VV
И голууубииии
Size: a a a
2020 March 13
МД
Жиза
BP
и все ув говне
a
наша контора купила в свое время вот такого мелкого провадйера, у которого на 5-6к абонентов было (ВНИМАНИЕ!!!) всего 4-ре управляемых коммутатора DGS-3120-TG
BP
норм
a
+ хулиард микротиков точек доступа
BP
у нас были микроты и от них свитчи)
a
правда они в роли БРАСов были
a
и до сих пор есть
AS
Но паролей от микротов не было
a
нормас
AS
Их настраивали боты
М
Доброго времени суток!
Помогите разобраться в чем дело.
Есть ONT от Ростелекома HG8120H. Сконфигурирована так, что на порт LAN1
отдает тегированный трафик vlan 10 для pppoe, vlan 11 для iptv и нетегированный
для доступа к себе.
Все это счастье одним шнурком подключено в порт sfp1 микротика CRS125-24G-1S-2Hnd.
Который в свою очередь подключен из порта 23 в порт 12 другого микротика
RB1100AHx4. На котором уже поднят pppoe клиент, DNS, DHCP, NTP firewall, etc...
Все в общем прекрасно работает, за одним исключением. Если на CRS125 в настройках
свича запретить передачу тегов vlan не указанных в настройках:
/interface ethernet switch set forward-unknown-vlan=no
Устройства Wifi авторизуются, но перестают получать доступ в интернет.
Что я делал:
1. Все порты CRS125 объединены в 1 бридж BR_MAIN:
/interface bridge
add name=BR_MAIN protocol-mode=none
/interface bridge port
add bridge=BR_MAIN interface=ether1
...
add bridge=BR_MAIN interface=wlan1 pvid=101
Два доп VLAN на бридже. 100 можно было и не добавлять,
101 для связи wlan1.
/interface vlan
add interface=BR_MAIN name=vlan100-control vlan-id=100
add interface=BR_MAIN name=vlan101-user vlan-id=101
2. Для свича указываю куда отправлять тегированный трафик:
/interface ethernet switch egress-vlan-tag
add tagged-ports=ether23,sfp1 vlan-id=10
add tagged-ports=sfp1 vlan-id=11
add tagged-ports=ether23,switch1-cpu vlan-id=100
add tagged-ports=ether23,switch1-cpu vlan-id=101
Vlan 100 здесь внутренняя сеть для оборудования (на HG8120H с маршрутизацией беда, а доступ нужен)
Vlan 101 домашняя сеть
Vlan 10,11 pppoe и iptv
3. Порты доступа:
/interface ethernet switch ingress-vlan-translation
add customer-vid=0 new-customer-vid=11 ports=ether17
add customer-vid=0 new-customer-vid=100 ports=sfp1
add customer-vid=0 new-customer-vid=101 ports=ether1,ether2,ether3,ether4
Порты 1,2,3,4 для устройств домашней сети.
Порт 17 для iptv
И нетегированный траффик с sfp1 заворачиваю во vlan 100.
4. Создаю таблицу vlan для свича.
/interface ethernet switch vlan
add ports=ether23,sfp1 vlan-id=10
add ports=ether17,sfp1 vlan-id=11
add ports=ether23,sfp1,switch1-cpu vlan-id=100
add ports=ether1,ether2,ether3,ether4,ether23,switch1-cpu vlan-id=101
5. Конфигурю wireless интерфейс:
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n country=\
no_country_set default-authentication=no default-forwarding=no disabled=\
no frequency=auto frequency-mode=manual-txpower mode=ap-bridge \
security-profile=wpa2-protected ssid=WL1 vlan-id=101 vlan-mode=use-tag \
wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
6. Клиенты добавляются через Access листы
/interface wireless access-list
add comment="My phone" interface=wlan1 mac-address=XX:XX:XX:XX:XX:XX
С установкой чекбоксов Authentication и Forwarding, Vlan Mode=Default.
Помогите разобраться в чем дело.
Есть ONT от Ростелекома HG8120H. Сконфигурирована так, что на порт LAN1
отдает тегированный трафик vlan 10 для pppoe, vlan 11 для iptv и нетегированный
для доступа к себе.
Все это счастье одним шнурком подключено в порт sfp1 микротика CRS125-24G-1S-2Hnd.
Который в свою очередь подключен из порта 23 в порт 12 другого микротика
RB1100AHx4. На котором уже поднят pppoe клиент, DNS, DHCP, NTP firewall, etc...
Все в общем прекрасно работает, за одним исключением. Если на CRS125 в настройках
свича запретить передачу тегов vlan не указанных в настройках:
/interface ethernet switch set forward-unknown-vlan=no
Устройства Wifi авторизуются, но перестают получать доступ в интернет.
Что я делал:
1. Все порты CRS125 объединены в 1 бридж BR_MAIN:
/interface bridge
add name=BR_MAIN protocol-mode=none
/interface bridge port
add bridge=BR_MAIN interface=ether1
...
add bridge=BR_MAIN interface=wlan1 pvid=101
Два доп VLAN на бридже. 100 можно было и не добавлять,
101 для связи wlan1.
/interface vlan
add interface=BR_MAIN name=vlan100-control vlan-id=100
add interface=BR_MAIN name=vlan101-user vlan-id=101
2. Для свича указываю куда отправлять тегированный трафик:
/interface ethernet switch egress-vlan-tag
add tagged-ports=ether23,sfp1 vlan-id=10
add tagged-ports=sfp1 vlan-id=11
add tagged-ports=ether23,switch1-cpu vlan-id=100
add tagged-ports=ether23,switch1-cpu vlan-id=101
Vlan 100 здесь внутренняя сеть для оборудования (на HG8120H с маршрутизацией беда, а доступ нужен)
Vlan 101 домашняя сеть
Vlan 10,11 pppoe и iptv
3. Порты доступа:
/interface ethernet switch ingress-vlan-translation
add customer-vid=0 new-customer-vid=11 ports=ether17
add customer-vid=0 new-customer-vid=100 ports=sfp1
add customer-vid=0 new-customer-vid=101 ports=ether1,ether2,ether3,ether4
Порты 1,2,3,4 для устройств домашней сети.
Порт 17 для iptv
И нетегированный траффик с sfp1 заворачиваю во vlan 100.
4. Создаю таблицу vlan для свича.
/interface ethernet switch vlan
add ports=ether23,sfp1 vlan-id=10
add ports=ether17,sfp1 vlan-id=11
add ports=ether23,sfp1,switch1-cpu vlan-id=100
add ports=ether1,ether2,ether3,ether4,ether23,switch1-cpu vlan-id=101
5. Конфигурю wireless интерфейс:
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n country=\
no_country_set default-authentication=no default-forwarding=no disabled=\
no frequency=auto frequency-mode=manual-txpower mode=ap-bridge \
security-profile=wpa2-protected ssid=WL1 vlan-id=101 vlan-mode=use-tag \
wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
6. Клиенты добавляются через Access листы
/interface wireless access-list
add comment="My phone" interface=wlan1 mac-address=XX:XX:XX:XX:XX:XX
С установкой чекбоксов Authentication и Forwarding, Vlan Mode=Default.
СХ
тянет на целую статью)
М
:) Дык!
PS
ох, вланы через св чип
PS
ну его в баню)
М
ох, вланы через св чип
Так работает же!
PS
я не спорю)
BP
это типа по новому?)