classic.ISPforum.cz

Mohli by jste někdo nahodit nějaké demo s VLAN na mikrotiku? S mikrotikem začínáme a potřebovali bychom pošťouchnout demem

Lepší bude začít teorií

http://cs.wikipedia.org/wiki/IEEE_802.1Q
http://www.samuraj-cz.com/clanek/vlan-v ... a-network/
http://www.svetsiti.cz/clanek.asp?cid=V ... nam-242003

atd. atp.

ludvik píše:Lepší bude začít teorií

http://cs.wikipedia.org/wiki/IEEE_802.1Q
http://www.samuraj-cz.com/clanek/vlan-v ... a-network/
http://www.svetsiti.cz/clanek.asp?cid=V ... nam-242003

atd. atp.

Díky, teorii znám dobře. Nicméně na mikrotiku mi to nějak nefunguje tak jsem chtěl vidět na vlastní oči vlan mezi dvěmi mikrotiky aby mě to praštilo do oka.

Niesom vo vlanoch nejako extra zbehly . Natavene to mam takto . Mikrotik vs tp-link jetstream , v mk interfce pridas VLAN interface , nastavis mu VLAN ID:2 . V TP-linku nastavis vo 802.1Q VLAN - port config , port1 ktory bude pripojeny do mk nastav na Link type - general ostatne porty nastav na Access . Vo Vlan config zaskrtni port 1 a 2 a daj create , nastav tam VLAN ID: 2

Port 2 v tplinku by mal komunikovat uz len s VLANOm2 v mk .

Není co vidět ... je to normální síťové rozhraní do kterého padají jen některé pakety z toho "nadřízeného" ... nic víc v tom nehledej.

mashinepistole2 píše:Niesom vo vlanoch nejako extra zbehly . Natavene to mam takto . Mikrotik vs tp-link jetstream , v mk interfce pridas VLAN interface , nastavis mu VLAN ID:2 . V TP-linku nastavis vo 802.1Q VLAN - port config , port1 ktory bude pripojeny do mk nastav na Link type - general ostatne porty nastav na Access . Vo Vlan config zaskrtni port 1 a 2 a daj create , nastav tam VLAN ID: 2

Port 2 v tplinku by mal komunikovat uz len s VLANOm2 v mk .

Toto je v pořádku to mi funguje, ale cesta:
11ghz ceragon - mikrotik jako switch s vlan - 10G- mikrotik jako switch vlan - 10Ghz - mikrotik jako switch s vlan -AP 5Ghz
Nemůžeme se dopátrat toho, jak mikrotik nastavit tak, abychom se z prvního dostali až na poslední. Pořád v tom tápu a potřeboval bych zkrátka vidět záložku interface a adresy

Jo ty chceš vidět konfiguraci switche v mikrotiku ... to asi spousta lidí Protože to je tak neintuitivní, až by jeden brečel.

Ale jen tak mimochodem to v interfacích neuvidíš. Resp. nemáš důvod to tam mít. A pokud to tam uvidíš, tak je to jen ta menší práce ...

ludvik píše:Jo ty chceš vidět konfiguraci switche v mikrotiku ... to asi spousta lidí Protože to je tak neintuitivní, až by jeden brečel.

Ale jen tak mimochodem to v interfacích neuvidíš. Resp. nemáš důvod to tam mít. A pokud to tam uvidíš, tak je to jen ta menší práce ...

Ano přesně, je to neintuitivní a až mě to trefí do oka tak uvidím chybu. Udělal jsem si doma na test spoj přes 3 mikrotiky, ale pořád je někde chyba, ač se daří bandwitch test z 1 na 3 tak už se na něj ale přes winbox nepřihlásím, prostě v tom mám uplny guláš.

Tímto máš klasickou VLAN. V pojetí switche tagged. Reaguje jen na pakety s tagem 31. Je to pro tebe normální ethernet. Pokud ho potřebuješ "switchovat", musíš ho dát do bridge s jinou VLAN na jiném rozhraní. Ale může ti to stačit i takto samostatně (pokud ti "rozvlanování" dělá nějaký normálnější switch připojený k tomuto portu).


Tohle vytvoří tzv. untagged port (v mém případě to je Ether3), neboli PVID, též native-vlan. Co přijde a nemá tag, dostane 31. A co odchází, tomu se tag sebere. Na rovinu říkám, že nevím co by to udělalo, pokud bych tam na tom portu potřeboval VLANů víc ... Pojem always-strip mi nějak nesedí a nedostal jsem se k tomu to vyzkoušet (jelikož používám normální switche ...).

Pokud nepotřebuješ untagged port, tak budou asi lepší jiné módy, než fallback. Ke studiu něco na mikrotik wiki je.


Tohle určí, že ether3 vlan 31 zná - a také, že ho zná i CPU. Takže ho dostane i software - objeví se na rozhraní definované v prvním kroku.

Přidávání dalších VLANů je (mělo by být) jednoduché. Opakuješ si první a poslední krok VLAN, co jsou jen mezi porty by mělo stačit uvádět rozhraní, pokud to potřebuješ dostat do systému, tak i CPU.
---

Mimochodem tohle a konfigurace toho samého na websmart tp-link switchi bylo možná to nejsložitější, co mě v kariéře potkalo. Do teď mi není pořádně jasné, jestli to dělá to co chci pořádně. Zlatý prciny.

Někdy také pomůže, místo nadávání a obecných výkřiků, sem uvést konfiguraci s popisem co to má dělat. Takhle jednou jsem jel do Libuše v sobotu do rachoty a v Říčanech jsem zůstal viset. Proč sakra?

ludvik píše:Někdy také pomůže, místo nadávání a obecných výkřiků, sem uvést konfiguraci s popisem co to má dělat. Takhle jednou jsem jel do Libuše v sobotu do rachoty a v Říčanech jsem zůstal viset. Proč sakra?

Ve stručnosti je to tak, původně jsem ani vlan nechtěl řešit a přemýšlíme, zdali je řešit nebo ne. Jako switche používáme gigové Mikrotiky, protože se nám jeví přehlednější oproti klasickým switchům. Jedná se o skoky v 11 a 10Ghz s tím že je vždy ve vesnici RB,10ghz,10ghz a pár 5ghz AP. Veškerý shaping řeší centrální stroj kde je i firewall, takže na mikrotikach ktere jsou jako switch není nic kromě ip na management.
Možná varianta je dát RB do bridge či jako switch všechny porty a použít je pouze takto.
Pomocí vlan jsme chtěli řešit spíše zabezpečení sítě, aby se nestalo že se někdo připojí k ap a vyskenuje si co se mu zlíbí - to řešíme skrytým ssid, takže je to částečně vyřešebno. Teď bádám, zdali mají vlan vůbec cenu, nebo jsou zbytečné.

Skrytí SSID není žádné zabezpečení. To jen tak na okraj.

Na zbytek ti nikdo nedá jednoznačnou odpověď. Těch přístupů k věci je několik a žádný nemusí být špatný. Podobný přístup jako ty občas použiji, někdy se to hodí z hlediska výkonu (switchovat lze gigabit skoro na čemkoliv, routovat ovšem již ne). Jenže je to o dost méně flexibilní, než routing.

Zabezpečit switche i apčka lze i bez VLAN. Na mikrotiku máš plnohodnotný firewall. Na rozdíl od ceragonů a alcom Záleží jenom na tom, zda potřebuješ fast-path nebo ne (a podle toho se to musí napsat, což nemusí být triviální).

Zabezpečení PtP spojů je už jiná káva. Tam se oddělení managementu do VLAN používá běžně. A je na to určitě opět několik přístupů. Jeden je "malý" - každá jednotka má management zakončený na nejbližším routeru. A druhý je "velký" - v rámci celé sítě je jedna VLAN sdružující všechny managementy v síti. A pak je ještě třetí - je ti to jedno. Případně čtvrtý - stačí ti ACL seznam, který na těch zařízeních bývá.

ludvik píše:Skrytí SSID není žádné zabezpečení. To jen tak na okraj.

Na zbytek ti nikdo nedá jednoznačnou odpověď. Těch přístupů k věci je několik a žádný nemusí být špatný. Podobný přístup jako ty občas použiji, někdy se to hodí z hlediska výkonu (switchovat lze gigabit skoro na čemkoliv, routovat ovšem již ne). Jenže je to o dost méně flexibilní, než routing.

Zabezpečit switche i apčka lze i bez VLAN. Na mikrotiku máš plnohodnotný firewall. Na rozdíl od ceragonů a alcom Záleží jenom na tom, zda potřebuješ fast-path nebo ne (a podle toho se to musí napsat, což nemusí být triviální).

Zabezpečení PtP spojů je už jiná káva. Tam se oddělení managementu do VLAN používá běžně. A je na to určitě opět několik přístupů. Jeden je "malý" - každá jednotka má management zakončený na nejbližším routeru. A druhý je "velký" - v rámci celé sítě je jedna VLAN sdružující všechny managementy v síti. A pak je ještě třetí - je ti to jedno. Případně čtvrtý - stačí ti ACL seznam, který na těch zařízeních bývá.

Samozřejmě skryté ssid je jen berlička, k tomu máme všude WPA2 šifrování, jak na Ptp tak AP. Mikrotik jako switche jsem se rozhodl spíše do budoucna, zatím máme všude 100mbitové rádia, ale do budoucna se to změní.Fast-path potřeba asi nebude, RB budou jen jako switch a jediné co od nich chci tak abych se do nich přihlásil a viděl co se děje, což na klasickém switchi až tak nevidím.Takový 493G se všemi porty v bridgi nebude mít jistě problém s nějakým tokem kolem 200mbps, více zatím nepředpokládám. Předpokládám tedy že potom na těchto rb udělám vlan třeba 111 a ten mít na všech portech kde budou PtP spoje, v portu kde kde bude ap pro lidi vlana tím pádem nebude. bude to takto fungovat když budou všechny ethernety v bridgi? začínám uvažovat zdali nebude jednodužší na provedení se na vlan vykašlat.
Sít bude řádově do 500 zákazníků, spíše méně.

Switch a bridge jsou dvě různé technologie. A bridge je bližší routingu (tedy výkonem, funkcí je to switch). Mi přijde, že to vůbec nerozlišuješ.

Pokud chceš vidět víc informací, než na normálním switchi, tak musíš jít do softwarové cesty - routing, bridging. A na těchto krabičkách můžeš narazit na problémy do budoucna. Nezapomeň, že 200Mbit je jen jeden parametr ... na ten důležitější zapomínáš - výkon v paketech za vteřinu. A tam jakékoliv softwarové řešení kulhá na obě nohy, v porovnání s HW řešením. Jeden zblázněný klient a síť leží.

HW řešení bude také spolehlivější. Jak se jednou ty VLANy do čipu naprogramují, tak tam většinou zůstanou, dokud switch nevypneš. Ať už management funguje, nebo ne

Akorát nevím, jestli sázka na mikrotik je v tomto případě ta vítězná ... Pokud spojuješ jen ty rádia a o zbytek se stará zase něco jiného, je klasický switch podle mě lepší řešení. Samozřejmě mluvím o switchích s managementem ... ne o nějaké desktop Tendě.

Vlany jsou způsob, jak z jedné sítě udělat dvě a více v podstatě nezávislých. Jestli ti to k něčemu bude, to už si musíš rozhodnout sám.

Zatím nemám jasno jak bude vypadat finální varianta, proto se v tom občas ztrácím jak zkouším jiné varianty
Proč jsem volil RB je ten důvod, že jich zkrátka máme slušnou zásobu a ten menší provoz by zvládly, tím switch-bridge jsem myslel porty na RB, 493G neumí dát všechny porty do jednoho switche, kdežto bridge z toho udělá "vlastně switch" i když jen sw.
HW řešení je nákladnější, ale zase pokud by bylo stavěné od začátku tak asi spolehlivější, přecijen i mikrotik se kousne častěji než switch.
Mikrotik by měl sloužit tedy jen jako "switch" pro radia a AP na switchované sítí s centrálním shaperem.
Druhá varianta by byla routovaná sít s centrálním shaperem a všechny rozsahy by se staticky routovali, s tímto nemám problém, jen nevím, zdali tady bude stejně fungovat jeden stroj na shaping klientů. Takže by na jednom stroji byl nat a z něj routy až na koncové RB.
Switche typu tenda, airlive a podobné nechci na páteři vidět, na tu variantu mám nachystany 3 hp pro kurvičky. Ale už jsem viděl i jednoho isp co neměl zařízka v krabicích na půdě a byl tam obyč 5 port tplink a v něm vše