Russian Users MikroTik | Форум пользователей MikroTik

Здравствуйте, коллеги!

Прошу помочь советом по настройке устройства от производителя MikroTik. Постараюсь подробно описать проблему.

В организации имеется маршрутизатор RB1100AHx4, сама организация имеет некоторое количество выделенных каналов связи L2 VPN (VLAN). При настройке каналов связи, некоторые партнеры требуют изоляции сетевых подключений отдельными VLAN на нашей стороне.

В связи с этим возникают сложности по вопросам изоляции сетей на отдельные широковещательные домены (VLANы) на нашем оборудовании, а именно в производительности конфигурации которая будет на устройстве с учетом данных требований.

Данный маршрутизатор (RB1100AHx4) приобретался до устройства на работу в организацию, параметры железа были изучены мною уже после приобретения устройства другим работником (который покинул организацию). Основные минусы данного устройства, это микросхема коммутатора, базирующаяся на чипе RTL8367. У данного чипа, судя по информации с wiki mikrotik, отключаются полезные возможности при включении (иногда автоматическом) дополнительных функций и нагрузка ложится на ЦП маршрутизатора.

Опишу минусы чипа коммутации:
- отсутствие VLAN таблицы и таблицы правил;
- отключении аппаратной разгрузки моста при включении Bridge STP/RSTP, Bridge MSTP, Bridge IGMP Snooping, Bridge DHCP Snooping, Bridge VLAN Filtering, Bonding.

На данный момент на устройстве задействовано почти все имеющееся количество Ethernet интерфейсов. Конфигурация устройства с завода такова, что Ethernet интерфейсы изолированы друг от друга switch группами, которых на устройстве три - eth1-5 SW1 / eth5-10 SW2 / eth11-13 SW3. Сейчас некоторые Ethernet интерфейсы находятся в одном Bridge интерфейсе, но на разных switch группах, в связи с чем на некоторых Ethernet интерфейсах в мосту отсутствует флаг H (аппаратной разгрузки).

При текущей конфигурации порты изолируются друг от друга на канальном уровне, "колхозным", как мне кажется методом - созданием отдельных Bridge интерфейсов чуть ли не для каждого интерфейса - такая проблема также описана в вики (layer 2 misconfiguration).

В итоге с учетом сложившейся ситуации хочется изолировать Ehternet подключения друг от друга с использованием VLAN. Изоляция подключений будет базироваться на трех Bridge интерфейсах (на каждую switch группу) с включенной фильтрацией VLAN на мосту. Сами Bridge интерфейсы будут носителями VLAN интерфейсов для маршрутизации в подсети отдельных VLAN. Минусы такого решения - отключение аппаратной поддержки чипа коммутации и нагрузка на ЦП маршрутизатора (хотя сами Bridge интерфейсы при текущей конфигурации тоже используют ресурсы ЦП).

Вопрос относится больше к теоретически правильному построению сети с практической реализацией.

Коллеги, прошу описать как Вы решаете данную проблему. Стоит ли вообще заморачиваться по поводу изоляции сетей на L2 уровне (просто без этого происходит объединение сетей партнеров на L2 уровне без их ведома), если да, то в каких случаях? Данная конфигурация при практической реализации окажется жизнеспособной, сможет нормально функционировать при относительно большом, периодически, количестве трафика в сети?

P.S. Прошу прощения если написал в неподходящий раздел форума. Со всеми правилами форума ознакомиться еще не успел, исправлюсь.

а почему нельзя сделать один brige ? тогда у вас будет аппаратная разгрузка , а изоляцию трафика делайте через vlan

При изучении страниц Вики MikroTik по возможностям устройства, узнал что при объединении в один мост Ethernet интерфейсов на разных switch группах, отключается аппаратная поддержка моста и пропадает флаг H с интерфейсов на мосту.

Либо когда на данном switch поднято несколько Bridge интерфейсов (как сейчас), флаг H остаётся только на на одном мосту, так как чип коммутации должен поддерживать Port isolation.

Также если оставить включенным RSTP на мосту, на данном чипе коммутации тоже пропадет аппаратная разгрузка.

Далее придётся также настроить маршрутизацию в подсети VLAN и это у меня тоже вызывает сложности из-за неполного понимания функционирования VLAN на устройстве данного производителя.

При создании отдельного VLAN интерфейса на физическом интерфейсе и назначении ему ip адреса, этот интерфейс работает в тегированном режиме, а нужно направлять трафик без тега.

После создания Bridge интерфейса и назначении VLAN на каждый отдельный Ethernet интерфейс и одного тегированного интерфейса для них, при назначении ip адреса сразу на интерфейс доступа которому присвоен идентификатор VLAN, маршрутизация не работает


Возможности RouterOS изучаются в GNS3, возможно где-то мог ошибиться или запутаться в описании конфигурации, из-за работы на CHR (в котором нет меню switch).

svetogor82 писал(а): ↑22 июн 2022, 08:27 а почему нельзя сделать один brige ? тогда у вас будет аппаратная разгрузка , а изоляцию трафика делайте через vlan

Выполню настройку вашим способом, возможно где-то неверно понял мануал. Но по-моему флаг аппаратной разгрузки должен отключиться при объединении всех(3х) физических коммутаторов в один мост.

Маршрутизация должна будет тоже нормально работать при такой настройке.

Если конечно я Вас правильно понял:
- Brdige интерфейс в составе которого все имеющиеся Ethernet интерфейсы
- Включенный Bridge vlan filtering
- Настройки vlan's в меню bridge
- VLAN интерфейсы на единственном Bridge интерфейсе, для маршрутизации в другие VLAN (для устройства за маршрутизатором)

Либо когда Вы пишите про bridge и vlan, имеете ввиду настройки VLAN через меню Switch

mikrotik_user писал(а): ↑22 июн 2022, 09:55 При создании отдельного VLAN интерфейса на физическом интерфейсе и назначении ему ip адреса, этот интерфейс работает в тегированном режиме, а нужно направлять трафик без тега.

по смотрите как настраиваются vlan на mikrotik https://www.youtube.com/watch?v=wbmHmCDce5Y&t=2614s

Благодарю, видео действительно интересное и полезное.

Правда лектор использует также виртуальную среду и все примеры на "облачной" версии RouterOS, у него другого способа работать с VLAN кроме Bridge нет.

Настройки VLAN вроде ROAS (маршрутизатор на палочке) и другие стандартные по Вики, выполнялись мною ранее в виртуальной (лабораторной) среде. Представление сложилось как работает VLAN на MikroTik, но недостаточное.

Сейчас также как возможный вариант хочется узнать, возможно ли настроить устройство так, что настройка VLAN будет выполнена через switch меню на маршрутизаторе (допустим, без транкового интерфейса) а ip-адреса будут назначены на сами Ethernet интерфейсы доступа. Будет ли работать изоляция аппаратно(что наверное и произойдет) без создания Bridge интерфейса и заработает ли маршрутизация в другие VLAN (что маловероятно, но есть надежда на то, что когда маршрутизатор получит пакет в другую сеть, он всё-таки отправит пакет в другую (изолированную) сеть согласно своей таблице маршрутизации, как например это работает на CHR, у которого нет своего физического коммутатора, но имея ip-адреса на Ethernet интерфейсах которые не объединены в bridge, и физически(виртуально) изолированы на L2 уровне, пакет отправленный узлом за одним интерфейсом, все-равно доходит до другого узла, за другим интерфейсом, благодаря имеющимся записям в таблице маршрутизации - либо я всё-таки не до конца понял этот момент и все фреймы входящие на маршрутизатор принадлежат на самом деле каким-то образом стандартной VLAN по умолчанию (речь о CHR)

В общем если простыми словами, хочется просто иметь аппаратный(switch) VLAN и маршрутизацию на ЦП. Возможно придется приобретать для этого устройство на чипе коммутации Atheros8327.

Видео конечно ещё полностью не просмотрел, в процессе. Возможно найду ответ на свой вопрос.

Спасибо за отклик!

Вот интересно, у вас какие-то проблемы в описанной конфигурации. Кроме теоретических сомнений? Или вас количество бриджей смущает? Вон я сейчас у Illinory спросил, у него на такой же железке 200+ бриджей висит. И нет проблем. Вы бы с ним пообщались, возможно он что-либо и подсказал бы.

podarok66 писал(а): ↑22 июн 2022, 20:36 Вот интересно, у вас какие-то проблемы в описанной конфигурации. Кроме теоретических сомнений? Или вас количество бриджей смущает? Вон я сейчас у Illinory спросил, у него на такой же железке 200+ бриджей висит. И нет проблем. Вы бы с ним пообщались, возможно он что-либо и подсказал бы.

Возможно конечно я просто через чур критично отношусь к конфигурации которая должна быть на устройстве, просто хочется чтобы все работало хорошо и надежно, а настроено было правильно, по инструкции, без дилетантского использования имеющегося функционала.

Смущает количество бриджей и то, как они будут использоваться. И Вы верно подметили, теоретическая часть вопроса тоже интересна, будет ли из-за этого страдать производительность устройства. Своим ответом в какой-то степени Вы убавили переживаний по данному поводу. Остается только начать уже новую настройку маршрутизатора под потребности.

Благодарю за ответ и предоставленный контакт пользователя на форуме!

Тему наверное уже можно закрыть. Определенные выводы были сделаны.

Думаю будет также полезным изучить данный материал - "Углубленный курс по коммутации на MikroTik"

Спасибо!