SLAVCHIKS Опубликовано 5 марта, 2023 (изменено) · Жалоба Добрый день форумчане! Хочу заменить два mikrotik 2011 на 1100, и добавить третий, настраивал 2011-е еще в 2016 году и тогда настройка vlan в routerOS отличалась. У меня были настроены vlan на bridge и на каждом vlan было создано от одного до трех vrrp, адреса сети на vlan, к ним привязка vrrp со своими адресами. по несколько было создано для того чтобы каждый роутер мог быть мастером и от каждого роутера свой канал интернета для определенного количества пользователей по статике на шлюз какого то своего мастера vrrp/ Читаю мануалы и вхожу в ступор - оказывается так как у меня настроено, да и только именно таких настроек есть конкретные примеры в интернете, и оно работает. НО... везде указывается, что VRRP на VLAN нельзя вешать, а можно только VLAN на VRRP. Пробую так настраивать. На ether1 вешаю vrrp, на vrrp вешаю vlan. если vlan нет шлюз работает, как только делаю vlan то пинга нет. Как настраивать правильно в такой связке Bridge нужно создавать? Изменено 5 марта, 2023 пользователем SLAVCHIKS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 5 марта, 2023 · Жалоба Правильно делалось так: физический порт загоняется в мост, к мосту создается VRRP, к мосту же создаются VLAN интерфейсы. Тогда работало, хотя в вашей схеме применение VRRP из разряда забивания гвоздей микроскопами, не берусь совестовать, как делать такое правильно. Bridge VLAN Filtering что для 2011, что для 1100 - использовать не стоит, ввиду их особенностей (порты поделены на два свитч-чипа, и сами свитч-чипы не очень дружат с этой функцией - бывали глюки) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SLAVCHIKS Опубликовано 6 марта, 2023 (изменено) · Жалоба по старинке создавать на бридже vlan ? Hardware offload не задействовать? Суть моего вопроса вот в чем в старых версиях создавал bridge на нем потом vlan а потом на уже на vlan вешал vrrp, и они были как шлюзы на роутере 1 присваиваю адрес на порт ether1 - 192.168.3.101 создаю на нем vrrp-ether1 приоритет 254 присваиваю адрес- 192.168.3.251/32 на vrrp создаю два vlan vlan10-vrrp1 присваиваю ему адрес 192.168.0.254 vlan30-vrrp1 присваиваю ему адрес 192.168.3.254 на роутере 2 присваиваю адрес на порт ether1 - 192.168.3.102 создаю на нем vrrp-ether1 приоритет 150 присваиваю адрес- 192.168.3.251/32 на vrrp создаю два vlan vlan10-vrrp1 присваиваю ему адрес 192.168.0.254 vlan30-vrrp1 присваиваю ему адрес 192.168.3.254 на роутере 3 присваиваю адрес на порт ether1 - 192.168.3.103 создаю на нем vrrp-ether1 приоритет 50 присваиваю адрес- 192.168.3.251/32 на vrrp создаю два vlan vlan10-vrrp1 присваиваю ему адрес 192.168.0.254 vlan30-vrrp1 присваиваю ему адрес 192.168.3.254 в такой схеме получается на мастере появляется тегированный транк vlan 10+30 с двумя шлюзами для каждой подсети в каждом vlan остальные роутеры в это время уходят в бекап и видится только адрес на порту, через который взаимодействует vrrp для проверки доступности в это время отключены, НО ТУТ НЮАНС а значит и проверка доступности портов ether1 отключается, нет vlan - нет связи, так как vlan отключается вместе с vrrp. В сети есть гайды что для видимости портов создают тут гибриды. Но это заморачивает схему, используют для их связи vlan1 как access в транке вопрос???? как в такой схеме сделать доступность друг другу портов, на которых навешен vrrp??? Например, если не задействуется бридж в микротиках, можно на коммутаторах, куда будет включены все концы vrrp с трех роутеров, настроить гибрид, но тогда тоже вопрос, если vrrp отключены на бекапе, то получается ether1 переходит в состояние vlan1, на том другом же роутере мастере, где поднимется vrrp, уже не будет доступен порт, так как появляются чистые два vlan тегированные прикреплю две картинки одна моя рабочая - которая считается типа неправильной, и вторая скрин из мануала в сети. Кто настраивал подобную схему прошу поделиться опытом, толковой инфы не нашел нигде. Изменено 6 марта, 2023 пользователем SLAVCHIKS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 6 марта, 2023 · Жалоба А вам надо вланы терминировать на микротиках или пропускать насквозь(использовать как свич)? Если просто терминировать, то первая картина верная, bridge и вовсе не нужен. Просто вешаем VRRP на интерфейс, а вланы уже вешаем на VRRP Должно все работать без проблем. У меня к примеру на одном из объектов 2 порта собраны в bonding, далее на bonding навешано VRRP, а vlan-ы висят на VRRP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 6 марта, 2023 · Жалоба 5 часов назад, SLAVCHIKS сказал: по старинке создавать на бридже vlan ? Hardware offload не задействовать? Суть моего вопроса вот в чем в старых версиях создавал bridge на нем потом vlan а потом на уже на vlan вешал vrrp, и они были как шлюзы на роутере 1 присваиваю адрес на порт ether1 - 192.168.3.101 создаю на нем vrrp-ether1 приоритет 254 присваиваю адрес- 192.168.3.251/32 на vrrp создаю два vlan vlan10-vrrp1 присваиваю ему адрес 192.168.0.254 vlan30-vrrp1 присваиваю ему адрес 192.168.3.254 на роутере 2 присваиваю адрес на порт ether1 - 192.168.3.102 создаю на нем vrrp-ether1 приоритет 150 присваиваю адрес- 192.168.3.251/32 на vrrp создаю два vlan vlan10-vrrp1 присваиваю ему адрес 192.168.0.254 vlan30-vrrp1 присваиваю ему адрес 192.168.3.254 на роутере 3 присваиваю адрес на порт ether1 - 192.168.3.103 создаю на нем vrrp-ether1 приоритет 50 присваиваю адрес- 192.168.3.251/32 на vrrp создаю два vlan vlan10-vrrp1 присваиваю ему адрес 192.168.0.254 vlan30-vrrp1 присваиваю ему адрес 192.168.3.254 в такой схеме получается на мастере появляется тегированный транк vlan 10+30 с двумя шлюзами для каждой подсети в каждом vlan остальные роутеры в это время уходят в бекап и видится только адрес на порту, через который взаимодействует vrrp для проверки доступности в это время отключены, НО ТУТ НЮАНС а значит и проверка доступности портов ether1 отключается, нет vlan - нет связи, так как vlan отключается вместе с vrrp. В сети есть гайды что для видимости портов создают тут гибриды. Но это заморачивает схему, используют для их связи vlan1 как access в транке вопрос???? как в такой схеме сделать доступность друг другу портов, на которых навешен vrrp??? Например, если не задействуется бридж в микротиках, можно на коммутаторах, куда будет включены все концы vrrp с трех роутеров, настроить гибрид, но тогда тоже вопрос, если vrrp отключены на бекапе, то получается ether1 переходит в состояние vlan1, на том другом же роутере мастере, где поднимется vrrp, уже не будет доступен порт, так как появляются чистые два vlan тегированные прикреплю две картинки одна моя рабочая - которая считается типа неправильной, и вторая скрин из мануала в сети. Кто настраивал подобную схему прошу поделиться опытом, толковой инфы не нашел нигде. у микротика просто другая логика) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SLAVCHIKS Опубликовано 6 марта, 2023 (изменено) · Жалоба у микротика просто другая логика) - это понятно, но все видео в сети о построении vrrp совместно с vlan-ами сводятся к навешивании vrrp на vlan, а все гуру MCTNA - утвердают обратное - что нужно навешивать только vlan на vrrp , так как вместе с vrrp исчезать должен и vlan на порту. Я считаю что эта схема правильная, раз так говорят спецы по оборудованию и нужно пилить в этом направлении. Еще вопрос, думая вынесу его в отдельную тему. Может кто сталкивался с таким, я не умею писать скрипты под микротик, может кто знает реализацию задумки - сущеcтвует ли возможность скриптом управлять портом VRRP? Рассмотрим ситуацию - имеются три микротика, у каждого свой уникальный ISP, на двух стоят каналы на которых сервера смотрят в мир и они приоритетные, третий резерв. От аварий никто не застрахован vrrp может помочь если сгорел порт или сам роутер, но если в канале пропал интернет, выхода во внешний мир нет, а на пул провайдера выход есть, например у провайдера входящая магистраль загнулась или не оплатили вовремя и лезет баннер "оплатите интернет" вместо доступа, тот тут vrrp не поможет, и только переключение провайдеров внутри каждого роутера делать. чтобы нетвотч или скрипт пинговали dns и отключали включали порт. Можно ли по такой аналогии сделать отключение мастера vrrp на роутере, если его ISP не видится пингом и включался, когда появлялся бы пинг. опишу подробно. например на одном из трех роутеров включен мастер vrrp, на нем шлюзы в vlan, другие два бекапных роутера в этом vrid vrrp со своими уникальными интернет провайдерами и меньшим приоритетом. Если происходит просто пропадание пинга в интернет, то vrrp останется мастером и все, кто подключен к этому шлюзу отвалятся от интернета. Тут как выход можно сделать - в каждый роутер заводить резервные каналы и по пингу переключать маршруты wan. Но почему бы по тому же пингу просто не отключить порт vrrp - скрипом поставить в disable если пинга на 8.8.8.8 нет и включить назад, когда пинг появится, таким образом все пользователи перейдут на другого провайдера автоматом, включится мастером бекап vrrp с меньшим приоритетом, и все это без резервирования (ISP) wan-каналов, двойных nat и переключений между ними. Добавил отдельную тему и сам же дал решение по отключению портов Изменено 7 марта, 2023 пользователем SLAVCHIKS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
