nastavení VLANů mikrotik - TP-Link

[Star_Gate]

Zdravím. Může někdo poradit polopaticky jak nastavit mikrotik s TP-Linkovým switchem například TL-SL2218WEB a jeho 8 a 24 port kamarádama? pochopitelně mikrotik a jeden switch, ne tihle všichni

Na netu jsem našel jen málo návodů a nějak z toho nejsem moudrej. Je mi jasný že v Mikrotiku vytvořím VLANu, dám jí ID a libovolně si jí pojmenuju, ale nevím, jak to vymyslet se switchem.

Co se použití týká, tak chci mít na switchi port GIGA jako uplink a každýmu dalšímu portu přiřadit VLANu, který v mikrotiku dám /30 subnet. Jde mi o separaci klientů v paneláku tak, aby se vzájemně neviděli, měli pouze jednu IP v rozsahu pro konkrétního klienta ( když chcou víc tak router), druhá bude brána ale v případě, že se sousedi znaj, aby jim při zadání IP toho druhého šlo sdílet.

Předem díky za polopatický nakopnutí

[hapi]

udělám ti screeny.

To použití mě rochu zaráží protože to máme stejně až na to že máme centrální oprickej switch kterej to roztahá po panelákách a na každym vchodu je nějakej tenhle tplink kterej vlanuje pro každej port a hurá do bytu. U centrálního optickýho switche sedí router (450g) kterej obsluhuje aktuálně asi 60 vlanů a 60 dhcp serverů a konfortně přiděluje userům ip adresy protože díky vlanům se vi komu. Defakto to vypadá jako router s 60 porty. Useři se mezi sebou nevidí ale když chtěji tak komunikovat můžou, přes router, ale na to nikdo nepřijde

Takhle mám z jednoho místa přehled o 60 userech a můžu je operativně zkouknout z jednomo mikrotiku. User si koupí jenom switch případně jednoduchou wifku a jede.

[Star_Gate]

Jn, tak jako já tohle dělám taky s RB450 Pravda je že poprvé s VLANama Je to vlastně spoj na střechu v 5g ze situ a tam RB450 a switch za tím a kabel přímo do bytu usera V bytovkách se tohle nepěstovalo dřív, ale teď je třeba to oddělit. A DHCP jim dávat nechci, zbytečná starost a možnost chyby Pošlu ti do PM mail, tak mi to hoď buď sem, nebo na ten mail

[hapi]

možnost chyby u DHCPčka? no přes setup ve winboxu je to téměř nemožný

screeny už budou.

[hapi]

tohle je asi jasný, prvnotní přepnutí.

tplink_1.png (12.02 KiB) Zobrazeno 3339 x

tady si nastavíš vlan k paketu. Podle tohodle se označí PŘÍCHOZÍ paket, tedy na jaký port přišel. Prostě paket přijde z portu 5 a dá se mu vlan 205.

tplink_2.png (19.91 KiB) Zobrazeno 3339 x

no a tady si nastavuješ co se má s vlanem dělat, jestli se má vlan poslat s paketem nebo jestli ho má odstranit, podle toho jestli putuje k routeru nebo k userovy. Tohle je příklad pouze pro jeden vlan pro jeden port. Je to trochu zmatený. VLAN: jak je ta roleta, je jedno co tam zvolíš, to je jenom pořadí vlanu v zařízení, nemá to na nic vliv. VLAN ID už je samotný ID vlanu jako dáváš na routeru. No a pak zatrhneš nebo spíš spojíš porty který potřebuješ a jestli se má vlan dropovat nebo ne. Těhle položek uděláš tolik, kolik máš vlanů a vždy bude spoječnej v tvym případě giga port a u každý další položky se bude měnit VLAN ID a druhej párovej port.

tplink_3.png (28.17 KiB) Zobrazeno 3339 x

[hapi]

tady máš screen pro druhej vlan... a došel mi prostor pro přílohy

[Star_Gate]

Jasně, naprosto chápu. jen mi řekni co znamená PVID? to je VLAN ID co se dává do mikrotiku ?

Edit: blbnu, chápu. Děkuju za pomoc

[hapi]

PVID while receiveing an untag frame from the port,the switch will assign a tag to the frame,using the PVID of the port as its VID.

to je to číslo vlanu kterym se označí paket. Osobně dávám do PVID a do VLAN ID to samí. Vlastně jsem nikdy nezkoušel tam dát rozdílný čísla

Ono to asi jinak ani nepude protože když chceš posílat vlany přes jinej vlanovej switch do jednoho routeru (libová věc na tplinku, stávil jsem 3 hodiny na chodbě v paneláku než jsem na to přišel, ještě že EeePCčka vydržeji tak dlouho na baterky) tak tam píšeš vlany z jinýho switche právě do VLAN ID. Takže to na sobě závisí a troufám si tvrdit že by to pak jednim směrem teklo správně ale druhym ne.

Prostě PVID a VLAN ID stejný v jednom vlanu a hotovo.

[Star_Gate]

Jasně, to chápu. Díky moc za nakopnutí hapi, v pátek to nasazuju tak neni moc čas na chyby

[hapi]

hlavně si pamatuj. Paket se označuje číslem při vstupu do switche. Jinde ne. Pouze když přichází na port. V iptables by se to dalo přirovnat preroutingu. Takže pouze tam, ono to pak totiž dost podstatně mění smysl a pak ti i dojde jak spojit dva porty na switchy dohromady pod stejnej vlan. Přepíšeš PVID na stejný číslo a pak u VLANu zatrhneš oba ještě třetí port. Jo jdou s tim dělat kouzla.

Hlavně si nekupuj 3xxx nebo 5xxx řadu tplinků. Nebo leda by sis koupil 5xxx řadu a nacpal tam firmware z edge core jak tu někdo psal protože tam se to fakt nedá

[Pintero]

Hapi a jak resis management toho switche, mas ho na uplinku, VLAN ID1 ?

[Star_Gate]

Já to chci řešit tak, že dam switchi IP ve stejným rozsahu jako ethernet1. Jenom pro management

Edit: Spíš jsem zvědav, jestli se switch bude sekat. Myslím management jak se dost často uvádí u TP-Linků

[hapi]

kdybych nebyl blbej, tak už nejsem vážně nic. Nedavno jsem si tu s tim hrál a našel způsob jak přístup na management zajistit vždy. Hlava děravá.

Aktuálně v provozu je to tak že v jednom z vlanů, tedy v subnetu na vlanu je ipčko switche. Takhle to funguje.

Ono to tušim funguje jakkoliv, nezáleží jestli je na portu vlan nebo ne protože on se po chvilce zkoušení dostat se na něj nějak přizpůsobí a management se rozjede. Ovšem to trvá klidně 2 a víc minut.

[hapi]

Já to chci řešit tak, že dam switchi IP ve stejným rozsahu jako ethernet1. Jenom pro management

Edit: Spíš jsem zvědav, jestli se switch bude sekat. Myslím management jak se dost často uvádí u TP-Linků

on se neseká, jenom se na něj nedá dostat. To je rozdíl. Musíš mít IP v rozsahu kterej běží na vlanu a je to ok. Tedy ze strany routeru. Já to třeba mám posazený na první IP prvního klienta a v DHCPčku vyhrazená IP pro switch aby jí nepřiděloval klientovy.

Tedy ne rozsah ethernetu ale rozsah nějakýho vlanu.

[miract]

Pro management se da udelat NAT, ze vse co se chce pripojit na swich se zanatuje za IP mikrotiku(branu switche).