Jak po novu na VLANy a bridge?

Návody a problémy s konfigurací.
Radek.Kovacik
Příspěvky: 91
Registrován: 6 years ago

Jak po novu na VLANy a bridge?

Příspěvekod Radek.Kovacik » 2 months ago

Protože jsem začal řešit úpravu konfigurace svého Mikrotiku (bližší info v tomto vláknu) a náhodně jsem narazil na tuto stránku ve wiki, chci se zeptat (všeobecně), jak by se správně po všech těch změnách od verze 6.41 měly vytvářet konfigurace s VLANy a bridgi?
Když jsem se snažil přelouskat si ty jednotlivé případy na uvedené stránce, tak mi to připadá, že všechno to, co se původně běžně a často používalo, že je dnes špatně a že se to má dělat jinak. Jaký na to máte názor vy?
Naposledy upravil(a) Radek.Kovacik dne 05 Jan 2019 10:56, celkem upraveno 1 x.
0 x

the.max
Příspěvky: 1199
Registrován: 11 years ago
Bydliště: Sudetten land
Kontaktovat uživatele:

Příspěvekod the.max » 2 months ago

Ono je to kus od kusu. Na něčem jsou v bridgi, někde ve switchi, záleží na konkrétním switch čipu v boardu. Nastavení mi přijde jednodušší na bridgi, ale musíš vycházet z toho, jakou máš desku.
0 x
Vysoce odborných omylů se dopouští jen specialisté.

Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.

Radek.Kovacik
Příspěvky: 91
Registrován: 6 years ago

Příspěvekod Radek.Kovacik » 2 months ago

Já jsem se dnes pokoušel migrovat konfiguraci z jednoho Mikrotiku na druhý a i když jsem vůbec při takové jednoduché věci nepředpokládal problémy, tak to nakonec dopadlo tak, že ten druhý MK jsem s tou existující konfigurací vůbec nerozjel, resp. ani DHCP server nepřidělil IP adresu počítači. Přitom tam jsou stejné switch čipy Atheros 8327 a pouze se liší samotná platforma - původní MK je MIPSBE a ten nový je ARM. Vypadá to, že to budu muset asi celé úplně od začátku naklikat. Problém je ovšem v tom, jak právě vyřešit ty VLANy a bridge, aby to bylo funkční (ideálně na obou zmiňovaných platformách). Co jsem viděl v té wiki dokumentaci, tak používám jednu z těch "špatných" konfigurací, ale nevím jak to překlopit tak, aby to fungovalo a abych při tom nepřišel o výkon toho switche.

Např. mi není jasný rozdíl mezi tím, když VLAN připojím do můstku přes menu /interface bridge port nebo přes menu /interface vlan.
0 x

the.max
Příspěvky: 1199
Registrován: 11 years ago
Bydliště: Sudetten land
Kontaktovat uživatele:

Příspěvekod the.max » 2 months ago

Tak já používám VLANy na CRS3xx a CRS1xx, tam mi to funguje. Ale na ostatních deskách, kde jsou právě ty AR8327 nebo AR8227 mi to nikdy pořádně nešlo.

Dej sem export konfigurace.
0 x
Vysoce odborných omylů se dopouští jen specialisté.

Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.

Radek.Kovacik
Příspěvky: 91
Registrován: 6 years ago

Příspěvekod Radek.Kovacik » 2 months ago

Stávající konfigurace je v příloze. Ta moje otázka v předchozím příspěvku se týkala těchto případů:

Kód: Vybrat vše

/interface vlan add interface=Bridge name=VLAN10 vlan-id=10

Kód: Vybrat vše

/interface bridge port add bridge=Bridge interface=VLAN10

V čem se to vlastně liší?
Přílohy
config.rsc
(5.83 KiB) Staženo 39 x
0 x

Radek.Kovacik
Příspěvky: 91
Registrován: 6 years ago

Příspěvekod Radek.Kovacik » 2 months ago

V příloze mám jednu konfiguraci, která by snad mohla fungovat, ale tam je pouze 1 VLAN. Otázka zní, jak to nakonfigurovat, aby fungovaly 3 VLANy současně (každá se svým rozsahem IP) a přitom aby se zachoval hw. offload na vestavěném switchi? S více VLANami jsem to zkoušel všelijak, ale uspokojivého výsledku jsem se nedobral. Buď mi to nefungovalo vůbec (DHCP server nepřiděloval IP), nebo se zrušil hw.offload. V jednom případě fungovaly ethernetové porty, ale nefungovala wifina. Už jsem z toho na prášky.
Máte někdo funkční konfiguraci, která by tyto požadavky splňovala?
Přílohy
config.rsc
(1.13 KiB) Staženo 22 x
0 x

ludvik
Příspěvky: 4079
Registrován: 7 years ago

Příspěvekod ludvik » 2 months ago

Hw offload bude fungovat dokud nezapneš vlan filtering (a ještě různé další drobnosti ...). To je věc fungující snad jen na CRS. V podstatě pokud naházíš ehternety do bridge, tak to hwoffloadované bude. Samozřejmě jen jeden bridge v rámci jednoho switch čipu.

Pokud na bridge přiřadíš VLANy, tak to stále bude offloadované. A už máš svoje řešení ...

Zde je k nalezení tabulka, co offload znemožní: https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge
Problémem je právě ten vlan filtering. Ten by chtělo aktivní, jenže to většinou nejde. Čili takto naházené VLAN na bridge jsou pak na všech ether v daném bridge.

Ohledně dalších možných zádrhelů je tato stránka: https://wiki.mikrotik.com/wiki/Manual:L ... figuration
Tvůj případ bude nejspíš "VLAN on a bridge in a bridge". Což je to, co potřebuješ pokud chceš VLAN společně s wifi v jednom bridge ... A jsi bez offloadu.
---

Ale ani "new bridge" neruší možnost definovat VLAN přímo na switch čipu, tak jako dřív. I když to zjevně také nefunguje všude (4011, 1101AHx4, četl jsem, nezkoušel jsem).

Kód: Vybrat vše

/interface ethernet switch port
#ether3, definována untagged VLAN a secure znamená, že neznámé VLAN budou zahozeny
set 2 default-vlan-id=80 vlan-header=add-if-missing vlan-mode=secure
#tohle je CPU port (příklad je z 450Gx4, ROS 6.42.11)
set 5 vlan-mode=fallback

/interface ethernet switch vlan
add independent-learning=no ports=ether3,switch1-cpu switch=switch1 vlan-id=51
add independent-learning=no ports=ether3,switch1-cpu switch=switch1 vlan-id=52
add independent-learning=no ports=ether3,switch1-cpu switch=switch1 vlan-id=80

Tahle konfigurace mi udělá tři VLANy na ether3, z toho jednu jako untagged (čili pro laika "simulace čistého ether").
Pak už jenom přidám klasickým způsobem tyto VLANy na ether3 jako interface. A s nimi pracuji úplně normálně. Akorát mě už vůbec nezajímá ether3.

Nějaký offload mě v tomto případě už nezajímá, protože stejně všechno musím mít přes CPU. A pokud náhodou ne, tak obdobně nadefinuji vlan i na jiném portu a to pak bude jen interní provoz switch čipu.
1 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

Radek.Kovacik
Příspěvky: 91
Registrován: 6 years ago

Příspěvekod Radek.Kovacik » 2 months ago

Je to tak, jak píšeš. Odkazované stránky už znám skoro zpaměti a právě ty popisované problémy byly důvodem, že jsem nevěděl, jak pokračovat dále. Původně jsem tam měl 4 bridge (jeden kvůli hw.ofload pouze na ethernety a na dalších třech byly navěšeny jednotlivé VLAny a wifiny včetně DHCP serverů). Na platformě MIPSBE to fungovalo, na ARMu už ne - a do teď nevím proč. Ta původní konfigurace je o pár příspěvků výše.
Ohledně tvé odpovědi bych potřeboval ujasnit některé věci:
ludvik píše:Pokud na bridge přiřadíš VLANy, tak to stále bude offloadované. A už máš svoje řešení ...

Myslíš to tak, že mám všechny VLANy navěšet na jediný bridge? Pokud ano, tak jakým způsobem (seshora, že celý bridge bude jakoby pod těmi 3 VLANami nebo jednotlivé VLANy přiřadit jako jeden z portů toho bridge)? Na tom příkladu na wiki, který zmiňuješ, jsou obě možnosti a já nerozumím tomu, v čem se ty dva bridge liší.

ludvik píše:Problémem je právě ten vlan filtering. Ten by chtělo aktivní, jenže to většinou nejde.

Hlavním problémem aktivního filtrování VLAN je nadměrné vytížení procesoru. Když jsem to zkoušel na tom novém ARMu (hAP AC2), tak i na téměř nevytížené síti to potřebovalo 30% výkonu procesoru na dvou jádrech. Starý RB751 to nezvládl vůbec.

Co se týká nastavení samotného switche, to by fungovat mohlo. Také jsem to tak používal. Protože to však začalo zlobit, tak to mám prozatím zrušené a až vyřeším ten problém mostů a VLANů, zkusím tu konfiguraci switche vrátit zpět.
0 x

ludvik
Příspěvky: 4079
Registrován: 7 years ago

Příspěvekod ludvik » 2 months ago

Jsme se v tom asi trochu zamotali. Dáš-li ethernety a wifi do jednoho bridge, bude to offloadované (ethernety, samozřejmě).
Přidáním VLAN na bridge máš nová rozhraní, které budou také offloadované - ale VLAN ID bude fyzicky na všech fyzických rozhraních. Což vadit může, ale nemusí.
Offload je jen to, že programuje switch čip za tebe. Mě se to také nelíbí, pro mě je to moc velký blackbox.

Jen bohužel nesmíš ty VLAN vrazit ještě do dalšího bridge. Filtering něco stojí.

Všechny problémy ti vyřeší konfigurace VLAN přímo na switch čipu. Jenže u některých to zjevně nejde (realteky myslím u té 4011 a 1101AHx4). Ale u 450Gx4 to jde, to je také ARM, ale s Atheros switchem.

Nebo se na to vykašli úplně, nech to na software - a ethernet si vyřeš nějakým samostatným switchem. Na doma je to vcelku fuk.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

Radek.Kovacik
Příspěvky: 91
Registrován: 6 years ago

Příspěvekod Radek.Kovacik » 2 months ago

Tato konfigurace také funguje, ale pouze když je povoleno filtrování VLAN. Jakmile filtrování vypnu, počítač nedostane IP adresu od DHCP. Oproti předchozí konfiguraci jsem pouze přehodil VLAN z ethernetu2 na bridge a DHCP server s rozsahem adres jsem přiřadil na VLAN. Proč to ale nefunguje s vypnutým filtrováním? Dělám něco špatně nebo je RouterOS nastavený tak, aby při vypnutém filtrování vůbec nepracoval s VLANami?
Přílohy
config.rsc
(2.15 KiB) Staženo 16 x
0 x

Radek.Kovacik
Příspěvky: 91
Registrován: 6 years ago

Příspěvekod Radek.Kovacik » 2 months ago

Podařilo se mi objevit tu chybu, kvůli níž ta poslední konfigurace (z předchozího příspěvku) nechtěla fungovat při vypnutém filtrování VLAN na bridgi. Chyběl tam tento řádek:

Kód: Vybrat vše

set 5 default-vlan-id=auto vlan-header=leave-as-is vlan-mode=secure

S ním už to jede. Na základě těchto pokusů jsem pochopil, že při vlan-filtering=no to pracuje s VLANami, které jsou nakonfigurované v sekci /interface ethernet switch a odpovídajících podsekcích, zatímco při vlan-filtering=yes RouterOS tato nastavení zřejmě ignoruje a používá definice VLAN ze sekce /interface bridge. Z tohoto důvodu je při zapnutém filtrování VLAN na bridgi lepší všechny konfigurace switche dát do defaultního stavu.

Nakonec jsem se dopracoval i k té své vytoužené konfiguraci se 3 VLANami a funkčním hw. offloadem. Konfigurace je v příloze, tak snad to někdy někomu pomůže, kdo s tím bojuje podobně jako já.

Ještě bych na tomto místě upozornil všechny, že není úplně šťastné používat příkaz export bez parametru verbose, neboť to často ukáže nekompletní konfiguraci a pak se velice špatně hledají chyby, neboť se zdá, že v konfiguraci nenastala žádná změna, ale ona tam je, jen se nezobrazila.
Přílohy
3vlany.rsc
(3.1 KiB) Staženo 41 x
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 6 hostů