Zdravím všechny,
omlouvám se, pokud se to tu již řešilo - koukal jsem, ale kloudné odpovědi jsem nenašel...
Řeším případ, kdy potřebuji "rozházet" do portů Mikrotiku různé VLANy, konkrétně zde jde o model Mikrotik RB951n, ale na nic jsem nepřišel ani u modelu RB2011UAS.
Příklad:
Do portu eth1 pouštím tagované VLAN1, VLAN2 a odtagovanou (nativní) VLAN3.
Do portu eth2 potřebuji dostat TAGOVANOU VLAN1.
Do portu eth3 potřebuji ODTAGOVANOU VLAN2
Do portu eth4 potřebuji TAGOVANOU VLAN2 a tu nativní, ODTAGOVANOU VLAN3.
S Mikrotiky takto pracuji poprvé, řešil jsem u nich jen ODTAGOVÁNÍ VLANs (všechny VLANy "navěsit" na přívodní port eth1 a pak udělat jen bridge mezi nimi a příslušnými eth porty = odtagovat), ale jak poslat z přívodu zase tagovanou VLAN, nebo dokonce obě (tagovanou, i nativní), nevím jak...
Doposud jsem toto řešil jen na "chytřejších" switchích, kde se jen nadefinovaly VLANy, jejich ID a u každého portu se jen pak nastavilo, zda má být tagovaná, nebo ne, anebo zda tam vůbec má jít...
Předem děkuji za rady.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Jak na tagování VLAN u Mikrotiku ?
Na vystupnim eth udelej v interface dalsi vlan s pozadovanym id. A pro vsechny vlany na vsech portech, kde ty vlany maji byt, udelej samostatne bridge. Nakonec nezapomen nastavit admin mac, protoze bez toho se to nekdy chova podivne. Pouziva se treba format 02:aa:bbdd:01, kde ty pismena jsou prevedena ip do hex tvaru.
0 x
..:: DobraSit.cz ::..
Řešit to bridgem je sice asi pochopitelnější, ale zbytečné, když máme hardwarový čip, ne?
Pochopit MK switch je trochu vyšší dívčí, ale jde to. Doporučuji hodně experimentovat, dle příkladu, že je hladového lepší naučit chytat ryby, než mu dát do ruky hamburger ...
Z hlediska operačního systému pracuješ jen s tím portem, který je pro ostatní "master". To je první pravidlo. Takže eth2-4 dostanou jako master-port ether1
Pod nastavením Switch vytvoř potřebné VLAN. Ty, které se mají dostat až do operačního systému musí mít jako jeden z portů i "switch CPU" - a pro takové lze pak vytvořit na ether1 VLAN interface.
Porty co mají umět takto VLAN nastav jako fallback, včetně toho CPU. Takové nejpříjemnější nastavení pro testy ... pro provoz asi bude lepší secure.
Port, co má být untagged nastav jako always-sttrip a default vlan-id je ID, co se z paketu "odstřihne". A tajně doufám, že ty ostatní VLAN v paketech zůstanou
Si teď uvědomuji, že jsem to asi nezkoušel.
A rada: je-li jen sebemenší možnost, nepoužívej untagged ... Akorát to vnáší nejasnosti do konfigurací. Zvlášť u tupějších věcí, ala mikrotik, obyčejné smart tplinky atp. ...
Pochopit MK switch je trochu vyšší dívčí, ale jde to. Doporučuji hodně experimentovat, dle příkladu, že je hladového lepší naučit chytat ryby, než mu dát do ruky hamburger ...
Z hlediska operačního systému pracuješ jen s tím portem, který je pro ostatní "master". To je první pravidlo. Takže eth2-4 dostanou jako master-port ether1
Pod nastavením Switch vytvoř potřebné VLAN. Ty, které se mají dostat až do operačního systému musí mít jako jeden z portů i "switch CPU" - a pro takové lze pak vytvořit na ether1 VLAN interface.
Porty co mají umět takto VLAN nastav jako fallback, včetně toho CPU. Takové nejpříjemnější nastavení pro testy ... pro provoz asi bude lepší secure.
Port, co má být untagged nastav jako always-sttrip a default vlan-id je ID, co se z paketu "odstřihne". A tajně doufám, že ty ostatní VLAN v paketech zůstanou
Si teď uvědomuji, že jsem to asi nezkoušel.A rada: je-li jen sebemenší možnost, nepoužívej untagged ... Akorát to vnáší nejasnosti do konfigurací. Zvlášť u tupějších věcí, ala mikrotik, obyčejné smart tplinky atp. ...
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Petr S. píše:Na vystupnim eth udelej v interface dalsi vlan s pozadovanym id. A pro vsechny vlany na vsech portech, kde ty vlany maji byt, udelej samostatne bridge. Nakonec nezapomen nastavit admin mac, protoze bez toho se to nekdy chova podivne. Pouziva se treba format 02:aa:bbdd:01, kde ty pismena jsou prevedena ip do hex tvaru.
Díky moc za reakci a omlouvám se, dostal jsem se k odpovědi až teď.
Mluvil jsem s několika dalšími "Mikrotikáři" a většina to řeší tebou popsaným způsobem, jen nikdo neřeší tu "admin mac" a prý jim to funguje...
Jednu z jejich odpovědí napíšu za chvíli separátně.
Každopádně díky!
0 x
ludvik píše:Řešit to bridgem je sice asi pochopitelnější, ale zbytečné, když máme hardwarový čip, ne?
Pochopit MK switch je trochu vyšší dívčí, ale jde to. Doporučuji hodně experimentovat, dle příkladu, že je hladového lepší naučit chytat ryby, než mu dát do ruky hamburger ...
Z hlediska operačního systému pracuješ jen s tím portem, který je pro ostatní "master". To je první pravidlo. Takže eth2-4 dostanou jako master-port ether1
Pod nastavením Switch vytvoř potřebné VLAN. Ty, které se mají dostat až do operačního systému musí mít jako jeden z portů i "switch CPU" - a pro takové lze pak vytvořit na ether1 VLAN interface.
Porty co mají umět takto VLAN nastav jako fallback, včetně toho CPU. Takové nejpříjemnější nastavení pro testy ... pro provoz asi bude lepší secure.
Port, co má být untagged nastav jako always-sttrip a default vlan-id je ID, co se z paketu "odstřihne". A tajně doufám, že ty ostatní VLAN v paketech zůstanou
A rada: je-li jen sebemenší možnost, nepoužívej untagged ... Akorát to vnáší nejasnosti do konfigurací. Zvlášť u tupějších věcí, ala mikrotik, obyčejné smart tplinky atp. ...
Ahoj, také moc díky za reakci a omlouvám se též, dostal jsem se k odpovědi až teď.
Co jsem ještě poptával, vetšina lidí, se kterými jsem to konzultoval, to řeší práve bridgeováním, jak radí v tomto tématu Petr S. výše.
Každopádně rád vyzkouším i tvoji radu a docela mě bude (kromě funkčnosti, samozřejmě) zajímat i rozdíl zátěže CPU mezi oběma řešeními...
A ještě dotaz:
Co myslíš tím "A rada: je-li jen sebemenší možnost, nepoužívej untagged ... Akorát to vnáší nejasnosti do konfigurací. Zvlášť u tupějších věcí, ala mikrotik, obyčejné smart tplinky atp. ..." ?
Myslíš ten pojem, nebo funkci portu...?
Díky.
0 x
A tady přikládám radu jednoho "Mikrotikáře" k mé "modelové" situaci, popsané na začátku, co vy na to?
Já bych to také řešil přes bridge takto:
Eth2 – přidat novou vlan, např.ID=5 na fyzický interface eth2 a bridgovat vlan1+vlan5
Eth3 – udělat bridge s eth3+vlan2
Eth4 – přidat novou vlan, např.id=6 na fyzický interface eth4 a bridgovat vlan2+vlan6+eth4+eth1
Díky za případné názory a ještě jsem toto nezkoušel, ale rozhodně vyzkouším.
Já bych to také řešil přes bridge takto:
Eth2 – přidat novou vlan, např.ID=5 na fyzický interface eth2 a bridgovat vlan1+vlan5
Eth3 – udělat bridge s eth3+vlan2
Eth4 – přidat novou vlan, např.id=6 na fyzický interface eth4 a bridgovat vlan2+vlan6+eth4+eth1
Díky za případné názory a ještě jsem toto nezkoušel, ale rozhodně vyzkouším.
0 x
Jindrix píše:Petr S. píše:Na vystupnim eth udelej v interface dalsi vlan s pozadovanym id. A pro vsechny vlany na vsech portech, kde ty vlany maji byt, udelej samostatne bridge. Nakonec nezapomen nastavit admin mac, protoze bez toho se to nekdy chova podivne. Pouziva se treba format 02:aa:bbdd:01, kde ty pismena jsou prevedena ip do hex tvaru.
Díky moc za reakci a omlouvám se, dostal jsem se k odpovědi až teď.
Mluvil jsem s několika dalšími "Mikrotikáři" a většina to řeší tebou popsaným způsobem, jen nikdo neřeší tu "admin mac" a prý jim to funguje...
Jednu z jejich odpovědí napíšu za chvíli separátně.
Každopádně díky!
Jo, to funguje. Ale je otázka jak dlouho. V některých konfiguracích jsem bez toho měl dost problémy. Je tam ten problém, že pokud nemáš nastavenou admin mac, tak se ti mac bridge nastavuje podle jednoho z interface. Ale to nemusi byt vzdycky spravne... Vím i o několika případech, najdeš to i tady na fóru, kdy s tím byly problémy, když tam admin mac nebyla...
0 x
..:: DobraSit.cz ::..
Petr S. píše:Petr S. píše:Na vystupnim eth udelej v interface dalsi vlan s pozadovanym id. A pro vsechny vlany na vsech portech, kde ty vlany maji byt, udelej samostatne bridge. Nakonec nezapomen nastavit admin mac, protoze bez toho se to nekdy chova podivne. Pouziva se treba format 02:aa:bbdd:01, kde ty pismena jsou prevedena ip do hex tvaru.
Jo, to funguje. Ale je otázka jak dlouho. V některých konfiguracích jsem bez toho měl dost problémy. Je tam ten problém, že pokud nemáš nastavenou admin mac, tak se ti mac bridge nastavuje podle jednoho z interface. Ale to nemusi byt vzdycky spravne... Vím i o několika případech, najdeš to i tady na fóru, kdy s tím byly problémy, když tam admin mac nebyla...
Díky, jen se zeptám - píšeš "admin mac, protoze bez toho se to nekdy chova podivne. Pouziva se treba format 02:aa:bb:cc:dd:01, kde ty pismena jsou prevedena ip do hex tvaru" - já myslel, že se jako "admin MAC" zadává MAC adresa toho rozhraní, ze kterého se to vše rozvádí (v mém modelovém případě MAC rozhraní Eth1 a ne jeho IP adresa, co když žádnou IP nemá...???
Díky předem.
0 x
nepoužívat untagged samozřejmě myslím funkci ... prostě nemotat tagované a netagované pakety po síti, pokud k tomu není nějaký echt důvod. Je to rada z praxe, fakticky tomu samozřejmě nic nebrání.
admin-mac se bere z jednoho z rozhraní v tom bridge. Nevšiml jsem si problému, proč by to nemělo stačit. Ale třeba mě vadilo, že se někdy ta MAC změnila, např. že původní první rozhraní bylo při bootu dole a bridge použil z jiného. Tím, že to tam nacpeš ručně prostě obejdeš možnou chybu v tomto a bude to pořád stejné. Když není potřeba automatika, tak pryč s ní
To, že má ta ručně vymyšlená MAC začínat na 02 je naschvál - druhý bit tohoto bajtu určuje, jestli je to globální nebo privátní MAC. Takže toto je privátní a můžeš si tam jinak nacpat co chceš - za unikátnost na síti (L2 segmentu) si ručíš sám. Jenom na tu 02 bych nesahal, jeden z bitů také určuje multicast a já nevím z hlavy který
admin-mac se bere z jednoho z rozhraní v tom bridge. Nevšiml jsem si problému, proč by to nemělo stačit. Ale třeba mě vadilo, že se někdy ta MAC změnila, např. že původní první rozhraní bylo při bootu dole a bridge použil z jiného. Tím, že to tam nacpeš ručně prostě obejdeš možnou chybu v tomto a bude to pořád stejné. Když není potřeba automatika, tak pryč s ní
To, že má ta ručně vymyšlená MAC začínat na 02 je naschvál - druhý bit tohoto bajtu určuje, jestli je to globální nebo privátní MAC. Takže toto je privátní a můžeš si tam jinak nacpat co chceš - za unikátnost na síti (L2 segmentu) si ručíš sám. Jenom na tu 02 bych nesahal, jeden z bitů také určuje multicast a já nevím z hlavy který
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
ludvik píše:nepoužívat untagged samozřejmě myslím funkci ... prostě nemotat tagované a netagované pakety po síti, pokud k tomu není nějaký echt důvod. Je to rada z praxe, fakticky tomu samozřejmě nic nebrání.
admin-mac se bere z jednoho z rozhraní v tom bridge. Nevšiml jsem si problému, proč by to nemělo stačit. Ale třeba mě vadilo, že se někdy ta MAC změnila, např. že původní první rozhraní bylo při bootu dole a bridge použil z jiného. Tím, že to tam nacpeš ručně prostě obejdeš možnou chybu v tomto a bude to pořád stejné. Když není potřeba automatika, tak pryč s ní
To, že má ta ručně vymyšlená MAC začínat na 02 je naschvál - druhý bit tohoto bajtu určuje, jestli je to globální nebo privátní MAC. Takže toto je privátní a můžeš si tam jinak nacpat co chceš - za unikátnost na síti (L2 segmentu) si ručíš sám. Jenom na tu 02 bych nesahal, jeden z bitů také určuje multicast a já nevím z hlavy který
Aha - tak ohledně admin MAC už jsem tedy moudřejší, díky moc.
A nepoužívat tagované a netagované pakety současně - no, někdy se tomu nevyhneš.
Třeba jako u mě - APčka Unifi jsou řízena Unifi Controllerem po jedné netagované síti a dále do nich jdou tři tagované vlany (každá pro jednu WiFi), které se pak v APčkách odtagovávají a to vše samozřejmě jde po jednom ethernet kabelu
Moc díky.
0 x
Petr S. píše:Tak zatagovat i tu poslední síť?
? Nechápu, promiň?
0 x
No píšeš:
tak i tenhle management nejde dát do nějaký vlan? S Unifi ale jsem nikdy nedělal, tak nevím, jesli je to možné...
APčka Unifi jsou řízena Unifi Controllerem po jedné netagované síti
tak i tenhle management nejde dát do nějaký vlan? S Unifi ale jsem nikdy nedělal, tak nevím, jesli je to možné...
0 x
..:: DobraSit.cz ::..
Petr S. píše:No píšeš:tak i tenhle management nejde dát do nějaký vlan? S Unifi ale jsem nikdy nedělal, tak nevím, jesli je to možné...APčka Unifi jsou řízena Unifi Controllerem po jedné netagované síti
Ahoj, Myslel jsem si to, že právě toto máš na mysli.
Ale bohužel, nepoužívám zatím nejnovější verzi Unifi Controlleru a v té, co používám (ani ve starší, kterou jsem používal) nelze nastavit pro management "Use VLAN"... To lze pouze u jednotlivých, vytvořených WiFi, ty si VLANy pak odtagují, ale u managementu ne.
Alespoň jsem to nikde nenašel.
0 x
VLAN pro management jim podle mě nesedí do filozofie Nebylo by to plug&play ...
Nebylo by to plug&play ...
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.