PVID je Port Vlan ID. Je to číslo říkají do které vlany ten port patří. Pokud používáš 802.1q (což v zde řešeném ano), tak to znamená, že když tím portem přijde paket který neobsahuje 802.1q záhlaví, tak se paketu přiřadí vlana odpovídající tomu PVID, jinak se vezme VLANa dle toho záhlaví.
Vřele doporučuji to dělat tak (pokud to daný switch umí), aby na portech vedoucích ke koncovým zákošům byla konfigurace taková, že se dropují přicházející pakety obsahující vlan tag a pouští se jen ty bez tagu. Nejlépe dropovat i pakety, které obsahují vlan tag odpovídající i tomu pvid! Tím se předejde řadě škaredých vtipů na téma QinQ, s kterým se dá u řady tupějších switchů krásně prolézat sítí, pokud to dál není hodně korektně nakonfigurováno (ale pokud to máte jen tak, že je jeden switch agregující porty přes VLANy do jendnoho uplinku a na jeho uplinku přímo L3 prvek beroucí VLANy, tka problém nebývá, pokud je splněn i bod níže).
K tomu platí druhé pravidlo, že jak se začne hrát na VLANy na portech u zákazníka, tak vždy musí jít paket dál tagován, a to až do L3 prvku, který provádí routing a teprve v něm se tag odstraňuje. Prakticky na uplink/trunk portech, kde jde víc jak jedna vlana by měla být politika, že paket bez tagu je dropován. Pokud všude tvrdě používán vlan tagy, tak se to hodí i řízení priorit toků ve switchi dle 802.1p (v RBčku jen označkuji pakety prioritama a ať se switch snaží). K tomu i patří bod, že na portech vedoucích k zákazníkům musí být pozakazovány všechny inteligentní a automatické mechanismy pro registraci a nastavování VLAN (bohužel u řady switchů nejde vypnout, pokud to podporují), jinak vtipálek ani průzkum bojem přes QinQ nemusí dělat, ale nechá si na ten svůj port všechny VLANy přidělit na "jeho žádost".
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
nastavení VLANů mikrotik - TP-Link
bavíme se tu o tplinku za 1.500,-. Ne o switchy za 10.000,- kterej těmahle funkcema disponuje. Jako jo dobrý ale ani jedno z toho co jsi tu napsal neni na těhle tplinkách podporovaný. Navíc nějaký řízení toků je bezcený dokud se někde něco nedostane na strop. Dokud se nezarve ethrnet daty, tak priorizace je k ničemu protože se tam všechny druhy priorit vejdou ne? Ale to se dostáváme někam uplně jinam. Rozved si debatu takovym směrem že až to tu někdo najde tak se na vlany vykašle protože to složitíš.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
tak po dlouhém laborování jsem z tplinku dostal něco na způsob managementu na vlanu. Neni to tedy přímo na vlanu ale můžu tak v mojí kombinaci spravovat pohodlně tyhle switche. Hlavní vtip je v tom, že management při používání vlanů, běží pak pouze na vlanech který jsou zadaný. Ze strany klienta se na switch dá dostat vždy protože směrem k němu dropuje vlan tag. Ovšem směrem uplinkem pryč se nasazuje vždy nějaký vlan tag takže management je tagovanej. V mojí kombinaci se signamaxem 065-7851 kterej dělá pro víc tplinků defakto jenom tupej switch pro optický SFP moduly, se nedalo dostat na management. Tedy spíš dostat dalo ale switch musel mít ip adresu z rozsahu nějaký vlanu a muselo se komunikovat po vlanu. Jelikož ten signamax bez zapnutých vlanů nedokáže posílat management po vlanu, stál jsem před otázkou, jak zbytečně nezabírat ipčko ve vlanu pro tplinka a jak zbytečně neplejtvat jednim subnetem pro netagovanej management pro signamaxe.
Řešení se ukázalo samo. Abych to upřesnil. Pro jednotlivé porty na tplinku jsou vlany. Router u signamaxe tyhle vlany řídí. Zároveň je ale třeba se dostat na signamax management kterej ale neni tagovanej a je třeba se dostat i na tplinky který pro změnu jsou jenom tagovaný. Smířil jsem se s tim že signamax management tagovanej nikdy nebude (pokud se nezapne aktivní podpora vlanů ale to nechci) takže jsem na routeru udělal extra subnet a posadil ip adresu v mikrotiku přímo na ethernet a ne na vlan. Tim sem se dostal normální cestou k signamaxu. A teď co s tplinkem. Řešením je, vytvořit na tplinku další vlan skupinu, a vložit tam uplinkovej port a přepnout na dropování tag vlanu a nasadit na něj ip adresu z rozsahu signamaxe. Tim se totiž management začne ukazovat i na netagovaných paketech ze strany uplinku a všechny tplinky co vlanujou maji management v jednom rozsahu pro administraci včetně signamaxe což je pro spravování sítě podstatný ulehčení a nebere to ip adresu z rozsahu jednoho vlanu a odpadá spoustu věcí kolem.
Čistě v teoretický rovině, po trochu pohrání s nastavením by šlo hodit management tímto způsobem i do jinýho vlanu než jsou ostatní vlany pro ostatní porty.
Řešení se ukázalo samo. Abych to upřesnil. Pro jednotlivé porty na tplinku jsou vlany. Router u signamaxe tyhle vlany řídí. Zároveň je ale třeba se dostat na signamax management kterej ale neni tagovanej a je třeba se dostat i na tplinky který pro změnu jsou jenom tagovaný. Smířil jsem se s tim že signamax management tagovanej nikdy nebude (pokud se nezapne aktivní podpora vlanů ale to nechci) takže jsem na routeru udělal extra subnet a posadil ip adresu v mikrotiku přímo na ethernet a ne na vlan. Tim sem se dostal normální cestou k signamaxu. A teď co s tplinkem. Řešením je, vytvořit na tplinku další vlan skupinu, a vložit tam uplinkovej port a přepnout na dropování tag vlanu a nasadit na něj ip adresu z rozsahu signamaxe. Tim se totiž management začne ukazovat i na netagovaných paketech ze strany uplinku a všechny tplinky co vlanujou maji management v jednom rozsahu pro administraci včetně signamaxe což je pro spravování sítě podstatný ulehčení a nebere to ip adresu z rozsahu jednoho vlanu a odpadá spoustu věcí kolem.
Čistě v teoretický rovině, po trochu pohrání s nastavením by šlo hodit management tímto způsobem i do jinýho vlanu než jsou ostatní vlany pro ostatní porty.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků