and destined to a bridge port. This property only has effect when vlan-filtering is set to yes.

 

Warning: You don't have to add access ports as untagged ports, they will be added dynamically as untagged port with the VLAN ID that is specified in PVID, you can specify just the trunk port as tagged port. All ports that have the same PVID set will be added as untagged ports in a single entry. You must take into account that the bridge itself is a port and it also has a PVID value, this means that the bridge port also will be added as untagged port for the ports that have the same PVID. You can circumvent this behaviour by either setting different PVID on all ports (even the trunk port and bridge itself), or to use frame-type set to accept-only-vlan-tagged

 

 

[disappointed]

1. Без включённого ingress-filtering фильтр frame-types не работает.

2. Да.

[amper]

1. Думал об этом, но странно, что нигде нет оговорки про то, что без включенного ingress-filtering все остальное не имеет смысла, а vlan-filtering получается это просто общий рубльник, ни на что не влияющий без включенного ingress-filtering?

[disappointed]

vlan-filtering включает общий функционал разбора тегов на бридже,

ingress-filtering это мелкая опция порта, которая включает дополнительный простой фильтр "С тегом/Пропускать всё" прямо на порту бриджа.

 

В доке есть.

[disappointed]

Или вопрос о том, будет ли работать ingress-filtering если выключен vlan-filtering на бридже?

Вот это нужно проверить)

[amper]

https://wiki.mikrotik.com/wiki/Manual:CRS3xx_series_switches

Quote

 

frame-types (admit-all | admit-only-untagged-and-priority-tagged | admit-only-vlan-tagged; Default: admit-all)     Specifies allowed ingress frame types on a bridge port. Only has effect when ingress-filtering is enabled.

https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge

Quote

frame-types (admit-all | admit-only-untagged-and-priority-tagged | admit-only-vlan-tagged; Default: admit-all)     Specifies allowed ingress frame types on a bridge port. This property only has effect when vlan-filtering is set to yes.

 

Двойные стандарты? )

 

Потом еще глупый вопрос: PVID принимается во внимание только если admit-only-untagged-and-priority-tagged? А если при этом admit-all то ingress-filtering ни на что не влияет? Тогда зачем вообще admit-all?

 

Ранее была еще egress маркировка - теперь ее нет? Ее фунционал перенесли в /interface bridge vlan?

 

Пытаюсь понять конструкцию при которой настройка будет идентична нормальному L2 свичу, а в примерах на wiki все по принципу "it's up to you", например нигде включение ingress-filtering не рассматривается...

[disappointed]

Мне кажется ingress-filtering не имееет функционального значения без включения vlan-filtering.

Проверить не могу сейчас.

PVID принимается во внимание всегда, ingress-filtering как я понял на своих экспериментах, просто даёт выбор,

сделать порт подобием транка, где без тегов кадры игнорируются, либо пропускать только кадры без тегов - подобие аксесса.

admit-all это некоторая избыточность, согласен, тоже самое можно получить просто выключив ingress-filtering.

 

Но в тех же длинках в port_vlan примерно такая же ернуда с логикой, тоже есть адмит олл.

И использовал я это там точно также, для защиты от ошибок.

 

Ну допустим есть какой-то пир и с ним ходит несколько тегированных вланов, при этом указать PVID нужно обязательно,

и пир может ошибиться и влить какую-нибудь гадость без тегов, указываете PVID 1, врубаете ингресс фильтр, ставите admit-only-vlan-tagged.

 

[amper]

PVID это некий Native VLAN, получается для нормальной (L2 Switch like) работы на бридже его надо ставить отличным от PVID на транк портах, иначе все транк порты будут объеденены между собой вне зависимости от того, какой PVID для них указан?

 

При этом admit-only-vlan-tagged на tagged портах решает проблему с PVID? Например, если на порт придет пакет с тэгом равным PVID бриджа он будет отброшен поскольку порт не является tagged членом (только они добавляются вручную) для этого vlan?

 

А в случае с vlan hopping и двойным тэгированием - как обстоят дела?

Изменено 18 марта, 2019 пользователем amper

[disappointed]

Бридж - это порт CPU, всё, что залетает в него - видно торчем.

Если не нужен процессинг трафика, то не нужно допускать чтобы туда что либо попадало.

Там должен быть только тегированный management и больше ничего.

admit-only-vlan-tagged - да, решает, отбрасывает.

1 час назад, amper сказал:

если на порт придет пакет с тэгом равным PVID бриджа он будет отброшен поскольку порт не является tagged членом

Должен быть отброшен, если есть тег, но порт не член данного vlan.

Двойное тегирование проходит прозрачно, увеличить MTU.

[emp]

/interface vlan add name=v10 interface=bridge1 vlan-id=10
/ip address add interface=v10 address=10.0.0.2/24
/interface bridge vlan add bridge=bridge1 vlan-ids=10 tagged=ether1

включаюсь в ether1 ноутбуком. на сетевухе создаю vlan10. 10.0.0.2 пингуется.

конфиг бриджа:
16 R name="bridge1" mtu=auto actual-mtu=1500 l2mtu=1592 arp=enabled arp-timeout=auto mac-address=74:4D:28:39:06:3F protocol-mode=none fast-forward=yes igmp-snooping=no auto-mac=yes ageing-time=5m vlan-filtering=no dhcp-snooping=no

конфиг порта в бридже:
38   H interface=ether1 bridge=bridge1 priority=0x80 path-cost=10 internal-path-cost=10 edge=auto point-to-point=auto learn=auto horizon=none hw=yes auto-isolate=no restricted-role=no restricted-tcn=no pvid=1 frame-types=admit-all ingress-filtering=no unknown-unicast-flood=yes unknown-multicast-flood=yes broadcast-flood=yes tag-stacking=no bpdu-guard=no trusted=no multicast-router=temporary-query fast-leave=no

включаю vlan-filtering=yes и 10.0.0.2 перестаёт пингваться. что я не так делаю ?

 

[emp]

отвечаю сам себе. может кому то пригодится:

 

нужно было в влан добавлять не только ether1,  но и bridge1

/interface bridge vlan add bridge=bridge1 vlan-ids=10 tagged=bridge1,ether1