Q in Q в Mikrotik

[ai8]

Всех приветствую!

 

Задача следующая:

Один микротик(назовем его Микротик-А с портом sfp1, находится в точке А, соединен посредством оптики с таким же микротиком(Микротик-Б) в точке Б порт sfp1.

Необходимо настроить "трубу" для _тегированного_ трафика таким образом, чтобы весь трафик (с любым vlan-id) залетевший в порт ether1 Микротика-А вылетал из порта ether1 Микротика-Б. Ну и дальше то же самое с портами ether2, ether3...

 

Что делаю:

1. Создаю на интерфейсах sfp1 в обоих микротиках vlan100 (например).

2. Создаю на каждом микротике бридж, в который объединяю vlan-id100(sfp1) и ether1.

Результат:

_не тегированный_ трафик, который приходит в порт ether1 микротик-А, пролетает по "оптической трубе" в виде тегированного трафика с vlan-id100, далее в микротике-Б через бридж "распаковывается" и вылетает в не тегированном виде из ether1 микротика-Б.

НО! Тегированный трафик, прилетевший в порт ether1 (например vlan-id123) не проходит по "трубе".

 

Вижу два решения проблемы:

1. На ether1 поднять необходимые vlan-ы, поднять эти же vlan-ы внутри уже созданного vlan100 на порту sfp1 (QinQ).

- Минус этого решения в том, что часто заранее не известно какие vlan-ы будут использоваться, их может быть много, они могут меняться в течении времени.

2. Создаю между микротиками eoip-тонель(который работает по оптике), и в бридж объединяю ether1 и eoip.

- Вариант рабочий, пропускает ЛЮБЫЕ vlan-id, но на мой взгляд способ кривой, загружает лишний раз процессор обработкой eoip-тонеля.

 

Чувствую должно быть более корректное решение.

[Saab95]

Есть еще решение номер 3 - увеличить MTU на SFP порту так, что бы проходили вланы во вланах, по умолчанию там 1500 стоит, а микротик поддерживает и более высокие значения.

[ai8]

Не в этом дело, не проходят вообще никакие пакеты, в том числе и маленькие.

[uk2558]

Можно создать один бридж и добавить в него sfp и eth интерфейсы. Внутри бриджа все ходит прозрачно.

Edited March 2, 2014 by uk2558

[Andrey75]

да бы не плодить тем.

есть микротик crs328-24P-4S+:

на первый порт приходят VLAN:

200t

300t

400t

необходимо на sfp1 порт:

400а

500t:

   200t

   300t

   400t

 

каким образом это сделать?

 

[Constantin]

как на роутере я знаю а вот на свиче... можно как и на роутере конечно но там можно и нужно сделать "правильно", в свое время вланы настраивал по мануалам с вики, проблем не вызвало

 

[VGA]

короче делать надо так:

1) создаёте бриджи с именем всех vlan которые будут использоваться

bridge_vlan100, bridge_vlan101,....... bridge_vlanN

2) Вешаете на все свои ethernet порты в том числе и sfp все эти vlan давая им имена типа vlan100_on_ether1, vlan100_on_ether2, vlan100_on_sfp1, vlan101_on_ether1, vlan101_on_ether2, vlan101_on_sfp1, и так со всеми vlan-ами  на всех портах.

3) на bridge_vlan100 во вкладке портов вешаем наши vlan100_on_ether1, vlan100_on_ether2, vlan100_on_sfp1, если порт untaget должен быть то прикрепляем к этому бриджу нужный ethernet порт, например ether1 в результате мы имеем транковый порт с native vlan 100. ну и по аналогии со всеми остальными портами так на обоих микротиках.

 

Не понятно зачем вам q-in-q если у вас задача организовать обычную связку двух коммутаторов транком  и сделать какието порты акцесом. На микротике это делается примерно так как я описал т.к. виланы с одним ID на каждом порту у него как бы совершенно отдельные и поэтому их нужно объединять бриджом, а не как в циске например где объявляеш вилан и он один на все порты.

 

[VGA]

вот так это выглядит примерно. На картинке я сделал два транковых порта на 100,101,102 виланы причем на ether 2 native vlan 100, на ether3 native vlan 101, а порт ether4 просто акцесом в vlan102. Если тоже самое настроить на втором маршрутизаторе и объединить порты ether2 этих маршрутизаторов кабелем то всё отлично будет работать и например порты ether4 обоих маршрутизаторов будут в одном вилане (102)

[Constantin]

10 часов назад, VGA сказал:

короче делать надо так:

это делается на роутерах так, на коммутаторах делается по другому, ибо зачем грузить проц, который и так дохлый на серии коммутаторов когда для этого там есть чип и он заточен на обработку такой шняги.

[Ace63]

Не знаю как умирать будет проц на коммутаторе, но предложил решение,

Просто прозрачно пропускать через себя весь тегируемый траффик не важно какие там ходят метки
соединить просто порты в бридж, выдернуть из проходящего трафика vlan управления.

 

/interface bridge
add name=br.Mgmt protocol-mode=none
add name=br.Service protocol-mode=none
/interface vlan
add interface=br.Service name=vlan.4000 vlan-id=4000
/interface bridge port
add bridge=br.Service interface=ether1
add bridge=br.Service interface=sfp1
add bridge=br.Mgmt interface=vlan.4000
/ip address
add address=192.168.1.1/24 interface=br.Mgmt network=192.168.1.0

 

Либо если в оптике тунель или еще чего у вас там собрано, запихать как нужно, вам решать как правильнее.

Edited June 6, 2019 by Ace63

[VGA]

6 часов назад, Constantin сказал:

это делается на роутерах так, на коммутаторах делается по другому, ибо зачем грузить проц, который и так дохлый на серии коммутаторов когда для этого там есть чип и он заточен на обработку такой шняги.

Ну он же не написал что у него за железки, я на 1036 и 1072 так как написал выше делаю, загрузка процесора 0.

 

[Andrey75]

В 05.06.2019 в 17:56, VGA сказал:

Не понятно зачем вам q-in-q если у вас задача организовать обычную связку двух коммутаторов транком  и сделать какието порты акцесом. На микротике это делается примерно так как я описал т.к. виланы с одним ID на каждом порту у него как бы совершенно отдельные и поэтому их нужно объединять бриджом, а не как в циске например где объявляеш вилан и он один на все порты.

 

задача пробросить свои vlan через тонель провайдера, который дает:

vlan Zt один порт

vlan Aa другой порт

сделал каждый бридж на свой Влан, проброс работает. 

затем отдельный бридж для vlan Zt, пинга нет.

[fractal]

57 минут назад, Andrey75 сказал:

задача пробросить свои vlan через тонель провайдера, который дает:

vlan Zt один порт

vlan Aa другой порт

сделал каждый бридж на свой Влан, проброс работает. 

затем отдельный бридж для vlan Zt, пинга нет.

А у провайдера mtu позволяет qinq?

 

Если нет, просите поднять, либо eoip 

[VGA]

Тунель какой вы у провайдера заказывали L2 или L3 если L2 то просите сделать MTU на 4 байта больше и загоняйте в него свой транк, собственно это и будет qinq но типа на стороне провайдера. Если тунель L3 то как писали выше делайте свой тунель EoIP и загоняйте транк в него, правда при таком варианте с MTU надо будет смотреть и разбираться, т.к. в тунелях mtu меньше.

А вообще не очень понятно по описанию что именно вы имеете и что хотите сделать. Если например у вас виланов не много то проще на каждый вилан свой тунель EoIP поднять. В общем мало вводных данных по теме, соответственно нету нормальных советов одни гадания и ответы кто как понял.

[fractal]

3 минуты назад, VGA сказал:

Тунель какой вы у провайдера заказывали L2 или L3 если L2 то просите сделать MTU на 4 байта больше и загоняйте в него свой транк, собственно это и будет qinq но типа на стороне провайдера. Если тунель L3 то как писали выше делайте свой тунель EoIP и загоняйте транк в него, правда при таком варианте с MTU надо будет смотреть и разбираться, т.к. в тунелях mtu меньше.

А вообще не очень понятно по описанию что именно вы имеете и что хотите сделать. Если например у вас виланов не много то проще на каждый вилан свой тунель EoIP поднять. В общем мало вводных данных по теме, соответственно нету нормальных советов одни гадания и ответы кто как понял.

кстати, гоняли через провайдера на L2 и L3 канале трафик в eoip, 951 микрот с портами 100mbit не сильно напрягался, 100ку прогонял через себя, проблем не возникало 

[Andrey75]

у провайдера mtu 1600, канал L2

на порту ставлю 1524

 

провайдер дал данные:

vlan Zt один порт

vlan Aa другой порт

и все.

 

пробросил на ether4 свои два vlan target

патчкордом завернул на ether5, где vlan Z untarget

на  ether6, где vlan Z untarget пингов моих vlan нет.

микротик отбрасывает все пакеты моих vlan и оставляет только vlan Zt?

Edited June 7, 2019 by Andrey75

[fractal]

2 часа назад, Andrey75 сказал:

у провайдера mtu 1600, канал L2

на порту ставлю 1524

 

провайдер дал данные:

vlan Zt один порт

vlan Aa другой порт

и все.

 

пробросил на ether4 свои два vlan target

патчкордом завернул на ether5, где vlan Z untarget

на  ether6, где vlan Z untarget пингов моих vlan нет.

микротик отбрасывает все пакеты моих vlan и оставляет только vlan Zt?

 

Так делали? https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#VLAN_Tunneling_.28Q-in-Q.29 провайдер точно дает чистый L2? 

[VGA]

где находится "vlan Zt один порт" и "vlan Aa другой порт" и что это такое физически. Это ethernet порты в двух разных местах между которыми L2 тунель? Судя по вашему описанию не понятно это. Вы опишите конкретнее типа; имеем оффис №1 и оффис №2, между ними провайдер организовал тунель L2vpn в офисе №1 провайдер поставил свой коммутатор и сказал воткнуться нам в порт5, ..... Ну и тому подобное описание того что вы имеете.

А вообще если у вас канал L2 то это всё равно что кабелем соединить две точки, с единственным отличием от кабеля в том что количество мультикаст и бродкаст пакетов будут ограничено.

[Andrey75]

2 часа назад, VGA сказал:

где находится "vlan Zt один порт" и "vlan Aa другой порт" и что это такое физически. Это ethernet порты в двух разных местах между которыми L2 тунель? Судя по вашему описанию не понятно это. Вы опишите конкретнее типа; имеем оффис №1 и оффис №2, между ними провайдер организовал тунель L2vpn в офисе №1 провайдер поставил свой коммутатор и сказал воткнуться нам в порт5, ..... Ну и тому подобное описание того что вы имеете.

А вообще если у вас канал L2 то это всё равно что кабелем соединить две точки, с единственным отличием от кабеля в том что количество мультикаст и бродкаст пакетов будут ограничено.

необходимо прокинуть наши влан Xt и Yt

 

офис 1

vlan Zt один порт- это порт к железке которую настраиваю.

 

офис 2

vlan Aa другой порт - это порт по другому адресу. Там наше оборудование настроенное на влан Xt и Yt

 

в оба офиса заходит оптика 1g, оборудование провайдера в глаза не вижу.

между ними провайдер предоставляет L2 канал. MTU 1600 (скинул данные офис 1 VLAN Zt, офис 2 VLAN Aa)

 

на микротике:

BR X

    Vlan 1_X

    Vlan 3_X

   Vlan Z_X

BR Y

    Vlan 1_Y

    Vlan 3_Y

    Vlan Z_Y

BR S

    Vlan 1_S

    Vlan S

 ethe1

    Vlan 1_X

    Vlan 1_Y

    Vlan 1_S

ethe3

  Vlan 3_X

  Vlan 3_Y

SFP1

     Vlan Zt 

      Vlan Z_X

      Vlan Z_Y

     Vlan S ut

 

на бридж влан все транком,

между ethe1 и ethe3 все ок

 

 

 

 

Edited June 7, 2019 by Andrey75

[Andrey75]

c Vlan S намудрил?

[VGA]

Понятно где у вас собака порылась.

1) На бридж вам виланы вешать не нужно, удаляйте их.

2) В бридж BR X  вы должны объединить виланы Х со всех портов где есть вилан Х, это делается во вкладке ports бриджа.

тоже самое проделываем с бриджами BR Y BR S

Суть в том что у микротика виланы с одним ID навешанные на один интерфейс, и виланы с тем-же ID навешанные на другой интерфейс никак между собой не связаны, это совершенно разные виланы и означает это только то что интерфейс готов принимать пакеты с этим ID , в отличие от циски например, где объявил вилан и присваивай его к портам. Поэтому чтобы получить подобие циски виланы с одним ID объединяются бриджом (на этом бридже как бы и создаётся ваша виртуальная лан) дальше к этому бриджу можно присоединить какой либо ethernet порт и этот порт будет у вас акцесом в этом вилане, если на этом порте будут висеть другие виланы то порт этот будет native в вилане к бриджу которого вы его присоединили.

 

Несколько сумбурно написал, напишите номера ваших вилан я вам конфигурацию выложу и будет понятно.

[vurd]

Ну и на циске так же, если речь о роутерах, такие же бридж домены создаются, логика один в один.

[VGA]

В 08.06.2019 в 00:10, vurd сказал:

Ну и на циске так же, если речь о роутерах, такие же бридж домены создаются, логика один в один.

точно, а на juniper сущность unit. , но там всё это не так очевидно как на микротике, больше расчитано на то что показал один раз вы запомнили как надо делать и дальше можно не думать, а чисто копировать действия.