AbcLinuxu:/ Poradna / Hardwarová poradna / Mikrotik - více variant konfigurace sítě?

Štítky: DHCP, Internet, konfigurace, mikrotik, problém, server, SFP, síť, sítě, switch, VLAN

Dotaz: Mikrotik - více variant konfigurace sítě?

9.2.2019 21:20 __blr__
Mikrotik - více variant konfigurace sítě?

Přečteno: 3502×

Odpovědět | Admin

Zdravím,

vytvářím domácí síť s následujícími potřebami:

1 Mikrotik (RouterOS) jako NAT/FIREWALL/DHCP:
- ether1 - WAN
- ether2 - síť 100 - 10.100.0.1/24
- ether3 - síť 200 - 10.120.0.1/24
- ether4 - síť 300 - 10.130.0.1/24
- SFP - VLAN trunk do Mikrotik switch

Switch:

- port1 - síť 100
- port2 - síť 200
- port3 - síť 300
- port4 - síť 300
- port5 - síť 300
- SFP - VLAN trunk do Mikrotiku viz. výše

Switch mám nastavený a vyzkoušený jak potřebuju.

Pročítám manuály do Mikrotiku, jejich dokumentaci a tutoriály a docházím k závěru, že tento problém lze vyřešit dvěma způsoby (možná více).

První způsob:

Vytvořit interface:
- SFP-vlan-100
- SFP-vlan-200
- SFP-vlan-300

Vytvořit 3 bridge:
- bridge-100 s interfaci: ether2, SFP-vlan100
- bridge-200 s interfaci: ether3, SFP-vlan200
- bridge-300 s interfaci: ether4, SFP-vlan300

Druhý způsob:

Vytvořit bridge:
- bridge1 s interfaci: ether2, ether3, ether4, SFP

a nastavit VLAN:
- vlan100: tagged: SFP, untagged: ether2
- vlan200: tagged: SFP, untagged: ether3
- vlan300: tagged: SFP, untagged: ether4

Oboje by dle mého mělo fungovat (testovat budu zítra).

Spíš mě zaráží (možná samozřejmost - se síťařinou začínám), že to lze udělat více způsoby, každý bude mít jistě pro a proti.

Cíl je jasný - udělat 3 oddělené sítě, každá budou mít svůj rozsah adres, porty, DHCP server a všechny sítě budou za 1 NATem do WAN.

Je nějaký zásadní rozdíl (jak v bezpečnosti, tak v rychlosti) mezi výše uvedenými postupy?

Díky moc za poznámky k řešení

Nástroje: Začni sledovat (1) ?

Odpovědi

9.2.2019 22:45 __bl__
Rozbalit Rozbalit vše Re: Mikrotik - více variant konfigurace sítě?

Odpovim si sam - v druhem pripade nelze site oddelit z duvodu prideleni ruznym IP adres na jeden most.

9.2.2019 23:25 [Jooky]
Rozbalit Rozbalit vše Re: Mikrotik - více variant konfigurace sítě?

V prvom rade si pozri aky mas switch chip v tom RB a podla toho naskladaj konfiguraciu ... Kazdy jeden mikrotik ma na stranke blok diagram + vo wiki "features". Tam zistis ako je to vnutorne prepojene a co sa da offloadunt do "wire speed chip". Pokial navrhujes konfiguraciu, tak je najlepsie ak su "rovnake" veci zapojene do jedneho switch chipu (ak ich ma viac). Nasledne konfiguraciu treba doladit pre konkretny switch chip. Ak sa toto nespravi, tak konfiguracia sice bude fungovat (ak v nej nie je nejaka chyba), ale nemusi byt pouzity offloading na HW chip. To znamena, ze vsetko pojde cez CPU a to ma vacsinou len jednu linku k portom. Pre priklad: RB951G-2HnD ma 5x 1G port, a len 1G linku do CPU. Ak sa bude riesit bridge na urovni CPU, tak vsetky pripojene zariadenia budu zdielat 1G rychlost. Ak bude samotny bridge v HW chipe, tak na kazdom porte mozes mat plnu rychlost a RB nebude bottleneck.

Zariadenia zo serie CRS* pouzivaju tu druhu konfiguraciu. Presne dovody neviem, kedze moje prve CRS* zariadenie mam stale v krabici. Zatial som to len cital v navode na wiki.

Ci sa pouziva HW offloading sa da jednoducho pozriet cez /interface bridge port print. Ak ukazuje "H" pri nazve portu a v stlpci HW je hodnota "yes", tak je vsetko ako ma byt.

[user@RB] > /interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic, H - hw-offload 
 #     INTERFACE     BRIDGE        HW  PVID PR  PATH-COST INTERNA...    HORIZON
 0   H eth01         br01-lan      yes    1 0x         10         10       none
 1   H eth02         br01-lan      yes    1 0x         10         10       none
 2 I H eth03         br01-lan      yes    1 0x         10         10       none
 3 I H eth04         br01-lan      yes    1 0x         10         10       none
 4   H eth05         br01-lan      yes    1 0x         10         10       none
 5 I H eth08         br01-lan      yes    1 0x         10         10       none
 6   H eth09         br01-lan      yes    1 0x         10         10       none
 7   H eth10         br01-lan      yes    1 0x         10         10       none
[user@RB] >

... tiez je dobre nezabudnut, ze routing ide vzdy cez CPU a linka do CPU moze limitovat rychlost spojenia medzi roznymi subnetami.

10.2.2019 14:54 Vantomas | skóre: 32 | Praha
Rozbalit Rozbalit vše Re: Mikrotik - více variant konfigurace sítě?

Sítě je možné rozdělit do VLAN a tyto dostat do Mikrotika, takže je lze rozdělit i do jednotlivých subnetů - prostě se na bridge interface vytvoří vlan interfacy.

Při použití konfigurace /interface bridge vlan se v pozadí používá switch procesor, je to nové rozhraní k původnímu rozhraní /interface ethernet switch, které bylo u každého switch procesoru trošku jiné a hlavně se vlany musely konfigurovat na více lowlevel úrovni - filtry, zvlášť příchozí a odchozí provoz atd. Pokud se na jednotlivé ether rozhraní vytvoří vlan interfacy a tyto se pak dají do různých bridge, tak vše provádí CPU, kde běží Mikrotik a nikoliv switch chip. Rozdíl ve výkonu několika řádový!

Pro příklady nastavení si lze u nich na wiki prohlédnout příklady k CRS, konfigurace je napříč zařízeními stejná nebo hodně obdobná.

V Mikrotiku se nedávno drobně změnil způsob konfiurace, takže pokud někde narazíš na konfigurace s master-port, tak to buď nemá cenu dál číst nebo si je to třeba patřičně upravit/předělat.

11.2.2019 11:26 __blr__
Rozbalit Rozbalit vše Re: Mikrotik - více variant konfigurace sítě?

Aha, díky pánové.

Tudíž i ten druhý příklad je reálný, pouze správně nastavit VLANy.

Přiřazení IP adres tudíž udělám tak, že k bridge interfacu vytvořím VLAN interface s daným ID VLANu a ten použiju při konfiguraci DHCP serveru? Samotné přiřazení IP (a komunikace přes WAN) půjde tedy přes CPU, ale komunikaci v rámci jedné VLANy mezi dvěma ether porty zajístí switch čip, je to tak?

Pokud bych potřeboval routování mezi jednotlivými VLANy, tak musím nastavit firewall opět na CPU, že?

Mám Mikrotik RB962UiGS-5HacT2HnT jako switch/NAT/DHCP a RB260GSP jako switch. Ze schématu je patrné, že SFP je mimo switch čip, tudíž port přepojím na ether5.

11.2.2019 12:13 Vantomas | skóre: 32 | Praha
Rozbalit Rozbalit vše Re: Mikrotik - více variant konfigurace sítě?

Ano, vytvoří se vlany na bridge interface a na tyto se dají IP adresy a DHCP servery a tak. L3 provoz je routován vždy přes CPU, avšak pokud jedou dva počítače mezi sebou v rámci jedné vlany, tak to jde přes switch cpu.

Při routování L3 provozu se aplikuje normálně /ip firewall, pokud je potřeba omezit provoz na L2 mezi porty, tak je potřeba na to jít přes /interface bridge filter. Přiznám se, že nevím jak je to v případě L2 filtrování a hw-offloading, avšak pokud to nebude umět HW, tak pak takto přes CPU půjdou jen ty dva dotčené porty, ne všechno. Ještě je možnost v /interface bridge settings povolit průchod L2 paketů skrze /ip firewall, ale to asi zase bude mít nějaký vliv na výkon. Vzhledem k tomu, že se s tímhle L2 filtrováním nesetkávám na sítích, kde by teklo víc jak 100mbit, tak nevím jaký to má vliv na výkon.

Ještě taková drobnost, v konfiguraci /interface bridge vlan bude potřeba přidat port "cpu", aby byl provoz switchován i do Mikrotika a fungoval vlan na bridge interfacu.

11.2.2019 12:16 Vantomas | skóre: 32 | Praha
Rozbalit Rozbalit vše Re: Mikrotik - více variant konfigurace sítě?

Jo a ještě doporučuji se zbavit té RB260. Ono to sice funguje, když se to nastaví, ale postupem času si někdo stěžuje, že na té síti je nějaký packetloss nebo jiné divné chování a viníkem byl vždycky tenhle hlouposwitch.

11.2.2019 13:25 __blr__
Rozbalit Rozbalit vše Re: Mikrotik - více variant konfigurace sítě?

Ještě taková drobnost, v konfiguraci /interface bridge vlan bude potřeba přidat port "cpu", aby byl provoz switchován i do Mikrotika a fungoval vlan na bridge interfacu.

Můžeš to prosím upřesnit port "cpu"?

Ve winboxu nevidím nic, co by tomu odpovídalo, v dokumentace se o tomto portu zmiňují, ale příklad jsem nenašel.

Jestli to chápu správně: vytvořím z interfacu "my-bridge" interface "my-bridge-vlan100" s VLANem 100 a tento interface potom vložím do /interface bridge vlan ?

11.2.2019 13:42 Vantomas | skóre: 32 | Praha
Rozbalit Rozbalit vše Re: Mikrotik - více variant konfigurace sítě?

Příloha:

Snímek obrazovky 2019-02-11 v 13.40.59.png (22969 bytů)

Pardon, popletlo se mi to. Do /interface bridge vlan se musí přidat jako tagged interface "bridge", aby to fungovalo tak jak má. V příloze dávám screenshot.

11.2.2019 14:05 __blr__
Rozbalit Rozbalit vše Re: Mikrotik - více variant konfigurace sítě?

Jo, už mi to dává smysl..

Konfiguraci vyzkouším..

Díky moc!

12.2.2019 23:03 the.max | skóre: 46 | blog: Smetiště
Rozbalit Rozbalit vše Re: Mikrotik - více variant konfigurace sítě?

Nebylo by od věci napsat konkrétní typ mikrotiku a switche. Na (některých) routerboardech jdou VLANy nastavit přímo na HW switchi tak, aby je nemusel tahat procesor. Blbý je, že co čip switche, to jinej postup :-(

KERNEL ULTRAS Fan Team || Sabaton - nejlepší učitel dějepisu || Gentoo - dokud nás systemd nerozdělí.

13.2.2019 19:54 __blr__
Rozbalit Rozbalit vše Re: Mikrotik - více variant konfigurace sítě?

Tak mám tuto konfiguraci:

/interface bridge
add name=bridge1 vlan-filtering=yes
/interface vlan
add interface=bridge1 name=bridge1-vlan100 vlan-id=100
add interface=bridge1 name=bridge1-vlan200 vlan-id=200
add interface=bridge1 name=bridge1-vlan300 vlan-id=300
/ip pool
add name=vlan100 ranges=192.168.0.100-192.168.0.250
add name=vlan200 ranges=192.168.20.100-192.168.20.250
add name=vlan300 ranges=192.168.30.100-192.168.30.250
/ip dhcp-server
add address-pool=vlan100 disabled=no interface=bridge1-vlan100 name=dhcp-bridge1-vlan100
add address-pool=vlan200 disabled=no interface=bridge1-vlan200 name=dhcp-bridge1-vlan200
add address-pool=vlan300 disabled=no interface=bridge1-vlan300 name=dhcp-bridge1-vlan300
/interface bridge port
add bridge=bridge1 interface=ether2 pvid=100
add bridge=bridge1 interface=ether3 pvid=200
add bridge=bridge1 interface=ether4 pvid=300
add bridge=bridge1 interface=ether5
/interface bridge vlan
add bridge=bridge1 tagged=ether5,bridge1 untagged=ether2 vlan-ids=100
add bridge=bridge1 tagged=ether5,bridge1 untagged=ether3 vlan-ids=200
add bridge=bridge1 tagged=ether5,bridge1 untagged=ether4 vlan-ids=300
/ip address
add address=192.168.0.1/24 interface=bridge1-vlan100 network=192.168.0.0
add address=192.168.20.1/24 interface=bridge1-vlan200 network=192.168.20.0
add address=192.168.30.1/24 interface=bridge1-vlan300 network=192.168.30.0
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=24
add address=192.168.20.0/24 dns-server=192.168.20.1 gateway=192.168.20.1 netmask=24
add address=192.168.30.0/24 dns-server=192.168.30.1 gateway=192.168.30.1 netmask=24

A při kopírování v rámci sítě VLAN100 jedu s využitím CPU 1-2%

3 oddělené sítě, v každé jedna ethernetka a trunk do switch. DNS ok, DHCP ok.

Ještě nastavím Wi-Fi, aby se mi podle MAC adresy přiřazovali klienti do VLAN a hotovo.

Vantomas: díky!

13.2.2019 22:26 __blr__
Rozbalit Rozbalit vše Re: Mikrotik - více variant konfigurace sítě?

Tak chyba - restartoval jsem Mikrotik a kopírování v rámci jedné VLANy jede opět přes CPU...

14.2.2019 07:24 __blr__
Rozbalit Rozbalit vše Re: Mikrotik - více variant konfigurace sítě?

Tak mám asi smůlu - co jsem našel, tak router (RB962UiGS-5HacT2HnT) HW offloading pro Bridge VLAN filtering neumí...

Otázkou je, co jsem měl nebo neměl zaplého když jsem to poprvé testoval..

14.2.2019 08:49 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: Mikrotik - více variant konfigurace sítě?

Currently only CRS3xx series devices are capable of using bridge VLAN filtering and hardware offloading at the same time, other devices will not be able to use the benefits of a built-in switch chip when bridge VLAN filtering is enabled. Other devices should be configured according to the method described in the Basic VLAN switching guide.

18.2.2021 15:54 Josef Nežerka
Rozbalit Rozbalit vše Re: Mikrotik - více variant konfigurace sítě?

Dobrý den,

řeším podobnou věc na RB4011, která též nemá switch podporující VLAN. Současné nastavení je takové, že pro každou síť mám nastaven bridge. Napíše mi někdo nějakou výhodu, proč by mělo smysl přejít z bridgů na VLANy? Nikde se mi totiž nepodařilo vygooglit nějaké smysluplné vysvětlení proč nasadit VLAN.

18.2.2021 17:26 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: Mikrotik - více variant konfigurace sítě?

VLAN-y podporuju skoro vsetky MKT, ale nie vsetky maju HW podporu pre offloading, cize vsetko riesi hlavne CPU a nie CPU na switch-chip-e.

Napíše mi někdo nějakou výhodu, proč by mělo smysl přejít z bridgů na VLANy?

Nerozumiem. VLAN a bridge spolu nijak priamo nesuvisia.

19.2.2021 09:31 Josef Nežerka
Rozbalit Rozbalit vše Re: Mikrotik - více variant konfigurace sítě?

Mám v síti tři subnety, EET pro pokladny, personal pro zaměstnance, guest pro zákazníky. Každý jede na svém bridge, se svým DHCP, aby nebyly navzájem dostupné. EET komunikuje mezi WLAN a LAN. Personal a Guest jsou pouze WLAN s přístupem do internetu. Téhož se dá dosáhnout pomocí VLAN, ale nejsou mi zřejmé výhody/nevýhody obou řešení.

VLAN-y podporuju skoro vsetky MKT, ale nie vsetky maju HW podporu pre offloading, cize vsetko riesi hlavne CPU a nie CPU na switch-chip-e.

4011 bohužel VLAN na switchi nepodporuje, takže jestli to chápu správně prostředky CPU oproti stávajícímu řešení neušetřím.

Založit nové vlákno • Nahoru

Tiskni Sdílej: