doporucte plis reseni pro zrejme neobvyklou potrebu s VLANy

[PepeOnAchair]

Ahoj,

muj problem je takovy:
Potrebuji sehnat zarizeni, ktere bude umet pracovat s VLAN TAGy tak, aby z paketu, ktere nesou urcity presne definovany TAG (treba 500) tento TAG uplne odstranilo (stripovalo). Tohle je zrejme kamen urazu, protoze toho Mikrotik neumi (jak mi potvrdili i na podpore Mikrotiku) a jedine switche, ktere mam k testovani jsou TP-Linky, ktere to taky nedavaji.

Dalsi, ale uz i Mikrotikem resitelny (pomoci switch features) pozadavek na to zarizeni je:
Ze jine oTAGovane pakety (tj. ne ty, ktere ma stripovat), aby nechalo beze zmeny projit skrz sebe dal. Zaroven musi umet paketum, ktere nemaji zadny TAG nejaky definovany TAG pridelit.

Netrvam na tom, aby jste mi poradili Mikrotik, shanim jakekoliv reseni (i se zacnu zajimat o ebtables v Linuxu apod, pokud to bude mit smysl). Pokud toto umi napriklad nejaky switch, doporucne mi prosim cokoliv, ale jen overene tipy. Je to vec, kterou potrebuji jen na docasne prechodne obdobi, rekneme mesic, cili pokud byste nekdo neco i zapujcil, dohodneme se.

Diky, Pep.

[soooc]

Ahoj,

muj problem je takovy:
Potrebuji sehnat zarizeni, ktere bude umet pracovat s VLAN TAGy tak, aby z paketu, ktere nesou urcity presne definovany TAG (treba 500) tento TAG uplne odstranilo (stripovalo). Tohle je zrejme kamen urazu, protoze toho Mikrotik neumi (jak mi potvrdili i na podpore Mikrotiku) a jedine switche, ktere mam k testovani jsou TP-Linky, ktere to taky nedavaji.

Dalsi, ale uz i Mikrotikem resitelny (pomoci switch features) pozadavek na to zarizeni je:
Ze jine oTAGovane pakety (tj. ne ty, ktere ma stripovat), aby nechalo beze zmeny projit skrz sebe dal. Zaroven musi umet paketum, ktere nemaji zadny TAG nejaky definovany TAG pridelit.

Netrvam na tom, aby jste mi poradili Mikrotik, shanim jakekoliv reseni (i se zacnu zajimat o ebtables v Linuxu apod, pokud to bude mit smysl). Pokud toto umi napriklad nejaky switch, doporucne mi prosim cokoliv, ale jen overene tipy. Je to vec, kterou potrebuji jen na docasne prechodne obdobi, rekneme mesic, cili pokud byste nekdo neco i zapujcil, dohodneme se.

Diky, Pep.

Tedy, nic speciálního nepotřebuješ, stačí ti switch, co umí pracovat s tagged a untagged Třeba es3528m. A vše, co jsi popsal, je definováno ve standardu kolem VLAN. A mam podezreni, ze to i v mikrotiku jde asi vse definovat, jen se s tim opruz s ruznymi bridge a tak.

[PepeOnAchair]

Tak to by bylo fajne, protoze na nejake Edge-Core switche cekame, jen nevim, kdy dorazi.

[hapi]

tohle všechno ti zvládne i RB250GS

[ludvik]

Oni to zvládnou i některé TPlinky, ale přijít na to, jak je to v tom webovém rozhraní myšleno, to je na dlouhý zimní večer ... už mi to nesmí do baráku. V mikrotiku by to mělo jít taky (switch čip to umí určitě), ale mám takový zvláštní pocit, že někdo něco podělal a ve skutečnosti to definovat nejde. Možná jsem ale jenom hloupější, než oni ...
Pokud ti stačí 24x100+4xG, tak je edgecore ES3528M dobrá volba.
Některé switche umí i překlad VLANů, číslo za číslo, takovou NATku. Třeba DCNka. Ale nevím jestli úplně všechny typy.

P.S.: není to neobvyklá potřeba. Ale naprosto běžná

[PepeOnAchair]

tohle všechno ti zvládne i RB250GS

Diky za reakci. Tvoje odpoved me svadi k tomu zeptat se jak to na tom RB nastavit, staci principielne, presnych prikazu netreba

Zkousel jsem uz hodne hodne hodin nastavovat to na RB750G.
Moje zkracene zavery z dvou hlavnich zpusobu, jak jsem to zkousel resit na Mikrotiku:
1) pri pouziti VLAN inteface pridaneho do bridge (fyzicky interface, na ktery je VLAN nastaveny v bridgi samosebou neni) nelze timto fyzickym interfacem a samozrejme ani tim jeho VLAN interfacem propoustet jak TAGovane pakety tak zaroven i neTAGovane.

2) pouzitim "switch features" zase skoncim tam, ze port switche, ktery ma stripovat TAGy je neumi stripovat podminecne na zaklade toho, ze pakety nese urcity TAG. (odtagovani/stripovani se provadi na portu jeho nastavenim do modu "always-strip")

V bodech 1) a 2) jsem se snazil popsal jen elementarni kameny urazu, ten, kdo si ty body pozorne precte, by mohl namitnout, ze v obou resim neco jineho, je to pravda, ale cilem je to same s pouzitim jeste jinych jiz zvladnutych nastaveni, verte mi

Co jsem totiz nenapsal do uvodniho dotazu a je to dost dulezite je to, ze na tom zarizeni potrebuji zpracovavat dvoji provoz a to jen na zarizeni, kteremu staci 2 ethernet porty:
a) TAGovany, ktery v podstate beze zmeny projde v obou smerech
b) a ten problemovy provoz je: neTAGovany, ktery bude prichazet jen na jeden port, v zarizeni mu bude prideleny TAG rekneme 500 a ze zarizeni jiz odchazi jako TAGovany. Druhy smer toho provozu bude zase obracene, takze prijde paket s TAGem 500, zarizeni ho uplne odTAGuje a posle dal.
A ta elementarni vec, ktera zrejme nejde je ta, ze boy a) i b) potrebuju provadet na stejnych portech. Zarizeni muze mit tudiz jen 2 ethernet porty.

V pripade potreby se rad rozepisu vic nebo to namaluju.
Diky
Je totiz mozne, ze jsem se v tom uz tak zahrabal, ze jednoduche reseni nevidim.

[PepeOnAchair]

Oni to zvládnou i některé TPlinky, ale přijít na to, jak je to v tom webovém rozhraní myšleno, to je na dlouhý zimní večer ... už mi to nesmí do baráku. V mikrotiku by to mělo jít taky (switch čip to umí určitě), ale mám takový zvláštní pocit, že někdo něco podělal a ve skutečnosti to definovat nejde. Možná jsem ale jenom hloupější, než oni ...
Pokud ti stačí 24x100+4xG, tak je edgecore ES3528M dobrá volba.
Některé switche umí i překlad VLANů, číslo za číslo, takovou NATku. Třeba DCNka. Ale nevím jestli úplně všechny typy.

P.S.: není to neobvyklá potřeba. Ale naprosto běžná

Diky za reakci. Maji nam prijit switche ES4528V, takze pocitam, ze to na nich pujde. TP-Linky, na kterych jsem to zkousel jsou napriklad "TL-SL2218W", tj. ta nejobycejnejsi rada s managementem. No, zrejme jeste zkusim chvili busit i do toho TP-Linku, uff.

Cast reakce z Mikrotiku: "We have plans for adding a feature that allows to separate tagged from untagged traffic on ethernet interface, but currently there are no estimates."

[ludvik]

nechápu, proč se MK někde neinspiroval a nepoužil něco "kompatibilního" pro administrátora.

Na normálním switchi uděláš něco jako toto:
interface ethernet 1
switchport mode hybrid
switchport allowed vlan add 500 untagged
switchport native vlan 500
switchport allowed vlan add 501-505 tagged
interface ethernet 2
switchport mode trunk
switchport allowed vlan add 500-505 tagged

Co přijde na port 1 bez VLAN tagu, vyfasuje 500 a podle toho odchází, tedy portem 2. Tam není "native vlan 500" (některé switche tomu říkají PVID), takže tam ten tag zůstane. Co tam přijde tagované, nemění se. Pokud přijde něco s nedefinovaným tagem, zahodí se.
Native vlan zároveň znamená, že pakety s vlan tagem 500 mají automaticky tento tag na outputu odstraněn. Takže na vstupu portu 2 se s tím nedělá nic, pošle na port 1 a tam se to odstraní.

Pojem "trunk" se občas u různých výrobců liší. Např. u edgecory to znamená, že tamtudy může chodit jen tagovaný provoz, kdežto u cisca a třeba DCN to je "jen tagovaný, kromě native vlan" (nedefinovaná native znamená 1). Občas se toho lze zbavit direktivou ala "switchport acceptable-frames tagged". A u takovýchto switchů je pak hybrid něco, co zvládne víc VLAN netagovaných (i když u edgecory asi také). Což je sice na první pohled nesmysl, ale bylo mi vysvětleno, že se to používá pro funkce typu MAC VLAN, IP segment VLAN, atp (tedy přiřazování do VLANy na základě jiných informací z paketu než je 802.1q tag).

Vraž si tam malou edgecoru ES3510MA a máš klid

Hapi mě sice asi zase nařkne, že ty mluvíš o koze a já o voze, ale smysl mého příspěvku je ještě jeden: fakt by mě zajímalo, jak tohle udělat na mikrotiku (třeba na RB450G).

Co jsem totiz nenapsal do uvodniho dotazu a je to dost dulezite je to, ze na tom zarizeni potrebuji zpracovavat dvoji provoz a to jen na zarizeni, kteremu staci 2 ethernet porty:
a) TAGovany, ktery v podstate beze zmeny projde v obou smerech
b) a ten problemovy provoz je: neTAGovany, ktery bude prichazet jen na jeden port, v zarizeni mu bude prideleny TAG rekneme 500 a ze zarizeni jiz odchazi jako TAGovany. Druhy smer toho provozu bude zase obracene, takze prijde paket s TAGem 500, zarizeni ho uplne odTAGuje a posle dal.
A ta elementarni vec, ktera zrejme nejde je ta, ze boy a) i b) potrebuju provadet na stejnych portech. Zarizeni muze mit tudiz jen 2 ethernet porty.

[ludvik]

Tenhle switch jeden mám. Vzal jsem ho na zkoušku, protože je plnogigový a fyzicky malý (a docela laciný). Ale z firmwaru jsem byl tak odvařený (není to klasika edgecore, ani "cisco-like"), že mi leží pod stolem a tam taky zůstane na věky věkův. Ať mají archeologové co zkoumat.
Ale tvoje potřeby tam nějak nastavíš určitě ...

Maji nam prijit switche ES4528V, takze pocitam, ze to na nich pujde.

[PepeOnAchair]

nechápu, proč se MK někde neinspiroval a nepoužil něco "kompatibilního" pro administrátora.

Na normálním switchi uděláš něco jako toto:
interface ethernet 1
switchport mode hybrid
switchport allowed vlan add 500 untagged
switchport native vlan 500
switchport allowed vlan add 501-505 tagged
interface ethernet 2
switchport mode trunk
switchport allowed vlan add 500-505 tagged

Co přijde na port 1 bez VLAN tagu, vyfasuje 500 a podle toho odchází, tedy portem 2. Tam není "native vlan 500" (některé switche tomu říkají PVID), takže tam ten tag zůstane. Co tam přijde tagované, nemění se. Pokud přijde něco s nedefinovaným tagem, zahodí se.
Native vlan zároveň znamená, že pakety s vlan tagem 500 mají automaticky tento tag na outputu odstraněn. Takže na vstupu portu 2 se s tím nedělá nic, pošle na port 1 a tam se to odstraní.

Pojem "trunk" se občas u různých výrobců liší. Např. u edgecory to znamená, že tamtudy může chodit jen tagovaný provoz, kdežto u cisca a třeba DCN to je "jen tagovaný, kromě native vlan" (nedefinovaná native znamená 1). Občas se toho lze zbavit direktivou ala "switchport acceptable-frames tagged". A u takovýchto switchů je pak hybrid něco, co zvládne víc VLAN netagovaných (i když u edgecory asi také). Což je sice na první pohled nesmysl, ale bylo mi vysvětleno, že se to používá pro funkce typu MAC VLAN, IP segment VLAN, atp (tedy přiřazování do VLANy na základě jiných informací z paketu než je 802.1q tag).

Vraž si tam malou edgecoru ES3510MA a máš klid

Hapi mě sice asi zase nařkne, že ty mluvíš o koze a já o voze, ale smysl mého příspěvku je ještě jeden: fakt by mě zajímalo, jak tohle udělat na mikrotiku (třeba na RB450G).

Co jsem totiz nenapsal do uvodniho dotazu a je to dost dulezite je to, ze na tom zarizeni potrebuji zpracovavat dvoji provoz a to jen na zarizeni, kteremu staci 2 ethernet porty:
a) TAGovany, ktery v podstate beze zmeny projde v obou smerech
b) a ten problemovy provoz je: neTAGovany, ktery bude prichazet jen na jeden port, v zarizeni mu bude prideleny TAG rekneme 500 a ze zarizeni jiz odchazi jako TAGovany. Druhy smer toho provozu bude zase obracene, takze prijde paket s TAGem 500, zarizeni ho uplne odTAGuje a posle dal.
A ta elementarni vec, ktera zrejme nejde je ta, ze boy a) i b) potrebuju provadet na stejnych portech. Zarizeni muze mit tudiz jen 2 ethernet porty.

diky, nemluvil jsi o koze, protoze me zajimalo jakekoliv reseni (a primarne neverim, ze to na Mikrotiku jde), takze jsi mi odpovedel velmi presne. Predpokladam, ze ty prikazy jsou z Edgecore switche?
Ten switch ES3510MA jsem koukal, ze ma jen 2Gigova porty. Slo by to, co popisujes nastavit na nich? Potrebuju pres to hnat aktualne zhruba 300Mbit.

[PepeOnAchair]

Tenhle switch jeden mám. Vzal jsem ho na zkoušku, protože je plnogigový a fyzicky malý (a docela laciný). Ale z firmwaru jsem byl tak odvařený (není to klasika edgecore, ani "cisco-like"), že mi leží pod stolem a tam taky zůstane na věky věkův. Ať mají archeologové co zkoumat.
Ale tvoje potřeby tam nějak nastavíš určitě ...

Maji nam prijit switche ES4528V, takze pocitam, ze to na nich pujde.

Timhle jsi me trosku znervoznil , protoze tech switchu planujeme koupit relativne hodne. Rikas, ze firmware neni dobry? Na co bych si mel dat pozor a jaky je rozdil oproti tomu, kdyby to byl "klasicky edgecore"?

Od tech edgecore switchu potrebuju predevsim toto:
- 16 az 24 GIGAbit metalickych portu + 1-2 SFP sloty, ve kterych budou fungovat SFP moduly i jinych vyrobcu nez Cisco
- hloubka switche maximalne 26 az mozna i 30cm (pokud by byl nejaky switch 35cm, museli bychom otestovat, jestli by se vesel)
- vyska nejlepe 1U
- STP, RSTP, (MSTP)
- SNMP, plnohodnotna CLI kvuli sprave dohledovymi skripty – potrebujeme predevsim vypis STP udaju a MAC adres
- do racku 19``
- „prehledne„ web management rozhrani
- min. 8000 zaznamu pro MAC adresy

- jake je omezeni na pocet (R)STP switchu v jednom okruhu? Clovek z Proficomms rikal, ze je to omezene na jen 7 switchu v (R)STP okruhu, coz mi nestaci, ale chci se o tom sam presvedcit.

[ludvik]

Rozdíly ti nepovím, už je to dlouho a zapínat se mi to nechce (pokud si dobře pamatuji, tak CLI rozhodně plnohodnotné nebylo). Ale parametricky ti to požadavky splní. To asi jo.

V portech u ES3510MA rozdíl není. A alespoň je tam combo. Plus nové FW umí RA-guard, ale to ty asi nepotřebuješ.

Pokud upustíš od MSTP, tak asi budeš mít větší výběr.

Tvoje požadavky splňuje ES4524D, jenže má na hloubku 33cm (plus tedy čouhající patchkabely a patchcordy) a je trochu hlučná.

Sladit "dobré CLI" a "přehledný WEB" bývá též problém. U těch s plnohodnotným CLI nebývá ve web rozhraní vše. A např. web u DCN mě tedy moc nepřesvědčil, chová se občas podivně - třeba na informační funkce se musí klikat v podstatě dvakrát, napoprvé to provede a teprve napodruhé zobrazí. U edgecor zase v některých verzích rozjebal VLANy při uložení z webu. A u ES4612 třeba dokáže padnout i firefox, pokud se dělá něco s MSTP (i když myslím, že už je to opravené). Někdy bývá problém třeba to, že z webu se ty úpravy dělají dávkově, snaží se pracovat se všemi porty naráz, kdežto v CLI dělám online jen s jením portem. Obecná rada je - mám-li CLI, nelezu na web

A občas je problém i s CLI Teď už nevím jaká edgecora a jaká verze FW to udělala, ale oni tam mají speciální VLAN 4093 pro clustering. Je tam tak nějak furt jako default. Ale v jedné verzi to změnili. Takže když se switch upgradoval přestalo to fungovat, neboť se neprovedl žádný příkaz switchport z konfigurace, který tuto VLANu v sobě měl. A to byly vlastně všechny ... takže switch přestal vlanovat.

Pokud to má být "access" switch, tedy něco kam se připojují i lidi, tak také koukej po funkci loopback-detection, samozřejmě DHCP snooping a v dnešní době je ještě dobré alespoň RA-guard (to umí ale jen DCN a z edgecor jen ES3510MA, cisca a podobné vyšší kategorie neznám).

Omezení na počet switchů se mi tedy moc nezdá. Už teď mám 5 ES4524, 2 ES4612 v jednom MSTP regionu. A na test tam mám ještě osmý DCN DCRS-5960. Ale nejdelší trasa k root switchi jsou 4 hopy.

[Majklik]

Omezení na počet switchů se mi tedy moc nezdá. Už teď mám 5 ES4524, 2 ES4612 v jednom MSTP regionu. A na test tam mám ještě osmý DCN DCRS-5960. Ale nejdelší trasa k root switchi jsou 4 hopy.

MSTP to počítá kapánek jinak, než klasické STP/RSTP.

- jake je omezeni na pocet (R)STP switchu v jednom okruhu? Clovek z Proficomms rikal, ze je to omezene na jen 7 switchu v (R)STP okruhu, coz mi nestaci, ale chci se o tom sam presvedcit.

Těch 7 switchů v kruhu je "profesionální mýtus". Správně je to dáno nastavením časovačů R/STP:
MaxAgeTimer >= 4*HelloTimer + 2*PocetSwitchu - 2
Pro doporučené default hodnoty časovačů ti to dává těch 7 switchů v kruhu. Pokud to nedodržíš dle toho vzorce a bude switchů víc, tak se ti zformuje ve vzdálenosti za MaxAge další root bridge a zvesela to udělá otevřenou smyčlu.
Takže se podívej v jakém rozsahu jdou ty časovače nastavit na všech těch switchích v R/STP doméně a dle toho si spočítej kolik switchů můžeš zakruhovat a nastav všude ty časovače na stejné hodnoty. Řada výrobců (i u různých řad u jendoho) má různé limity těch časů. Naopak, pokud máš switchů málo, můžeš časování stáhnoutr pro rychlejší rekonfiguraci.

Potom na tohle jde se spolehnout u STP, jakmile zapneš RSTP, tak řada výrobců do toho vnáší různá svoje vylepšení - pokud budeš mixovat switche, je třeba si to pohlídat, aby si všichny sedly (pokud mix různých, zjistit, co dělají a vypnout, pokud lze, jinak hrozí různá magie při různých výpadcích).

A pak nezapomínat, že R/STP bylo zamýšleno pro LAN, kde je těh switchů pár. Pokud stavíš metropolitní síť, tak je lepší šáhnout po switchích s MSTP, kde se počítá s větším počtem switchů (roli časovačů nahrazuje v podstatě max hop limit). Já vím, řada levnějších switchů to vůbec neumí nebo blbě, přestože jejich výrobci blábolí o otm, že to je MAN switch.

Hapi mě sice asi zase nařkne, že ty mluvíš o koze a já o voze, ale smysl mého příspěvku je ještě jeden: fakt by mě zajímalo, jak tohle udělat na mikrotiku (třeba na RB450G).

Hapík psal o použití RB250GS, což je switch s swOS. Neznám do detailů, ale je možné, že to v něm jde uklikat (ten použitý čip to umí).
Co se týče použití klasického RouterBoardu typu RB450G, tak nejde použít přes switchcip (fyzický brouk to umí, ale klikátko nepodporuje). Jde ot ale udělat pomocí SW bridge, jenom je to pakárna. Pokud by mělo jít o vlan500 až 503 a pro 500 chci z jedné strany přídávat tag a z druhé odebírat. cca:
/interface bridge add name=br-vlan500
/interface bridge add name=br-vlan501
/interface bridge add name=br-vlan502
/interface bridge add name=br-vlan503
/interface vlan add name=v501i1 interface=ether1 vlan-id=501
/interface vlan add name=v502i1 interface=ether1 vlan-id=502
/interface vlan add name=v503i1 interface=ether1 vlan-id=503
/interface vlan add name=v500i2 interface=ether2 vlan-id=500
/interface vlan add name=v501i2 interface=ether2 vlan-id=501
/interface vlan add name=v502i2 interface=ether2 vlan-id=502
/interface vlan add name=v503i2 interface=ether2 vlan-id=503
/interface bridge port add bridge=br-vlan500 interface=ether1
/interface bridge port add bridge=br-vlan500 interface=v500i2
/interface bridge port add bridge=br-vlan501 interface=v501i1
/interface bridge port add bridge=br-vlan501 interface=v501i2
/interface bridge port add bridge=br-vlan502 interface=v502i1
/interface bridge port add bridge=br-vlan502 interface=v502i2
/interface bridge port add bridge=br-vlan503 interface=v503i1
/interface bridge port add bridge=br-vlan503 interface=v503i2

Na některé věci je ale lepší používat switch, který je k tomu určen...

[ludvik]

Majklik: mě šlo právě o RB450 (či 1100 apod) právě proto, že leckde už je a občas by se to mohlo hodit. K softwarovým bridgům mám přirozený odpor a když vyloženě nemusím, nepoužívám.

Za informaci o RSTP dík, tohle mě teda nedocvaklo.

[hapi]

tohle všechno ti zvládne i RB250GS

Diky za reakci. Tvoje odpoved me svadi k tomu zeptat se jak to na tom RB nastavit, staci principielne, presnych prikazu netreba

Zkousel jsem uz hodne hodne hodin nastavovat to na RB750G.
Moje zkracene zavery z dvou hlavnich zpusobu, jak jsem to zkousel resit na Mikrotiku:
1) pri pouziti VLAN inteface pridaneho do bridge (fyzicky interface, na ktery je VLAN nastaveny v bridgi samosebou neni) nelze timto fyzickym interfacem a samozrejme ani tim jeho VLAN interfacem propoustet jak TAGovane pakety tak zaroven i neTAGovane.

2) pouzitim "switch features" zase skoncim tam, ze port switche, ktery ma stripovat TAGy je neumi stripovat podminecne na zaklade toho, ze pakety nese urcity TAG. (odtagovani/stripovani se provadi na portu jeho nastavenim do modu "always-strip")

V bodech 1) a 2) jsem se snazil popsal jen elementarni kameny urazu, ten, kdo si ty body pozorne precte, by mohl namitnout, ze v obou resim neco jineho, je to pravda, ale cilem je to same s pouzitim jeste jinych jiz zvladnutych nastaveni, verte mi

Co jsem totiz nenapsal do uvodniho dotazu a je to dost dulezite je to, ze na tom zarizeni potrebuji zpracovavat dvoji provoz a to jen na zarizeni, kteremu staci 2 ethernet porty:
a) TAGovany, ktery v podstate beze zmeny projde v obou smerech
b) a ten problemovy provoz je: neTAGovany, ktery bude prichazet jen na jeden port, v zarizeni mu bude prideleny TAG rekneme 500 a ze zarizeni jiz odchazi jako TAGovany. Druhy smer toho provozu bude zase obracene, takze prijde paket s TAGem 500, zarizeni ho uplne odTAGuje a posle dal.
A ta elementarni vec, ktera zrejme nejde je ta, ze boy a) i b) potrebuju provadet na stejnych portech. Zarizeni muze mit tudiz jen 2 ethernet porty.

V pripade potreby se rad rozepisu vic nebo to namaluju.
Diky
Je totiz mozne, ze jsem se v tom uz tak zahrabal, ze jednoduche reseni nevidim.

Na normálním RBčku to neuděláš. RB250GS je L2 switch, neni tam mikrotik ale swos.