Перейти к содержимому
Калькуляторы

Q in Q в Mikrotik

Всех приветствую!

 

Задача следующая:

Один микротик(назовем его Микротик-А с портом sfp1, находится в точке А, соединен посредством оптики с таким же микротиком(Микротик-Б) в точке Б порт sfp1.

Необходимо настроить "трубу" для _тегированного_ трафика таким образом, чтобы весь трафик (с любым vlan-id) залетевший в порт ether1 Микротика-А вылетал из порта ether1 Микротика-Б. Ну и дальше то же самое с портами ether2, ether3...

 

Что делаю:

1. Создаю на интерфейсах sfp1 в обоих микротиках vlan100 (например).

2. Создаю на каждом микротике бридж, в который объединяю vlan-id100(sfp1) и ether1.

Результат:

_не тегированный_ трафик, который приходит в порт ether1 микротик-А, пролетает по "оптической трубе" в виде тегированного трафика с vlan-id100, далее в микротике-Б через бридж "распаковывается" и вылетает в не тегированном виде из ether1 микротика-Б.

НО! Тегированный трафик, прилетевший в порт ether1 (например vlan-id123) не проходит по "трубе".

 

Вижу два решения проблемы:

1. На ether1 поднять необходимые vlan-ы, поднять эти же vlan-ы внутри уже созданного vlan100 на порту sfp1 (QinQ).

- Минус этого решения в том, что часто заранее не известно какие vlan-ы будут использоваться, их может быть много, они могут меняться в течении времени.

2. Создаю между микротиками eoip-тонель(который работает по оптике), и в бридж объединяю ether1 и eoip.

- Вариант рабочий, пропускает ЛЮБЫЕ vlan-id, но на мой взгляд способ кривой, загружает лишний раз процессор обработкой eoip-тонеля.

 

Чувствую должно быть более корректное решение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть еще решение номер 3 - увеличить MTU на SFP порту так, что бы проходили вланы во вланах, по умолчанию там 1500 стоит, а микротик поддерживает и более высокие значения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не в этом дело, не проходят вообще никакие пакеты, в том числе и маленькие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно создать один бридж и добавить в него sfp и eth интерфейсы. Внутри бриджа все ходит прозрачно.

Изменено пользователем uk2558

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да бы не плодить тем.

есть микротик crs328-24P-4S+:

на первый порт приходят VLAN:

200t

300t

400t

необходимо на sfp1 порт:

400а

500t:

   200t

   300t

   400t

 

каким образом это сделать?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как на роутере я знаю а вот на свиче... можно как и на роутере конечно но там можно и нужно сделать "правильно", в свое время вланы настраивал по мануалам с вики, проблем не вызвало

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

короче делать надо так:

1) создаёте бриджи с именем всех vlan которые будут использоваться

bridge_vlan100, bridge_vlan101,....... bridge_vlanN

2) Вешаете на все свои ethernet порты в том числе и sfp все эти vlan давая им имена типа vlan100_on_ether1, vlan100_on_ether2, vlan100_on_sfp1, vlan101_on_ether1, vlan101_on_ether2, vlan101_on_sfp1, и так со всеми vlan-ами  на всех портах.

3) на bridge_vlan100 во вкладке портов вешаем наши vlan100_on_ether1, vlan100_on_ether2, vlan100_on_sfp1, если порт untaget должен быть то прикрепляем к этому бриджу нужный ethernet порт, например ether1 в результате мы имеем транковый порт с native vlan 100. ну и по аналогии со всеми остальными портами так на обоих микротиках.

 

Не понятно зачем вам q-in-q если у вас задача организовать обычную связку двух коммутаторов транком  и сделать какието порты акцесом. На микротике это делается примерно так как я описал т.к. виланы с одним ID на каждом порту у него как бы совершенно отдельные и поэтому их нужно объединять бриджом, а не как в циске например где объявляеш вилан и он один на все порты.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот так это выглядит примерно. На картинке я сделал два транковых порта на 100,101,102 виланы причем на ether 2 native vlan 100, на ether3 native vlan 101, а порт ether4 просто акцесом в vlan102. Если тоже самое настроить на втором маршрутизаторе и объединить порты ether2 этих маршрутизаторов кабелем то всё отлично будет работать и например порты ether4 обоих маршрутизаторов будут в одном вилане (102)

vlan.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 часов назад, VGA сказал:

короче делать надо так:

это делается на роутерах так, на коммутаторах делается по другому, ибо зачем грузить проц, который и так дохлый на серии коммутаторов когда для этого там есть чип и он заточен на обработку такой шняги.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не знаю как умирать будет проц на коммутаторе, но предложил решение,

Просто прозрачно пропускать через себя весь тегируемый траффик не важно какие там ходят метки
соединить просто порты в бридж, выдернуть из проходящего трафика vlan управления.

 

/interface bridge
add name=br.Mgmt protocol-mode=none
add name=br.Service protocol-mode=none
/interface vlan
add interface=br.Service name=vlan.4000 vlan-id=4000
/interface bridge port
add bridge=br.Service interface=ether1
add bridge=br.Service interface=sfp1
add bridge=br.Mgmt interface=vlan.4000
/ip address
add address=192.168.1.1/24 interface=br.Mgmt network=192.168.1.0

 

Либо если в оптике тунель или еще чего у вас там собрано, запихать как нужно, вам решать как правильнее.

Изменено пользователем Ace63

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, Constantin сказал:

это делается на роутерах так, на коммутаторах делается по другому, ибо зачем грузить проц, который и так дохлый на серии коммутаторов когда для этого там есть чип и он заточен на обработку такой шняги.

Ну он же не написал что у него за железки, я на 1036 и 1072 так как написал выше делаю, загрузка процесора 0.

 

Безымянный.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 05.06.2019 в 17:56, VGA сказал:

Не понятно зачем вам q-in-q если у вас задача организовать обычную связку двух коммутаторов транком  и сделать какието порты акцесом. На микротике это делается примерно так как я описал т.к. виланы с одним ID на каждом порту у него как бы совершенно отдельные и поэтому их нужно объединять бриджом, а не как в циске например где объявляеш вилан и он один на все порты.

 

задача пробросить свои vlan через тонель провайдера, который дает:

vlan Zt один порт

vlan Aa другой порт

сделал каждый бридж на свой Влан, проброс работает. 

затем отдельный бридж для vlan Zt, пинга нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

57 минут назад, Andrey75 сказал:

задача пробросить свои vlan через тонель провайдера, который дает:

vlan Zt один порт

vlan Aa другой порт

сделал каждый бридж на свой Влан, проброс работает. 

затем отдельный бридж для vlan Zt, пинга нет.

А у провайдера mtu позволяет qinq?

 

Если нет, просите поднять, либо eoip 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тунель какой вы у провайдера заказывали L2 или L3 если L2 то просите сделать MTU на 4 байта больше и загоняйте в него свой транк, собственно это и будет qinq но типа на стороне провайдера. Если тунель L3 то как писали выше делайте свой тунель EoIP и загоняйте транк в него, правда при таком варианте с MTU надо будет смотреть и разбираться, т.к. в тунелях mtu меньше.

А вообще не очень понятно по описанию что именно вы имеете и что хотите сделать. Если например у вас виланов не много то проще на каждый вилан свой тунель EoIP поднять. В общем мало вводных данных по теме, соответственно нету нормальных советов одни гадания и ответы кто как понял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, VGA сказал:

Тунель какой вы у провайдера заказывали L2 или L3 если L2 то просите сделать MTU на 4 байта больше и загоняйте в него свой транк, собственно это и будет qinq но типа на стороне провайдера. Если тунель L3 то как писали выше делайте свой тунель EoIP и загоняйте транк в него, правда при таком варианте с MTU надо будет смотреть и разбираться, т.к. в тунелях mtu меньше.

А вообще не очень понятно по описанию что именно вы имеете и что хотите сделать. Если например у вас виланов не много то проще на каждый вилан свой тунель EoIP поднять. В общем мало вводных данных по теме, соответственно нету нормальных советов одни гадания и ответы кто как понял.

кстати, гоняли через провайдера на L2 и L3 канале трафик в eoip, 951 микрот с портами 100mbit не сильно напрягался, 100ку прогонял через себя, проблем не возникало 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у провайдера mtu 1600, канал L2

на порту ставлю 1524

 

провайдер дал данные:

vlan Zt один порт

vlan Aa другой порт

и все.

 

пробросил на ether4 свои два vlan target

патчкордом завернул на ether5, где vlan Z untarget

на  ether6, где vlan Z untarget пингов моих vlan нет.

микротик отбрасывает все пакеты моих vlan и оставляет только vlan Zt?

Изменено пользователем Andrey75

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, Andrey75 сказал:

у провайдера mtu 1600, канал L2

на порту ставлю 1524

 

провайдер дал данные:

vlan Zt один порт

vlan Aa другой порт

и все.

 

пробросил на ether4 свои два vlan target

патчкордом завернул на ether5, где vlan Z untarget

на  ether6, где vlan Z untarget пингов моих vlan нет.

микротик отбрасывает все пакеты моих vlan и оставляет только vlan Zt?

 

Так делали? https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#VLAN_Tunneling_.28Q-in-Q.29 провайдер точно дает чистый L2? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

где находится "vlan Zt один порт" и "vlan Aa другой порт" и что это такое физически. Это ethernet порты в двух разных местах между которыми L2 тунель? Судя по вашему описанию не понятно это. Вы опишите конкретнее типа; имеем оффис №1 и оффис №2, между ними провайдер организовал тунель L2vpn в офисе №1 провайдер поставил свой коммутатор и сказал воткнуться нам в порт5, ..... Ну и тому подобное описание того что вы имеете.

А вообще если у вас канал L2 то это всё равно что кабелем соединить две точки, с единственным отличием от кабеля в том что количество мультикаст и бродкаст пакетов будут ограничено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, VGA сказал:

где находится "vlan Zt один порт" и "vlan Aa другой порт" и что это такое физически. Это ethernet порты в двух разных местах между которыми L2 тунель? Судя по вашему описанию не понятно это. Вы опишите конкретнее типа; имеем оффис №1 и оффис №2, между ними провайдер организовал тунель L2vpn в офисе №1 провайдер поставил свой коммутатор и сказал воткнуться нам в порт5, ..... Ну и тому подобное описание того что вы имеете.

А вообще если у вас канал L2 то это всё равно что кабелем соединить две точки, с единственным отличием от кабеля в том что количество мультикаст и бродкаст пакетов будут ограничено.

необходимо прокинуть наши влан Xt и Yt

 

офис 1

vlan Zt один порт- это порт к железке которую настраиваю.

 

офис 2

vlan Aa другой порт - это порт по другому адресу. Там наше оборудование настроенное на влан Xt и Yt

 

в оба офиса заходит оптика 1g, оборудование провайдера в глаза не вижу.

между ними провайдер предоставляет L2 канал. MTU 1600 (скинул данные офис 1 VLAN Zt, офис 2 VLAN Aa)

 

на микротике:

BR X

    Vlan 1_X

    Vlan 3_X

   Vlan Z_X

BR Y

    Vlan 1_Y

    Vlan 3_Y

    Vlan Z_Y

BR S

    Vlan 1_S

    Vlan S

 ethe1

    Vlan 1_X

    Vlan 1_Y

    Vlan 1_S

ethe3

  Vlan 3_X

  Vlan 3_Y

SFP1

     Vlan Zt 

      Vlan Z_X

      Vlan Z_Y

     Vlan S ut

 

на бридж влан все транком,

между ethe1 и ethe3 все ок

 

 

 

 

Изменено пользователем Andrey75

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Понятно где у вас собака порылась.

1) На бридж вам виланы вешать не нужно, удаляйте их.

2) В бридж BR X  вы должны объединить виланы Х со всех портов где есть вилан Х, это делается во вкладке ports бриджа.

тоже самое проделываем с бриджами BR Y BR S

Суть в том что у микротика виланы с одним ID навешанные на один интерфейс, и виланы с тем-же ID навешанные на другой интерфейс никак между собой не связаны, это совершенно разные виланы и означает это только то что интерфейс готов принимать пакеты с этим ID , в отличие от циски например, где объявил вилан и присваивай его к портам. Поэтому чтобы получить подобие циски виланы с одним ID объединяются бриджом (на этом бридже как бы и создаётся ваша виртуальная лан) дальше к этому бриджу можно присоединить какой либо ethernet порт и этот порт будет у вас акцесом в этом вилане, если на этом порте будут висеть другие виланы то порт этот будет native в вилане к бриджу которого вы его присоединили.

 

Несколько сумбурно написал, напишите номера ваших вилан я вам конфигурацию выложу и будет понятно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну и на циске так же, если речь о роутерах, такие же бридж домены создаются, логика один в один.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 08.06.2019 в 00:10, vurd сказал:

Ну и на циске так же, если речь о роутерах, такие же бридж домены создаются, логика один в один.

точно, а на juniper сущность unit. , но там всё это не так очевидно как на микротике, больше расчитано на то что показал один раз вы запомнили как надо делать и дальше можно не думать, а чисто копировать действия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.