ai8 Опубликовано 23 февраля, 2014 · Жалоба Всех приветствую! Задача следующая: Один микротик(назовем его Микротик-А с портом sfp1, находится в точке А, соединен посредством оптики с таким же микротиком(Микротик-Б) в точке Б порт sfp1. Необходимо настроить "трубу" для _тегированного_ трафика таким образом, чтобы весь трафик (с любым vlan-id) залетевший в порт ether1 Микротика-А вылетал из порта ether1 Микротика-Б. Ну и дальше то же самое с портами ether2, ether3... Что делаю: 1. Создаю на интерфейсах sfp1 в обоих микротиках vlan100 (например). 2. Создаю на каждом микротике бридж, в который объединяю vlan-id100(sfp1) и ether1. Результат: _не тегированный_ трафик, который приходит в порт ether1 микротик-А, пролетает по "оптической трубе" в виде тегированного трафика с vlan-id100, далее в микротике-Б через бридж "распаковывается" и вылетает в не тегированном виде из ether1 микротика-Б. НО! Тегированный трафик, прилетевший в порт ether1 (например vlan-id123) не проходит по "трубе". Вижу два решения проблемы: 1. На ether1 поднять необходимые vlan-ы, поднять эти же vlan-ы внутри уже созданного vlan100 на порту sfp1 (QinQ). - Минус этого решения в том, что часто заранее не известно какие vlan-ы будут использоваться, их может быть много, они могут меняться в течении времени. 2. Создаю между микротиками eoip-тонель(который работает по оптике), и в бридж объединяю ether1 и eoip. - Вариант рабочий, пропускает ЛЮБЫЕ vlan-id, но на мой взгляд способ кривой, загружает лишний раз процессор обработкой eoip-тонеля. Чувствую должно быть более корректное решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 23 февраля, 2014 · Жалоба Есть еще решение номер 3 - увеличить MTU на SFP порту так, что бы проходили вланы во вланах, по умолчанию там 1500 стоит, а микротик поддерживает и более высокие значения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ai8 Опубликовано 24 февраля, 2014 · Жалоба Не в этом дело, не проходят вообще никакие пакеты, в том числе и маленькие. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uk2558 Опубликовано 2 марта, 2014 (изменено) · Жалоба Можно создать один бридж и добавить в него sfp и eth интерфейсы. Внутри бриджа все ходит прозрачно. Изменено 2 марта, 2014 пользователем uk2558 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey75 Опубликовано 5 июня, 2019 · Жалоба да бы не плодить тем. есть микротик crs328-24P-4S+: на первый порт приходят VLAN: 200t 300t 400t необходимо на sfp1 порт: 400а 500t: 200t 300t 400t каким образом это сделать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 5 июня, 2019 · Жалоба как на роутере я знаю а вот на свиче... можно как и на роутере конечно но там можно и нужно сделать "правильно", в свое время вланы настраивал по мануалам с вики, проблем не вызвало Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VGA Опубликовано 5 июня, 2019 · Жалоба короче делать надо так: 1) создаёте бриджи с именем всех vlan которые будут использоваться bridge_vlan100, bridge_vlan101,....... bridge_vlanN 2) Вешаете на все свои ethernet порты в том числе и sfp все эти vlan давая им имена типа vlan100_on_ether1, vlan100_on_ether2, vlan100_on_sfp1, vlan101_on_ether1, vlan101_on_ether2, vlan101_on_sfp1, и так со всеми vlan-ами на всех портах. 3) на bridge_vlan100 во вкладке портов вешаем наши vlan100_on_ether1, vlan100_on_ether2, vlan100_on_sfp1, если порт untaget должен быть то прикрепляем к этому бриджу нужный ethernet порт, например ether1 в результате мы имеем транковый порт с native vlan 100. ну и по аналогии со всеми остальными портами так на обоих микротиках. Не понятно зачем вам q-in-q если у вас задача организовать обычную связку двух коммутаторов транком и сделать какието порты акцесом. На микротике это делается примерно так как я описал т.к. виланы с одним ID на каждом порту у него как бы совершенно отдельные и поэтому их нужно объединять бриджом, а не как в циске например где объявляеш вилан и он один на все порты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VGA Опубликовано 5 июня, 2019 · Жалоба вот так это выглядит примерно. На картинке я сделал два транковых порта на 100,101,102 виланы причем на ether 2 native vlan 100, на ether3 native vlan 101, а порт ether4 просто акцесом в vlan102. Если тоже самое настроить на втором маршрутизаторе и объединить порты ether2 этих маршрутизаторов кабелем то всё отлично будет работать и например порты ether4 обоих маршрутизаторов будут в одном вилане (102) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 5 июня, 2019 · Жалоба 10 часов назад, VGA сказал: короче делать надо так: это делается на роутерах так, на коммутаторах делается по другому, ибо зачем грузить проц, который и так дохлый на серии коммутаторов когда для этого там есть чип и он заточен на обработку такой шняги. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ace63 Опубликовано 6 июня, 2019 (изменено) · Жалоба Не знаю как умирать будет проц на коммутаторе, но предложил решение, Просто прозрачно пропускать через себя весь тегируемый траффик не важно какие там ходят метки соединить просто порты в бридж, выдернуть из проходящего трафика vlan управления. /interface bridge add name=br.Mgmt protocol-mode=none add name=br.Service protocol-mode=none /interface vlan add interface=br.Service name=vlan.4000 vlan-id=4000 /interface bridge port add bridge=br.Service interface=ether1 add bridge=br.Service interface=sfp1 add bridge=br.Mgmt interface=vlan.4000 /ip address add address=192.168.1.1/24 interface=br.Mgmt network=192.168.1.0 Либо если в оптике тунель или еще чего у вас там собрано, запихать как нужно, вам решать как правильнее. Изменено 6 июня, 2019 пользователем Ace63 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VGA Опубликовано 6 июня, 2019 · Жалоба 6 часов назад, Constantin сказал: это делается на роутерах так, на коммутаторах делается по другому, ибо зачем грузить проц, который и так дохлый на серии коммутаторов когда для этого там есть чип и он заточен на обработку такой шняги. Ну он же не написал что у него за железки, я на 1036 и 1072 так как написал выше делаю, загрузка процесора 0. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey75 Опубликовано 7 июня, 2019 · Жалоба В 05.06.2019 в 17:56, VGA сказал: Не понятно зачем вам q-in-q если у вас задача организовать обычную связку двух коммутаторов транком и сделать какието порты акцесом. На микротике это делается примерно так как я описал т.к. виланы с одним ID на каждом порту у него как бы совершенно отдельные и поэтому их нужно объединять бриджом, а не как в циске например где объявляеш вилан и он один на все порты. задача пробросить свои vlan через тонель провайдера, который дает: vlan Zt один порт vlan Aa другой порт сделал каждый бридж на свой Влан, проброс работает. затем отдельный бридж для vlan Zt, пинга нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 7 июня, 2019 · Жалоба 57 минут назад, Andrey75 сказал: задача пробросить свои vlan через тонель провайдера, который дает: vlan Zt один порт vlan Aa другой порт сделал каждый бридж на свой Влан, проброс работает. затем отдельный бридж для vlan Zt, пинга нет. А у провайдера mtu позволяет qinq? Если нет, просите поднять, либо eoip Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VGA Опубликовано 7 июня, 2019 · Жалоба Тунель какой вы у провайдера заказывали L2 или L3 если L2 то просите сделать MTU на 4 байта больше и загоняйте в него свой транк, собственно это и будет qinq но типа на стороне провайдера. Если тунель L3 то как писали выше делайте свой тунель EoIP и загоняйте транк в него, правда при таком варианте с MTU надо будет смотреть и разбираться, т.к. в тунелях mtu меньше. А вообще не очень понятно по описанию что именно вы имеете и что хотите сделать. Если например у вас виланов не много то проще на каждый вилан свой тунель EoIP поднять. В общем мало вводных данных по теме, соответственно нету нормальных советов одни гадания и ответы кто как понял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 7 июня, 2019 · Жалоба 3 минуты назад, VGA сказал: Тунель какой вы у провайдера заказывали L2 или L3 если L2 то просите сделать MTU на 4 байта больше и загоняйте в него свой транк, собственно это и будет qinq но типа на стороне провайдера. Если тунель L3 то как писали выше делайте свой тунель EoIP и загоняйте транк в него, правда при таком варианте с MTU надо будет смотреть и разбираться, т.к. в тунелях mtu меньше. А вообще не очень понятно по описанию что именно вы имеете и что хотите сделать. Если например у вас виланов не много то проще на каждый вилан свой тунель EoIP поднять. В общем мало вводных данных по теме, соответственно нету нормальных советов одни гадания и ответы кто как понял. кстати, гоняли через провайдера на L2 и L3 канале трафик в eoip, 951 микрот с портами 100mbit не сильно напрягался, 100ку прогонял через себя, проблем не возникало Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey75 Опубликовано 7 июня, 2019 (изменено) · Жалоба у провайдера mtu 1600, канал L2 на порту ставлю 1524 провайдер дал данные: vlan Zt один порт vlan Aa другой порт и все. пробросил на ether4 свои два vlan target патчкордом завернул на ether5, где vlan Z untarget на ether6, где vlan Z untarget пингов моих vlan нет. микротик отбрасывает все пакеты моих vlan и оставляет только vlan Zt? Изменено 7 июня, 2019 пользователем Andrey75 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 7 июня, 2019 · Жалоба 2 часа назад, Andrey75 сказал: у провайдера mtu 1600, канал L2 на порту ставлю 1524 провайдер дал данные: vlan Zt один порт vlan Aa другой порт и все. пробросил на ether4 свои два vlan target патчкордом завернул на ether5, где vlan Z untarget на ether6, где vlan Z untarget пингов моих vlan нет. микротик отбрасывает все пакеты моих vlan и оставляет только vlan Zt? Так делали? https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#VLAN_Tunneling_.28Q-in-Q.29 провайдер точно дает чистый L2? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VGA Опубликовано 7 июня, 2019 · Жалоба где находится "vlan Zt один порт" и "vlan Aa другой порт" и что это такое физически. Это ethernet порты в двух разных местах между которыми L2 тунель? Судя по вашему описанию не понятно это. Вы опишите конкретнее типа; имеем оффис №1 и оффис №2, между ними провайдер организовал тунель L2vpn в офисе №1 провайдер поставил свой коммутатор и сказал воткнуться нам в порт5, ..... Ну и тому подобное описание того что вы имеете. А вообще если у вас канал L2 то это всё равно что кабелем соединить две точки, с единственным отличием от кабеля в том что количество мультикаст и бродкаст пакетов будут ограничено. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey75 Опубликовано 7 июня, 2019 (изменено) · Жалоба 2 часа назад, VGA сказал: где находится "vlan Zt один порт" и "vlan Aa другой порт" и что это такое физически. Это ethernet порты в двух разных местах между которыми L2 тунель? Судя по вашему описанию не понятно это. Вы опишите конкретнее типа; имеем оффис №1 и оффис №2, между ними провайдер организовал тунель L2vpn в офисе №1 провайдер поставил свой коммутатор и сказал воткнуться нам в порт5, ..... Ну и тому подобное описание того что вы имеете. А вообще если у вас канал L2 то это всё равно что кабелем соединить две точки, с единственным отличием от кабеля в том что количество мультикаст и бродкаст пакетов будут ограничено. необходимо прокинуть наши влан Xt и Yt офис 1 vlan Zt один порт- это порт к железке которую настраиваю. офис 2 vlan Aa другой порт - это порт по другому адресу. Там наше оборудование настроенное на влан Xt и Yt в оба офиса заходит оптика 1g, оборудование провайдера в глаза не вижу. между ними провайдер предоставляет L2 канал. MTU 1600 (скинул данные офис 1 VLAN Zt, офис 2 VLAN Aa) на микротике: BR X Vlan 1_X Vlan 3_X Vlan Z_X BR Y Vlan 1_Y Vlan 3_Y Vlan Z_Y BR S Vlan 1_S Vlan S ethe1 Vlan 1_X Vlan 1_Y Vlan 1_S ethe3 Vlan 3_X Vlan 3_Y SFP1 Vlan Zt Vlan Z_X Vlan Z_Y Vlan S ut на бридж влан все транком, между ethe1 и ethe3 все ок Изменено 7 июня, 2019 пользователем Andrey75 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey75 Опубликовано 7 июня, 2019 · Жалоба c Vlan S намудрил? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VGA Опубликовано 7 июня, 2019 · Жалоба Понятно где у вас собака порылась. 1) На бридж вам виланы вешать не нужно, удаляйте их. 2) В бридж BR X вы должны объединить виланы Х со всех портов где есть вилан Х, это делается во вкладке ports бриджа. тоже самое проделываем с бриджами BR Y BR S Суть в том что у микротика виланы с одним ID навешанные на один интерфейс, и виланы с тем-же ID навешанные на другой интерфейс никак между собой не связаны, это совершенно разные виланы и означает это только то что интерфейс готов принимать пакеты с этим ID , в отличие от циски например, где объявил вилан и присваивай его к портам. Поэтому чтобы получить подобие циски виланы с одним ID объединяются бриджом (на этом бридже как бы и создаётся ваша виртуальная лан) дальше к этому бриджу можно присоединить какой либо ethernet порт и этот порт будет у вас акцесом в этом вилане, если на этом порте будут висеть другие виланы то порт этот будет native в вилане к бриджу которого вы его присоединили. Несколько сумбурно написал, напишите номера ваших вилан я вам конфигурацию выложу и будет понятно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 7 июня, 2019 · Жалоба Ну и на циске так же, если речь о роутерах, такие же бридж домены создаются, логика один в один. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VGA Опубликовано 8 июня, 2019 · Жалоба В 08.06.2019 в 00:10, vurd сказал: Ну и на циске так же, если речь о роутерах, такие же бридж домены создаются, логика один в один. точно, а на juniper сущность unit. , но там всё это не так очевидно как на микротике, больше расчитано на то что показал один раз вы запомнили как надо делать и дальше можно не думать, а чисто копировать действия. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...