mikhail Posted January 1 Posted January 1 (edited) Приветствую! Есть микротик, настроен как обычный маршрутизатор: 1 порт входящий, остальные в bridge_lan, входящий порт транковый, приходит 2 влана, 1 и 200. Надо как-то 200 влан пробросить напрямую через микрот на 5 порт, чтоб он пошел дальше. Пока сделал только костыль: в интерфейсах создал влан200 на 1 порту, влан 201 на lan_bridge, объединил их еще в один бридж и дальше пошел уже 201 влан. Но это какая-то коряга. Есть ли способ поизящней и силами только одного микрота? Сейчас вот так сделано: /interface bridge add name=bridge-inet add name=bridge-lan vlan-filtering=yes add name=bridge2 /interface vlan add interface=ether1 name=vlan200 vlan-id=200 add interface=bridge1 name=vlan201 vlan-id=201 /interface bridge port add bridge=bridge-lan interface=ether2 add bridge=bridge-lan interface=ether3 add bridge=bridge-lan interface=ether4 add bridge=bridge-lan interface=ether5 add bridge=bridge-inet interface=ether1 add bridge=bridge2 interface=vlan200 add bridge=bridge2 interface=vlan201 /interface bridge vlan add bridge=bridge-lan tagged=bridge-lan,ether5 vlan-ids=201 Edited January 1 by mikhail Вставить ник Quote
alibek Posted January 1 Posted January 1 Создать vlan200 на портах 1 и 5, создать мост, добавить в него эти vlan. Вставить ник Quote
mikhail Posted January 1 Author Posted January 1 Т.е. как у меня, только вместо 201 сделать тоже 200? Вставить ник Quote
jffulcrum Posted January 1 Posted January 1 А в 5 порту кроме интенета транзитом и LAN должен быть виден? Вставить ник Quote
mikhail Posted January 1 Author Posted January 1 Да, он должен проходить дальше через несколько устройств. Вставить ник Quote
mafijs Posted January 1 Posted January 1 Всё делается на одном bridge с vlan-filtering=yes Вставить ник Quote
Saab95 Posted January 1 Posted January 1 9 часов назад, mafijs сказал: Всё делается на одном bridge с vlan-filtering=yes И нужно все порты добавить в бридж? При этом получив кучу проблем с перетоком маков между этими портами. 14 часов назад, mikhail сказал: Сейчас вот так сделано: /interface bridge add name=bridge-inet add name=bridge-lan vlan-filtering=yes add name=bridge2 /interface vlan add interface=ether1 name=vlan200 vlan-id=200 add interface=bridge1 name=vlan201 vlan-id=201 /interface bridge port add bridge=bridge-lan interface=ether2 add bridge=bridge-lan interface=ether3 add bridge=bridge-lan interface=ether4 add bridge=bridge-lan interface=ether5 add bridge=bridge-inet interface=ether1 add bridge=bridge2 interface=vlan200 add bridge=bridge2 interface=vlan201 /interface bridge vlan add bridge=bridge-lan tagged=bridge-lan,ether5 vlan-ids=201 Что отмечено жирным - это не нужно. У вас и так влан 200 перейдет на 201 влан внутреннего бриджа. Да, он пойдет на все порты 2-5, но если на них он не используется - то и проблем не будет и не нужна никакая фильтрация вланов. Потому что получается странная ситуация - на 5 порту нужен и влан, и что бы этот влан никуда кроме 5 порта не ходил, и еще на 5 порту нужна локалка из бриджа - так значит нужно 5 порт из бриджа убрать и работать с ним отдельно, через роутинг или прокси арп сделать, убрав из единого L2 сегмента. Вставить ник Quote
mafijs Posted January 2 Posted January 2 Quote И нужно все порты добавить в бридж? При этом получив кучу проблем с перетоком маков между этими портами. Вот только не надо придумывать ерунду. Изучи Vlan. Вот именно совета "или прокси арп сделать" вылазит проблемы с МАС. Вставить ник Quote
mikhail Posted January 2 Author Posted January 2 Quote Потому что получается странная ситуация - на 5 порту нужен и влан, и что бы этот влан никуда кроме 5 порта не ходил, и еще на 5 порту нужна локалка из бриджа - так значит нужно 5 порт из бриджа убрать и работать с ним отдельно, через роутинг или прокси арп сделать, убрав из единого L2 сегмента. Обычный маршрутизатор с локалкой, только в локалке есть пара устройств, которые должны ходить в 200 влане, т.е. 200 влан должен проходить сквозняком с 1 на 5 порт. 5 порт из бриджа нельзя убрать, там висят устройства в локалке, а за ними уже устройства в влане. Т.е. по простому не сделать, я правильно понимаю? Вставить ник Quote
mikhail Posted January 2 Author Posted January 2 Quote Всё делается на одном bridge с vlan-filtering=yes Как именно, если влан приходит на один бридж, а уходить должен с другого? Вставить ник Quote
jffulcrum Posted January 2 Posted January 2 Один мост: /interface bridge add name=bridge-lan vlan-filtering=yes /interface bridge port add bridge=bridge-lan interface=ether1 add bridge=bridge-lan interface=ether2 add bridge=bridge-lan interface=ether3 add bridge=bridge-lan interface=ether4 add bridge=bridge-lan interface=ether5 /interface bridge vlan add bridge=bridge-lan tagged=ether1,ether5 vlan-ids=200 //(это ваш транзит, вам же он не нужен как интерфейс с адресом на роутере?) add bridge=bridge-lan tagged=ether1,bridge-lan vlan-ids=1 //(это ваш vlan 1, в котором, так понимаю, Интернет) add bridge=bridge-lan tagged=bridge-lan untagged=ether2,ether3,ether4,ether5 vlan-ids=201 (это ваш LAN) /interface vlan add interface=bridge-lan name=internet vlan-id=1 add interface=bridge-lan name=lan vlan-id=201 Если у вас в роутере нет свитч-чипа, или он не поддерживает HW VLAN filtering - тогда возможна ситуация с протечкой mac между vlan, описанная выше, при каких-то граничных ситуациях (массовый флап портов, внезапный ребут, смены конфигурации моста). Но если у вас не High-risk environment, то можно пренебречь. Вставить ник Quote
mikhail Posted January 2 Author Posted January 2 Получается маршрутизацию надо делать между вланами, а не бриджами. Выглядит, как то что надо. Попробую, спасибо. Вставить ник Quote
Saab95 Posted January 2 Posted January 2 15 часов назад, mafijs сказал: Вот только не надо придумывать ерунду. Изучи Vlan. Роутер должен работать роутером. Если вы объединили все порты в бридж 1-5 и включили влан фильтр, то на первом порту будете влан с номером 1 заводить что бы на него IP адресацию оператора повесить? А на портах 2-5 тоже влан с номером 1, что бы пользователи локалки тоже могли доступ к IP адресации получить? Или сразу на бридж и внешний адрес провайдера, и внутренний будете указывать? 15 часов назад, mikhail сказал: Т.е. по простому не сделать, я правильно понимаю? На порту провайдера 1 порт создаете влан с нужным номером, на бридже внутренней локалки так же создаете влан с нужным номером (не привязывая к 5 порту). Создаете еще один бридж и объединяете в нем эти 2 влана между собой. Что бы влан во внутренней локалки, и трафик вланов с 5 порта не попадали на другие порты, в фильтрах бриджа создаете правило, где указываете номер влана в локалке, входящий и исходящий порты не 5 (ставите !), действие - дроп. Теперь если трафик по этому влану идет не на 5 порт, или приходит с 5-го порта и пытается попасть на другие - то данные будут отброшены. И не нужно никаких фильтров вланов на бридже включать. Вставить ник Quote
mafijs Posted January 3 Posted January 3 Так и запишем - не смог осилить vlan filtering с прямочками frame-types=admit-only-vlan-tagged или frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=yes И не нужны фильтры на бриджах. Чужые пакеты отбрасыват ingress-filtering. Могу представить рабочий конфиг. Приходит два tagged vlan, один уходит дальше к устроствам (как клиенты с DHCP) Второе vlan id-1 обычно НЕ использует нигде. Третье - у ТС порт 5 используется как гбридный - tagged vlan 200 , untagged 201 это не best practices В этом случае надо дальше подать оба valn квк tagged на управляемый свитч и уже там разрулить vlan. Вставить ник Quote
mikhail Posted January 3 Author Posted January 3 Quote Третье - у ТС порт 5 используется как гбридный - tagged vlan 200 , untagged 201 это не best practices В этом случае надо дальше подать оба valn квк tagged на управляемый свитч и уже там разрулить vlan. Почему гибридный? Транковый, все вланы тэгированые. Как раз за микротом и стоит один из коммутаторов. Вставить ник Quote
mafijs Posted January 3 Posted January 3 Тогда вобще нет проблем с vlan-filtering. Осталось уточнить - приходяший vlan с ID-1 tagged? Это немножко странно. Вставить ник Quote
mikhail Posted January 3 Author Posted January 3 Quote Осталось уточнить - приходяший vlan с ID-1 tagged? Пока да, потом поменяется, когда большинство точек по своим вланам раскидаются. Иначе слишком большие одновременные изменения потребуются. Вставить ник Quote
mafijs Posted January 4 Posted January 4 (edited) Создал config. Приходит на ether1 vlan_ID-1, vlan_ID_200 tagged. Транзитом vlan_ID_200 tagged на ether4. Локалка (vlan_ID_100) ether2, ether3 как asccess port, а также на ether4 tagged. IP прописивается на vlan интерфейсах. ether5 оставил "в воздухе" через него подключени по МАС, чтоб не потерять связь при включении vlan-filtering bridge1. Следить, чтобы включено ingress-filtering=yes на портах и на bridge1 admin МАС на bridge1 сгенерированный, чтоб не пересекался с другим МАС. Spoiler /interface bridge add admin-mac=E2:00:00:FD:8B:53 auto-mac=no frame-types=admit-only-vlan-tagged name=bridge1 port-cost-mode=short priority=0x1000 protocol-mode=mstp region-name=name region-revision=1 vlan-filtering=yes /interface vlan add interface=bridge1 name=vlan_ID-1 vlan-id=1 /interface vlan add interface=bridge1 name=vlan_ID_100 vlan-id=100 /interface vlan add interface=bridge1 name=vlan_ID_200 vlan-id=200 /ip pool add name=dhcp_pool0 ranges=10.20.30.2-10.20.30.254 /ip dhcp-server add address-pool=dhcp_pool0 interface=vlan_ID_100 name=dhcp1 /interface bridge msti add bridge=bridge1 identifier=1 vlan-mapping=1,100,200 /interface bridge port add bridge=bridge1 edge=no frame-types=admit-only-vlan-tagged interface=ether1 internal-path-cost=10 path-cost=10 /interface bridge port add bridge=bridge1 edge=no frame-types=admit-only-vlan-tagged interface=ether4 internal-path-cost=10 path-cost=10 pvid=200 /interface bridge port add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether2 internal-path-cost=10 path-cost=10 pvid=100 /interface bridge port add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether3 internal-path-cost=10 path-cost=10 pvid=100 /interface bridge vlan add bridge=bridge1 tagged=bridge1,ether1 vlan-ids=1 /interface bridge vlan add bridge=bridge1 tagged=bridge1,ether1,ether4 vlan-ids=200 /interface bridge vlan add bridge=bridge1 tagged=bridge1,ether4 vlan-ids=100 /ip address add address=10.20.30.1/24 interface=vlan_ID_100 network=10.20.30.0 /ip dhcp-client add interface=vlan_ID-1 /ip dhcp-server network add address=10.20.30.0/24 gateway=10.20.30.1 Edited January 4 by mafijs Вставить ник Quote
Saab95 Posted January 4 Posted January 4 В 03.01.2026 в 12:25, mafijs сказал: Так и запишем - не смог осилить vlan filtering с прямочками frame-types=admit-only-vlan-tagged или frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=yes И не нужны фильтры на бриджах. Чужые пакеты отбрасыват ingress-filtering. Могу представить рабочий конфиг. Приходит два tagged vlan, один уходит дальше к устроствам (как клиенты с DHCP) Попробуйте сделать Ваш конфиг с вланами на едином бридже на устройстве вида RB5009 😃 когда сам микротик работает со свич чипом через вланы для передачи данных. Что происходит в момент включения микротика, когда бридж уже создан, а настройки вланов не применились 😃 9 часов назад, mafijs сказал: Создал config. Приходит на ether1 vlan_ID-1, vlan_ID_200 tagged. Уже писал - вы используете микротик. Для работы локалки между 2-4 и независимым 5 портом, можно разделить сеть 10.20.30.1/24 на 2 части (без всяких масок). На часть портов с большим количеством устройств, например 2-3-4 вешаете текущие настройки. На порт 5 вешаете группу IP адресов для подключенных туда устройств той же сети, настраиваете второй DHCP сервер на 5 порт, включаете прокси арп на 5 порту и бридже портов 2-3-4. После этого работа пользователей между собой ничем не будет отличаться от не управляемого коммутатора. Вставить ник Quote
mafijs Posted January 5 Posted January 5 (edited) Да уже поняли - vlan-filtering устаревшие технологии Далее - два DHCP с одинаковыми IP уже п0лная дич! Чем 5009 плох? И что происходит в момент включения? Пруфы будет после такого громкого заявления? Edited January 5 by mafijs Вставить ник Quote
mikhail Posted January 5 Author Posted January 5 Quote Следить, чтобы включено ingress-filtering=yes на портах и на bridge1 А что эта галочка делает? Я пытался понять, но чего-то не получается: пишут, что если в акцес порт придет тегированый пакет, то его отбросят, ок, а если выключить, то при приходе тегированного пакета будет что, поменяется тег на тег порта? А с транковым портом как работает? Пишут, что отбрасывает не указанные вланы, но если эти вланы не прописаны, то и так они дальше никуда не пойдут. Пробовал и так и так, все работает в обоих случаях, галочку, конечно, поставил, но хотелось бы понять для чего. Вставить ник Quote
mafijs Posted January 5 Posted January 5 https://help.mikrotik.com/docs/spaces/ROS/pages/28606465/Bridge+VLAN+Table Ingress filtering По умолчанию VLAN-ы, отсутствующие в таблице VLAN моста, отбрасываются до отправки (исходящий трафик), но это свойство позволяет отбрасывать пакеты при их получении (входящий трафик). https://help.mikrotik.com/docs/spaces/ROS/pages/328068/Bridging+and+Switching ingress-filtering (yes | no; Default: yes) Включает или отключает фильтрацию входящего трафика VLAN, которая проверяет, является ли входящий порт членом полученного идентификатора VLAN в таблице VLAN моста. По умолчанию VLAN, отсутствующие в таблице VLAN моста, отбрасываются до отправки (исходящий трафик), но это свойство позволяет отбрасывать пакеты при их получении (входящий трафик). Следует использовать с параметрами frame-types для указания того, должен ли входящий трафик быть помеченным или нет. Это свойство действует только в том случае, если для параметра vlan-filtering установлено значение yes. Настройка включена по умолчанию, начиная с RouterOS v7. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.