Настройка VLAN

Обсуждение ПО и его настройки
ivldenis
Сообщения: 34
Зарегистрирован: 11 янв 2018, 21:45

Добрый день. Есть crs305-1g-4s+, далее crs326-24g-2s+, далее cisco SF200 и роутер.
На микротиках ничего не наторено. Работают в режиме одного бриджа. Хочу первый раз для теста сделать 1 VLAN. Нарисовал такую задачу. Один порт SFP-2 на crs305 изолировать в VLAN13. При этом все остальные порты должны пока работать, как и раньше. Я создал новый бридж1. Порт sfp-2 ввел в новый бридж. В настройке порта интерфейса VLAN указал PVID 13. Но что мне делать с портом, что который идет на crs326-24g-2s+? В настройках порта я могу ему назначить только один бридж. А как же дефолтный бридж, в котором остаются другие порты? Или не нужно делать новый бирдж для VLAN? И если я ему назначу admit-only-vlan-tagged, он будет пропускать трафик с интерфейсов которые не имеют никакого VLAN? Делал по одному из найденных в инете мануалов.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Еслу участвуют VLANы - бридж всегда один, дальнейшее разделение уже только VLAN’ами.

Ну если конечно не стоит задача буквально поделить коммутатор на несколько независимых.


Telegram: @thexvo
ivldenis
Сообщения: 34
Зарегистрирован: 11 янв 2018, 21:45

а что с портами не входящими ни в один влан?
Или задачу, что я хотел попробовать реализовать, не реализовывается?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

ivldenis писал(а): 28 май 2023, 09:53 а что с портами не входящими ни в один влан?
Это будет просто ещё один VLAN.
У многих брендов даже есть отдельная сущность: "native vlan" или "default vlan".
А на микротике, если ничего больше не трогать и только включить vlan-filtering на бридже - то это будет VLAN с pvid=1, нетегированный везде, включая выход на CPU (сам бридж, как L3-интерфейс).
ivldenis писал(а): 28 май 2023, 09:53 Или задачу, что я хотел попробовать реализовать, не реализовывается?
Вы её более конкретно обрисуйте - откуда и куда вы свой отдельный vlan хотите прокинуть?
Дотянуть до маршрутизатора?


Telegram: @thexvo
ivldenis
Сообщения: 34
Зарегистрирован: 11 янв 2018, 21:45

До маршрутизатора довести. На crs305 - порт №SFP-2 ввести в vlan13 и пробросить его до маршрутизатора через crs326, далее sg200 и маршрутизатор. Т.е. если я на дефолтном бридже включу vlan-filtering он автоматом все порты кинет в vlan1? Далее я в этом же бридже создаю нужный мне vlan13 добавляю в него порт SFP-2. Затем порт идущий далее в crs326-24g делаю тегированным - admit-only-vlan-tagged. На crs326-24g делаю аналогичную процедуру. Верно?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Примерно так.
Только если admit-only-vlan-tagged, то надо и этот vlan1 тоже тэгировать на этом порту, так что пока это не трогайте.

И вообще вероятность, что вы в процессе не отрубите себе наглухо любой доступ хотя бы к одному из свитчей - исчезающе мала.
Так что либо вынесите предварительно на каждом из них по одному из портов из бриджа, и цепляйтесь к свитчам для настройки через этот порт по мак-адресу, либо консольным кабелем.


Telegram: @thexvo
ivldenis
Сообщения: 34
Зарегистрирован: 11 янв 2018, 21:45

xvo писал(а): 28 май 2023, 14:25 Только если admit-only-vlan-tagged, то надо и этот vlan1 тоже тэгировать на этом порту, так что пока это не трогайте.
Так если у меня микротики соединяются одним портом. Как иначе? Как мне через порты соединяющие микротики мой vlan 13 еще пробросить?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Там может быть vlan1 в нетегированном виде, а все остальные (в вашем случае это только vlan 13) - в тегированном.
Так называемый hybrid port.
Это именно из соображений, чтобы много всего сразу не переделывать.

В идеале да, потом от этого лучше уйти - чтобы порты между коммутаторами были чисто транковыми - все vlan'ы были в тегированном виде.
Но тогда лучше и сменить "основной" vlan c 1 на что-то другое.


Telegram: @thexvo
ivldenis
Сообщения: 34
Зарегистрирован: 11 янв 2018, 21:45

xvo писал(а): 28 май 2023, 17:15 Там может быть vlan1 в нетегированном виде, а все остальные (в вашем случае это только vlan 13) - в тегированном.
А при включении на бидже vlan-filtering, он vlan1 получается делает не тегированным?
xvo писал(а): 28 май 2023, 17:15 Так называемый hybrid port.
Т.е. мне портам идущие на коммутаторы назначать admit all? Это имеется ввиду hybrid port?


ivldenis
Сообщения: 34
Зарегистрирован: 11 янв 2018, 21:45

Сделал vlan1, в нем в Untagget указал все порты, кроме идущего в другой микротик и порт который будет в VLAN13. Сделал vlan13. Таггелированый порт указал тот что идет в микротик. Порту для VALN13, назначил VLAN13 - admit only untagged and priority tagged. Порту идущему в микротик VPID1, admit all. Всем портам находящимся в vlan1 назначил admit only untagged and priority tagged. В бридже включил VLAN Filtering. Более доступа к управлению нет. Так должно было произойти? Ведь порту идущему в другой микротик назначено admit all

+смотрю, и компьютер заведенный в vlan1 не имеет доступ к управлению микротика через winbox


Ответить