Zdravím pánové,
na rovinu - VLANy jsem nikdy nepotřeboval a pokud tak jen mezi pár switchy. U samostatných switchů nastavím jednotlivé VLANy k portům a port propojující switche nastavím jako trunk pro dané VLANy. Tak docílím oddělených sítí na více switchích.. Já ale teď řeším jiný problém. Moje síť je kompletně routovaná a mezi routerama jsou z 80% switche EdgeCore... Nyní potřebuji jednomu zákazníkovi poskytnout internet a dále mu poskytnout datový okruh pro propojení jeho druhé a třetí pobočky s jeho hlavní pobočkou. Zde se nabízela možnost poskytnout na každé budově internet a nastavit VPN, ale on požaduje okruh. Zde jsem si to tedy představoval tak, že mu na hlavní pobočce umístím switch, kde mu na jednou portu předám konektivitu a druhý port bych zařadil do VLAN, která by měla stejné ID jako port na switchi na druhé a třetí pobočce. Napadlo mě že by to asi šlo i tak, že bych mu na té hlavní pobočce předal 3 porty - internet, okruh na pobočku 2 a okruh na pobočku 3. Pokud jsem to ale správně pochopil - je to zbytečné, protože mu přes mou síť mohu vytvořit jako kdyby switch, který bude mít 3 porty (hlavní pobočka, pobočka 2 a pobočka 3).
Je to možné?
Když bych svou síť hodně zjednodušil a vytrhnul jen část která by šla k němu, tak by byla topologie taková:
Gateway -> Switch1 -> Switch2 -> Switch3 -> MK2011 -> Switch4 -> Switch5 -> Switch6 (zákazník hlavní pobočka)
..............................................................................-> Switch7 (zákazník první pobočka)
........................-> Switch8 -> MK2011 -> Switch9 -> Switch10 (zákazník druhá pobočka)
Z této hierarchie je dle mého možnost jednoduše zařadit do VLAN ID porty na Switchi u zákazníka 6 a 7 (ty se uvídí přes Switche 4 a 5), ale pokud bych se potřeboval dostat s VLAN ID do Switche 10, tak komunikace půjde přes MK2011 zpět až do Switche 1 a tudy přes switch 8 a další MK2011 do Switche 10.
Jestli jsem to tedy správně pochopil, tak VLAN se na MK chová jako další iface a tak musím na každém MK přidat do iface VLAN s požadovaným ID a to ke každému ether a potom dát ty VLANy do bridge, nebo jak se to prosím řeší? Někde jsem četl, že když na MK vytvořím VLAN a přidělím ji IP, tak ji mohu normálně routovat jako jiný ether, ale já té VLAN nechci přidělovat žádný rozsah - tady bude běhat nějaký vnitřní rozsah toho zákazníka...
Pokud jsem to pochopil úplně špatně, prosí Vás tedy o nastínění jak je nutné konfiguraci provést.
Předem moc děkuji!
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
VLAN přes router
VLAN je prostě další interface. A bridge je softwarový switch. Howg 
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Takže když to řeknu jednoduše - pokud mám dva switche a mezi nimi router a switche jsou k němu připojeny do ether1 a ether2, tak na switchi 1 a 2 přiřadím některé porty do třeba VLAN ID 50 a na MK routeru potom vytvořím VLAN 50 k ether1 a VLAN 50 k ether2 a následně dám ty dva VLANy do bridge? Nebo se to dá řešit i jinak?
0 x
Asi by to šlo řešit i konfigurací switche v tom mikrotiku. Jenže to ti už neporadím.
Případně na koncových routerech mu to poslat do EoIP tunelu.
Zkoumej
Případně na koncových routerech mu to poslat do EoIP tunelu.
Zkoumej
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
-
lemointernet
- Příspěvky: 53
- Registrován: 8 years ago
Záleží co přesně je tam za Mikrotik HW. Pokud má switch chip, tak se to dá nastavit přímo na něm a bude to hardwarová záležitost (méně náročné na systémové prostředky). Pokud switch chip nemá, pak se skutečně musí navěsit VLANy na ty dva příslušné interface a spak spojit do v bridge. IP adresy se nastavovat nemusí. Ještě pozor na (L2)MTU, musí být větší než 1500, jinak neprojdou pakety 1497 a vyšší a budou se fragmentovat.Dá se pohrát i s Q-in-Q, tedy řetězit VLANy pod sebe. V praxi by to tedy znamenalo že v síti by jste měli jen 1 VLANu pro tohoto zákazníka a ty pobočky zabalili do další VLAN. Pro úplnost ještě dodám, že Mikrotiky se switch chipem mají spoustu možností nastavení VLAN, včetně translation, takže to co je VLAN ID na začátku trasy nemusí být stejné VLANID na konci (je to takový NAT pro VLANy).
0 x
Děkuji za info! Toho jsem si nevšiml... Mám tam MK 2011 a ty mají switche... Tzn, že stačí v MK na switchi přidat VLAN, nastavit ID a porty které do toho spadají... Je to tak?
Ještě bych měl jeden dotaz - jak se chovají VLANy, když by měli projít přes "hloupý" switch? Projdou? Nebo ne?
Ještě bych měl jeden dotaz - jak se chovají VLANy, když by měli projít přes "hloupý" switch? Projdou? Nebo ne?
0 x
-
lemointernet
- Příspěvky: 53
- Registrován: 8 years ago
Zrovna RB2011 mají nějaký jednodušší switch. Umím to nakonfigurovat na CRS, ale na RB2011 jsem to nezkoušel. Možná to ve finále bude jednodušší. Pozor ale, RB2011 mají 2 switche. Jeden je gigový, druhý je 100mbit. Nevím jestli se dají propojit napřímo, ale přes bridge určitě ano.
Nevím jestli VLAN projde přes hloupý switch, to jsem nikdy nezkoušel, řekl bych ale že spíš ne, rámec nebude správně otagovaný na výstupu.
Nevím jestli VLAN projde přes hloupý switch, to jsem nikdy nezkoušel, řekl bych ale že spíš ne, rámec nebude správně otagovaný na výstupu.
0 x
Ano, dají. Kabelem.
Přes většinu to projde. Nějaké tagy je nezajímají a těch pár bajtů v paketu navíc zvládnou.
lemointernet píše:Zrovna RB2011 ... Nevím jestli se dají propojit napřímo ...
Přes většinu to projde. Nějaké tagy je nezajímají a těch pár bajtů v paketu navíc zvládnou.
lemointernet píše:Nevím jestli VLAN projde přes hloupý switch, to jsem nikdy nezkoušel, řekl bych ale že spíš ne, rámec nebude správně otagovaný na výstupu.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
-
lemointernet
- Příspěvky: 53
- Registrován: 8 years ago
ludvik píše:Ano, dají. Kabelem.lemointernet píše:Zrovna RB2011 ... Nevím jestli se dají propojit napřímo ...
Tak určitě
0 x
lemointernet píše:
Nevím jestli VLAN projde přes hloupý switch, to jsem nikdy nezkoušel, řekl bych ale že spíš ne, rámec nebude správně otagovaný na výstupu.
obyc switchi je uplne jedno co na nej pustis, fungovat to bude
0 x
ERnet tady, ERnet tam, ERnet vsude kam se podivam
Ještě bych měl jeden dotaz - jak se chovají VLANy, když by měli projít přes "hloupý" switch? Projdou? Nebo ne?
Hojda,
tuposwitch vubec netusi, ze existuje nejaka cast hlavicky, kde je ulozeny cislo vlany, takze otagovany packety zustanou otagovany a podle CAM tabulky se ti standardne odswitchujou. Mas pak danou vlanu dostupnou na vsech portech (coz vetsinou neni to prave orechove).
switche co umi praci s vlanama nejdriv mrknou, na ktere porty smi dana vlana odchazet a pak uz ji standarne switchujou podle cam tabulky.
0 x
...Linux is like a Wigwam. No Windows, no Gates, Apache inside...
Ahoj, nechci zakladat dalsi vlakno tak davam muj dotaz sem.
Pro dalsi pouziti jsem chtel vyzkouset VLAN mezi dvema RB 941 tak ze k prvnimu RB na eth4 pridam VLANa 10 na ni nastavim adr, pool, DHCP. K druhemu RB na eth1 pridam VLANb 10 kterou pres bridge propojim s eth4 a tim budu mit na druhem RB eth4 nastaveno to co je na VLANa na prvnim RB. Takove nastaveni vsak nefunguje.
Poradi nekdo jak na to? Diky.
Pro dalsi pouziti jsem chtel vyzkouset VLAN mezi dvema RB 941 tak ze k prvnimu RB na eth4 pridam VLANa 10 na ni nastavim adr, pool, DHCP. K druhemu RB na eth1 pridam VLANb 10 kterou pres bridge propojim s eth4 a tim budu mit na druhem RB eth4 nastaveno to co je na VLANa na prvnim RB. Takove nastaveni vsak nefunguje.
Poradi nekdo jak na to? Diky.
0 x
Nevím jestli jsem tě dobře pochopil ... ale na eth4 nebudeš mít NIC. V nejlepším případě to bude na bridge.
VLAN je jen další síťová karta. Tak na to koukej.
VLAN je jen další síťová karta. Tak na to koukej.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
No je tam jak rikas NIC. Predpokladal jsem ze VLAN se bude chovat jako dalsi interface a ze pres bridge dojde k propojeni eth a vlan jako bych pres nej propojil dva eth. Ale ouha.. a v mikrotik wiki to moc neresi...
0 x
Nastuduj si teorii. Bez toho to nepůjde.
Běžně dělám to, že mám na portu netagovaný traffic (třeba data z AP) a jako tagovaný jeho management - a ten je v bridgi s jinými VLANy (na jiných interface) a jinými ethernety.
Ve chvilku, kdy vytvoříš bridge musíš v podstatě na do něj zařazené interface naprosto zapomenout. Zajímá tě jen bridge (alespoň co se týče >L3).
Běžně dělám to, že mám na portu netagovaný traffic (třeba data z AP) a jako tagovaný jeho management - a ten je v bridgi s jinými VLANy (na jiných interface) a jinými ethernety.
Ve chvilku, kdy vytvoříš bridge musíš v podstatě na do něj zařazené interface naprosto zapomenout. Zajímá tě jen bridge (alespoň co se týče >L3).
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.