BP
а как же вилянь на порт и потом в бридж?
Size: a a a
2020 March 13
PS
а как же вилянь на порт и потом в бридж?
это всегда было неправильно
AM
Доброго времени суток!
Помогите разобраться в чем дело.
Есть ONT от Ростелекома HG8120H. Сконфигурирована так, что на порт LAN1
отдает тегированный трафик vlan 10 для pppoe, vlan 11 для iptv и нетегированный
для доступа к себе.
Все это счастье одним шнурком подключено в порт sfp1 микротика CRS125-24G-1S-2Hnd.
Который в свою очередь подключен из порта 23 в порт 12 другого микротика
RB1100AHx4. На котором уже поднят pppoe клиент, DNS, DHCP, NTP firewall, etc...
Все в общем прекрасно работает, за одним исключением. Если на CRS125 в настройках
свича запретить передачу тегов vlan не указанных в настройках:
/interface ethernet switch set forward-unknown-vlan=no
Устройства Wifi авторизуются, но перестают получать доступ в интернет.
Что я делал:
1. Все порты CRS125 объединены в 1 бридж BR_MAIN:
/interface bridge
add name=BR_MAIN protocol-mode=none
/interface bridge port
add bridge=BR_MAIN interface=ether1
...
add bridge=BR_MAIN interface=wlan1 pvid=101
Два доп VLAN на бридже. 100 можно было и не добавлять,
101 для связи wlan1.
/interface vlan
add interface=BR_MAIN name=vlan100-control vlan-id=100
add interface=BR_MAIN name=vlan101-user vlan-id=101
2. Для свича указываю куда отправлять тегированный трафик:
/interface ethernet switch egress-vlan-tag
add tagged-ports=ether23,sfp1 vlan-id=10
add tagged-ports=sfp1 vlan-id=11
add tagged-ports=ether23,switch1-cpu vlan-id=100
add tagged-ports=ether23,switch1-cpu vlan-id=101
Vlan 100 здесь внутренняя сеть для оборудования (на HG8120H с маршрутизацией беда, а доступ нужен)
Vlan 101 домашняя сеть
Vlan 10,11 pppoe и iptv
3. Порты доступа:
/interface ethernet switch ingress-vlan-translation
add customer-vid=0 new-customer-vid=11 ports=ether17
add customer-vid=0 new-customer-vid=100 ports=sfp1
add customer-vid=0 new-customer-vid=101 ports=ether1,ether2,ether3,ether4
Порты 1,2,3,4 для устройств домашней сети.
Порт 17 для iptv
И нетегированный траффик с sfp1 заворачиваю во vlan 100.
4. Создаю таблицу vlan для свича.
/interface ethernet switch vlan
add ports=ether23,sfp1 vlan-id=10
add ports=ether17,sfp1 vlan-id=11
add ports=ether23,sfp1,switch1-cpu vlan-id=100
add ports=ether1,ether2,ether3,ether4,ether23,switch1-cpu vlan-id=101
5. Конфигурю wireless интерфейс:
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n country=\
no_country_set default-authentication=no default-forwarding=no disabled=\
no frequency=auto frequency-mode=manual-txpower mode=ap-bridge \
security-profile=wpa2-protected ssid=WL1 vlan-id=101 vlan-mode=use-tag \
wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
6. Клиенты добавляются через Access листы
/interface wireless access-list
add comment="My phone" interface=wlan1 mac-address=XX:XX:XX:XX:XX:XX
С установкой чекбоксов Authentication и Forwarding, Vlan Mode=Default.
Помогите разобраться в чем дело.
Есть ONT от Ростелекома HG8120H. Сконфигурирована так, что на порт LAN1
отдает тегированный трафик vlan 10 для pppoe, vlan 11 для iptv и нетегированный
для доступа к себе.
Все это счастье одним шнурком подключено в порт sfp1 микротика CRS125-24G-1S-2Hnd.
Который в свою очередь подключен из порта 23 в порт 12 другого микротика
RB1100AHx4. На котором уже поднят pppoe клиент, DNS, DHCP, NTP firewall, etc...
Все в общем прекрасно работает, за одним исключением. Если на CRS125 в настройках
свича запретить передачу тегов vlan не указанных в настройках:
/interface ethernet switch set forward-unknown-vlan=no
Устройства Wifi авторизуются, но перестают получать доступ в интернет.
Что я делал:
1. Все порты CRS125 объединены в 1 бридж BR_MAIN:
/interface bridge
add name=BR_MAIN protocol-mode=none
/interface bridge port
add bridge=BR_MAIN interface=ether1
...
add bridge=BR_MAIN interface=wlan1 pvid=101
Два доп VLAN на бридже. 100 можно было и не добавлять,
101 для связи wlan1.
/interface vlan
add interface=BR_MAIN name=vlan100-control vlan-id=100
add interface=BR_MAIN name=vlan101-user vlan-id=101
2. Для свича указываю куда отправлять тегированный трафик:
/interface ethernet switch egress-vlan-tag
add tagged-ports=ether23,sfp1 vlan-id=10
add tagged-ports=sfp1 vlan-id=11
add tagged-ports=ether23,switch1-cpu vlan-id=100
add tagged-ports=ether23,switch1-cpu vlan-id=101
Vlan 100 здесь внутренняя сеть для оборудования (на HG8120H с маршрутизацией беда, а доступ нужен)
Vlan 101 домашняя сеть
Vlan 10,11 pppoe и iptv
3. Порты доступа:
/interface ethernet switch ingress-vlan-translation
add customer-vid=0 new-customer-vid=11 ports=ether17
add customer-vid=0 new-customer-vid=100 ports=sfp1
add customer-vid=0 new-customer-vid=101 ports=ether1,ether2,ether3,ether4
Порты 1,2,3,4 для устройств домашней сети.
Порт 17 для iptv
И нетегированный траффик с sfp1 заворачиваю во vlan 100.
4. Создаю таблицу vlan для свича.
/interface ethernet switch vlan
add ports=ether23,sfp1 vlan-id=10
add ports=ether17,sfp1 vlan-id=11
add ports=ether23,sfp1,switch1-cpu vlan-id=100
add ports=ether1,ether2,ether3,ether4,ether23,switch1-cpu vlan-id=101
5. Конфигурю wireless интерфейс:
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n country=\
no_country_set default-authentication=no default-forwarding=no disabled=\
no frequency=auto frequency-mode=manual-txpower mode=ap-bridge \
security-profile=wpa2-protected ssid=WL1 vlan-id=101 vlan-mode=use-tag \
wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
6. Клиенты добавляются через Access листы
/interface wireless access-list
add comment="My phone" interface=wlan1 mac-address=XX:XX:XX:XX:XX:XX
С установкой чекбоксов Authentication и Forwarding, Vlan Mode=Default.
А разве
add bridge=BR_MAIN interface=wlan1 pvid=101 работает без vlan awareness на бридже?IO
BP
это всегда было неправильно
ну меня так научили)
BP
ога 10 лет было неправильно
PS
ну меня так научили)
дай учителю по башке
М
это типа по новому?)
Да, 6.46.4
E
тобi пiзда
@jscar
@jscar
)
BP
ну я уже перестал щас с некротами работать почти
BP
точнее 10 лет было правильно а щас нет)
PS
сначала инт вланы суют в бридж, а потом говорят что микротик глючная железка
М
А разве
add bridge=BR_MAIN interface=wlan1 pvid=101 работает без vlan awareness на бридже?Я не спец по микротикам :) Почитал и настроил.
E
Доброго времени суток!
Помогите разобраться в чем дело.
Есть ONT от Ростелекома HG8120H. Сконфигурирована так, что на порт LAN1
отдает тегированный трафик vlan 10 для pppoe, vlan 11 для iptv и нетегированный
для доступа к себе.
Все это счастье одним шнурком подключено в порт sfp1 микротика CRS125-24G-1S-2Hnd.
Который в свою очередь подключен из порта 23 в порт 12 другого микротика
RB1100AHx4. На котором уже поднят pppoe клиент, DNS, DHCP, NTP firewall, etc...
Все в общем прекрасно работает, за одним исключением. Если на CRS125 в настройках
свича запретить передачу тегов vlan не указанных в настройках:
/interface ethernet switch set forward-unknown-vlan=no
Устройства Wifi авторизуются, но перестают получать доступ в интернет.
Что я делал:
1. Все порты CRS125 объединены в 1 бридж BR_MAIN:
/interface bridge
add name=BR_MAIN protocol-mode=none
/interface bridge port
add bridge=BR_MAIN interface=ether1
...
add bridge=BR_MAIN interface=wlan1 pvid=101
Два доп VLAN на бридже. 100 можно было и не добавлять,
101 для связи wlan1.
/interface vlan
add interface=BR_MAIN name=vlan100-control vlan-id=100
add interface=BR_MAIN name=vlan101-user vlan-id=101
2. Для свича указываю куда отправлять тегированный трафик:
/interface ethernet switch egress-vlan-tag
add tagged-ports=ether23,sfp1 vlan-id=10
add tagged-ports=sfp1 vlan-id=11
add tagged-ports=ether23,switch1-cpu vlan-id=100
add tagged-ports=ether23,switch1-cpu vlan-id=101
Vlan 100 здесь внутренняя сеть для оборудования (на HG8120H с маршрутизацией беда, а доступ нужен)
Vlan 101 домашняя сеть
Vlan 10,11 pppoe и iptv
3. Порты доступа:
/interface ethernet switch ingress-vlan-translation
add customer-vid=0 new-customer-vid=11 ports=ether17
add customer-vid=0 new-customer-vid=100 ports=sfp1
add customer-vid=0 new-customer-vid=101 ports=ether1,ether2,ether3,ether4
Порты 1,2,3,4 для устройств домашней сети.
Порт 17 для iptv
И нетегированный траффик с sfp1 заворачиваю во vlan 100.
4. Создаю таблицу vlan для свича.
/interface ethernet switch vlan
add ports=ether23,sfp1 vlan-id=10
add ports=ether17,sfp1 vlan-id=11
add ports=ether23,sfp1,switch1-cpu vlan-id=100
add ports=ether1,ether2,ether3,ether4,ether23,switch1-cpu vlan-id=101
5. Конфигурю wireless интерфейс:
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n country=\
no_country_set default-authentication=no default-forwarding=no disabled=\
no frequency=auto frequency-mode=manual-txpower mode=ap-bridge \
security-profile=wpa2-protected ssid=WL1 vlan-id=101 vlan-mode=use-tag \
wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
6. Клиенты добавляются через Access листы
/interface wireless access-list
add comment="My phone" interface=wlan1 mac-address=XX:XX:XX:XX:XX:XX
С установкой чекбоксов Authentication и Forwarding, Vlan Mode=Default.
Помогите разобраться в чем дело.
Есть ONT от Ростелекома HG8120H. Сконфигурирована так, что на порт LAN1
отдает тегированный трафик vlan 10 для pppoe, vlan 11 для iptv и нетегированный
для доступа к себе.
Все это счастье одним шнурком подключено в порт sfp1 микротика CRS125-24G-1S-2Hnd.
Который в свою очередь подключен из порта 23 в порт 12 другого микротика
RB1100AHx4. На котором уже поднят pppoe клиент, DNS, DHCP, NTP firewall, etc...
Все в общем прекрасно работает, за одним исключением. Если на CRS125 в настройках
свича запретить передачу тегов vlan не указанных в настройках:
/interface ethernet switch set forward-unknown-vlan=no
Устройства Wifi авторизуются, но перестают получать доступ в интернет.
Что я делал:
1. Все порты CRS125 объединены в 1 бридж BR_MAIN:
/interface bridge
add name=BR_MAIN protocol-mode=none
/interface bridge port
add bridge=BR_MAIN interface=ether1
...
add bridge=BR_MAIN interface=wlan1 pvid=101
Два доп VLAN на бридже. 100 можно было и не добавлять,
101 для связи wlan1.
/interface vlan
add interface=BR_MAIN name=vlan100-control vlan-id=100
add interface=BR_MAIN name=vlan101-user vlan-id=101
2. Для свича указываю куда отправлять тегированный трафик:
/interface ethernet switch egress-vlan-tag
add tagged-ports=ether23,sfp1 vlan-id=10
add tagged-ports=sfp1 vlan-id=11
add tagged-ports=ether23,switch1-cpu vlan-id=100
add tagged-ports=ether23,switch1-cpu vlan-id=101
Vlan 100 здесь внутренняя сеть для оборудования (на HG8120H с маршрутизацией беда, а доступ нужен)
Vlan 101 домашняя сеть
Vlan 10,11 pppoe и iptv
3. Порты доступа:
/interface ethernet switch ingress-vlan-translation
add customer-vid=0 new-customer-vid=11 ports=ether17
add customer-vid=0 new-customer-vid=100 ports=sfp1
add customer-vid=0 new-customer-vid=101 ports=ether1,ether2,ether3,ether4
Порты 1,2,3,4 для устройств домашней сети.
Порт 17 для iptv
И нетегированный траффик с sfp1 заворачиваю во vlan 100.
4. Создаю таблицу vlan для свича.
/interface ethernet switch vlan
add ports=ether23,sfp1 vlan-id=10
add ports=ether17,sfp1 vlan-id=11
add ports=ether23,sfp1,switch1-cpu vlan-id=100
add ports=ether1,ether2,ether3,ether4,ether23,switch1-cpu vlan-id=101
5. Конфигурю wireless интерфейс:
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n country=\
no_country_set default-authentication=no default-forwarding=no disabled=\
no frequency=auto frequency-mode=manual-txpower mode=ap-bridge \
security-profile=wpa2-protected ssid=WL1 vlan-id=101 vlan-mode=use-tag \
wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
6. Клиенты добавляются через Access листы
/interface wireless access-list
add comment="My phone" interface=wlan1 mac-address=XX:XX:XX:XX:XX:XX
С установкой чекбоксов Authentication и Forwarding, Vlan Mode=Default.
а всё потому, что смешан бр-влан фильтр и вланы на св-чипе
a
все зависит от поставленной задачи. это рабочее решение. может оно не красивое, но рабочее
М
На бридже фильтр ВЫКЛЮЧЕН
E
На бридже фильтр ВЫКЛЮЧЕН
именно.
AM
На бридже фильтр ВЫКЛЮЧЕН
Вот при этом PVID не должен работать на порту
PS
а всё потому, что смешан бр-влан фильтр и вланы на св-чипе
наконец мы нашли конфиг, в котором вланы смешались
