CRS112-8G-4S настройка VLAN

Тема в разделе "Коммутация", создана пользователем Radeon, 7 дек 2017.

  1. Radeon

    Radeon Новый участник

    Добрый вечер! Принимайте новенького)
    С Микротиком я давненько знаком, однако L2 функции обычно выполнял через процессор, создавая бриджи на всяких там рб2011 и прочем.
    Столкнулся с ситуацией, когда надо разрулить несколько Вланов с большой утилизацией трафика - применять софт-роутер глупо.
    Вот решил приобрести данное чудо - свитч микротик , в котором однако встроен проц и операционка)

    Итак, необходимо, чтобы:

    Порт eth-m был транком (tagged) для влана 950, 951, 952, 958, 959.
    Порт eth-37 был транком (tagged) для влана 950, 951, 952, 959.
    Порт eth-v был доступом (untagged) для влана 958.
    Порт eth-33 был доступом (untagged) для влана 951.
    Порт eth-39 был доступом (untagged) для влана 951.
    Порт eth-41 был доступом (untagged) для влана 951.
    Порт eth-250 был доступом (untagged) для влана 950.
    Порт eth-2 был доступом (untagged) для влана 952.

    Итого, у нас 8 физических портов (6 медь и 2 сфп), из которых 6 портов доступа и 2 порта транка, в которых вланы передаются на следующие свитчи.

    Изучив руководство, решено делать так:
    1. Объединяем наши 8 портов в группу коммутации. В моём случае прошивка будет последняя, где уже применяется коммутация в виде бриджа с поддержкой hw-offload.

    /interface bridge
    add name=bridge1 igmp-snooping=no protocol-mode=none
    /interface bridge port
    add bridge=bridge1 interface=eth-m hw=yes
    add bridge=bridge1 interface=eth-37 hw=yes
    add bridge=bridge1 interface=eth-v hw=yes
    add bridge=bridge1 interface=eth-33 hw=yes
    add bridge=bridge1 interface=eth-39 hw=yes
    add bridge=bridge1 interface=eth-41 hw=yes
    add bridge=bridge1 interface=eth-250 hw=yes
    add bridge=bridge1 interface=eth-2 hw=yes

    После этого мы получаем, грубо говоря, тупой свитч между этими портами, насколько я понял. Тупой в том плане, что на данном этапе между портами будет передаваться любая информация, как в обычном тупарике.

    2.Задаем принадлежность vlan-id к портам доступа, которые будут отдавать пакеты без тега.

    /interface ethernet switch ingress-vlan-translation
    add ports=eth-v customer-vid=0 new-customer-vid=958 sa-learning=yes
    add ports=eth-33 customer-vid=0 new-customer-vid=951 sa-learning=yes
    add ports=eth-39 customer-vid=0 new-customer-vid=951 sa-learning=yes
    add ports=eth-41 customer-vid=0 new-customer-vid=951 sa-learning=yes
    add ports=eth-250 customer-vid=0 new-customer-vid=950 sa-learning=yes
    add ports=eth-2 customer-vid=0 new-customer-vid=952 sa-learning=yes

    3. Задаем принадлежность vlan-id к транковым портам, которые будут отдавать пакеты с тегами.

    /interface ethernet switch egress-vlan-tag
    add tagged-ports=eth-m vlan-id=950
    add tagged-ports=eth-m vlan-id=951
    add tagged-ports=eth-m vlan-id=952
    add tagged-ports=eth-m vlan-id=958
    add tagged-ports=eth-m vlan-id=959
    add tagged-ports=eth-37 vlan-id=950
    add tagged-ports=eth-37 vlan-id=951
    add tagged-ports=eth-37 vlan-id=952
    add tagged-ports=eth-37 vlan-id=959

    Вот тут я чуть замешкался. В мануале рассматривается пример, когда транк (теггед) порт один, а у меня их два. И я создал два набора правил. Правильно это или нет?

    4. Теперь прописываем вланы в таблице:
    /interface ethernet switch vlan
    add ports=eth-m,eth-37 vlan-id=959 learn=yes
    add ports=eth-m,eth-v vlan-id=958 learn=yes
    add ports=eth-m,eth-37,eth-2 vlan-id=952 learn=yes
    add ports=eth-m,eth-37,eth-250 vlan-id=950 learn=yes
    add ports=eth-m,eth-37,eth-33,eth-39,eth-41 vlan-id=951 learn=yes

    5. А теперь, как я понял, мы задаем правило строгого соответствия, чтобы пакеты с левыми тегами или без тегов там, где они должны быть, отбрасывались и не передавались на порты. Если я неверно это понял, то поправьте, пожалуйста!

    /interface ethernet switch
    set drop-if-invalid-or-src-port-not-member-of-vlan-on-ports=eth-m,eth-v,eth-2,eth-37,eth-33,eth-39,eth-41,eth-250

    Но где-то на форумах я читал, что этого не достаточно и всякий левый трафик всё таки пролетает.
    Как всё сделать правильно?


    Есть ещё другой вопрос.
    Как мне быть, если мне надо назначить на этом микротике некоторым вланам ай-пи адреса? Создать влан с нужным ай-ди прямо в бридже, таким образом обьявив о нем процессору, а там и айпи назначить?

    Буду благодарен за проверку и комментарии. Спасибо.