RB951G Vlan

[teodor_ch]

Προσπαθώ να στήσω vlan σπίτι μου σε ένα RB951G. Παράλληλα μαθαίνω/κατανοώ τη λειτουργία του vlan οπότε και πειραματίζομαι.
Απο εδώ ξεκίνησα
Σχεδιασμός δικτύου σπιτιού - ADSLgr.com Community Forum
οπότε το πρώτο μου βήμα είναι να συνδέσω το poe switch επάνω στο 24port και αυτό στο RB951 με το σκεπτικό η κίνηση απο το Unifi AC Lite προς το desktop να μήν περνάει μέσα απο το RB αφού θα ανήκουν στο ίδιο vlan id.
Έτσι λογικά μέσα απο το RB θα περνάει μόνο η κίνηση μεταξύ των διαφορετικών vlans (άρα και μέσα απο firewall κλπ).

οπότε και θα έχω

RB951G
ether1 - modem
ether2 - 24port switch ---- poe switch

24port switch
ether24 - RB951 (vlan100, vlan200, vlan400, vlan500)
ether23 - poe switch (vlan100, vlan200, vlan400, vlan500)
ether1 - DESKTOP PC (vlan100)
ether2 - IP Canera (vlan500)

poe switch
ether1 - 24port switch (vlan100, vlan200, vlan400, vlan500)
ether2 - Unifi AC Lite (vlan100, vlan200, vlan400)
ether4-8 - IP Camera (vlan500)

vlan100 - Private
vlan200 - IoT
vlan400 - Guests
vlan500 - CCTV


Πρώτο κόλλημα! Πού στο καλό να φτιάξω τα vlans. Έτσι όπως το σχεδιάζω μόνο η ether2 θα τα βλέπει οπότε μάλλον δεν έχει νόημα αν θα είναι στο switch, bridge ή ether. Αυτό βέβαια μόνο εάν όντως το 24port switch καταφέρνει να κάνει εσωτερικά vlan switching.
Απο τη μία διαβάζω αυτό
https://help.mikrotik.com/docs/displ...t-inswitchchip
και απο την άλλη αυτό
https://www.reddit.com/r/mikrotik/co...eb2x&context=3


Ο λόγος που το φτιάχνω είναι γιατί έχω διάσπαρτες συσκευές (private, iot, guests, cctv) για τις οποίες θα ήθελα να έχω ξεχωριστούς κανόνες.
Τώρα το καταφέρω μέσω filter forward rules αλλά δεν αποτρέπω τα iot να βλέπουν όλο μου το δίκτυο αφού δεν μπορώ να τα διαχωρίσω στις ether του RB.
Επίσης οι επισκέπτες πάλι έχουν πρόσβαση σε όλο το δίκτυο.

[glf]

Θα πρότεινα να κρατάμε ένα thread για ερωτήσεις VLAN ιδίως για κάποιον που τώρα το ξεκινάει σαν στήσιμο.
https://www.adslgr.com/forum/threads...otik-and-VLANs

και να το συνεχίσουμε εκεί.

[teodor_ch]

Θα πρότεινα να κρατάμε ένα thread για ερωτήσεις VLAN ιδίως για κάποιον που τώρα το ξεκινάει σαν στήσιμο.
https://www.adslgr.com/forum/threads...otik-and-VLANs

και να το συνεχίσουμε εκεί.

Το σκέφτηκα να το ρωτήσω σε άλλο νήμα αλλά έτσι όπως τα έχει κάνει η ΜΚ με άλλες ρυθμίσεις για διαφορετικές συσκευές νομίζω θα γίνει μπέρδεμα.
Εγώ είμαι στο
Other devices with a built-in switch chip

Basic VLAN switching
Introduction
CRS3xx, CRS5xx series switches, CCR2116, CCR2216 and RTL8367, 88E6393X, 88E6191X, MT7621 and MT7531 switch chips
CRS1xx/CRS2xx series switches
Other devices with a built-in switch chip
Other devices without a built-in switch chip

[glf]

Οκ. Καταρχάς στην τοπολογία στις συνδέσεις που δίνεις, το RB951 έχει θέση καθαρά σαν router για σύνδεση με το internet. Άρα εκεί δεν έχει... καμία δουλειά να στηθεί VLAN Ας πουν και οι πιο έμπειροι βέβαια.

Στη δική σου περίπτωση τα VLAN πρέπει να στηθούν τόσο στο 24αρι switch όσο και στο poe switch, αφού και εκεί καθορίζεις VLAN σε κάθε πόρτα και καλά κάνεις.
Τα VLAN δεν είναι δουλειά των router, είναι δουλειά των switch. Πάνω στο switch chip όπως λες και συ καθορίζουμε τι κάνει η κάθε πόρτα.

Οπότε η καλύτερη αρχή θα ήταν να είχες ένα CRS125 για το 24αρι σου. Αυτό ακριβώς έχω και γω. Μάλιστα το ρόλο του router τον παίζει το ίδιο το CRS125.
Και έχω μετά διάφορα AP και RB's σε άλλα σημειά που στο καθένα πάλι πρέπει να σετάρω VLAN στις δικές τους πόρτες.

Φυσικά και γίνεται ένας.. χαμούλης όταν πάμε στο Switch chip VLAN configuration στα MT. Στο σπίτι έχω 3 διαφορετικά switch chip/config για το ίδιο LAN...

[teodor_ch]

Ιδανικά θέλω να το στήσω στα switch. Αρχικά δοκιμάζω αν το 24port που δεν είναι fully managed μπορεί να κάνει εσωτερικά το vlan switching.

Το mikrotik δεν πρέπει να βλέπει τα vlan για να κάνει το routing στα διαφορετικα vlan?

Σε αυτή τη περίπτωση βέβαια μου αρκεί vlan στην ether μόνο. (φαντάζομαι!)

Εξοπλισμό αρχικά δεν αλλάζω (ειδικά αν με τα switch κάνω δουλειά) εκτός εάν το RB δεν αντέχει να κάνει routing μεταξύ των vlans.

[glf]

Ιδανικά θέλω να το στήσω στα switch. Αρχικά δοκιμάζω αν το 24port που δεν είναι fully managed μπορεί να κάνει εσωτερικά το vlan switching.

Το mikrotik δεν πρέπει να βλέπει τα vlan για να κάνει το routing στα διαφορετικα vlan?

Σε αυτή τη περίπτωση βέβαια μου αρκεί vlan στην ether μόνο. (φαντάζομαι!)

Εξοπλισμό αρχικά δεν αλλάζω (ειδικά αν με τα switch κάνω δουλειά) εκτός εάν το RB δεν αντέχει να κάνει routing μεταξύ των vlans.

Καλά κάνεις και θες να δοκιμάσεις. Τώρα πια τα unmanaged switches κατά 99% υποστηρίζουν σωστά τα VLAN tagged πακέτα που δέχονται. Και γω έχω ένα POE unmannaged switch για τις κάμερες. Άρα ότι συσκευή συνδέσω πάνω του αυτό θα πάρει το VLAN tag που έχω προγραμματίσει στην αντίστοιχη πόρτα που συνδέεται στο δικό μου CRS125. ΔΕΝ ΜΠΟΡΩ ΝΑ ΕΛΕΓΞΩ ΟΜΩΣ ΤΙ VLAN ΘΑ ΕΧΕΙ ΚΑΘΕ ΠΟΡΤΑ ΣΤΟ UNMANAGED SWiTCH ! και είναι πολύ λογικό αν το σκεφτείς.

Εσύ θες

24port switch
ether24 - RB951 (vlan100, vlan200, vlan400, vlan500)
ether23 - poe switch (vlan100, vlan200, vlan400, vlan500)
ether1 - DESKTOP PC (vlan100)
ether2 - IP Canera (vlan500)

το οποίο ΔΕΝ γίνεται να το ελεγξεις σε unmanaged switch!

Αν δώσεις VLAN (vlan100, vlan200, vlan400, vlan500) από το ether24 τότε όλες οι πόρτες στο unmanaged switch θα μπορούν μεν να προωθούν την κίνηση σε όλα αυτά τα VLAN's αλλά δεν είμαι τόσο σίγουρος για το πως θα "γενιέται" ένα VLAN tag πχ στο Desktop PC που θες να είναι vlan100. Σε ένα managed switch γινεται. Τώρα όμως νομίζω ότι θα πρέπει η κάθε συσκευή στο unmanaged switch να "γεννήσει" μόνη της το tagged VLAN packet (πχ πολλά VOIP deskphones έχω δει ότι το υποστηρίζουν). Μπλέκουμε όμως σε σενάρια που δεν είναι για να αρχίσει κανείς τα VLAN γιατί θα πελαγώσεις με τη μια.

Μιλάω με υποθετικό σενάριο που έτσι μου φαίνεται οτι θα πάει η ιστορία όπως το σκέφτεσαι.

Και λέω ότι σκέφτεσαι λάθος γιατί δεν έχεις ξεκαθαρίσει μάλλον το πως γίνεται το tagging και το untagging στα TCP packets.
Δεν είναι routing. Είναι προσθήκη-απαλοιφή στα πακέτα που διέρχονται από τις πόρτες ΕΝΟΣ SWITCH (και όχι ενός router).

Για δοκιμη, πάρε βάλε 2 διαφορετικά switch στο RB951 και κοίτα να ορίσεις από ένα διαφορετικό VLAN σε κάθε πόρτα στο RB951 και άρα ΚΑΘΕ (unmanaged) SWITCH θα "παίζει" στο δικό του VLAN. όλες οι πόρτες σε κάθε unmanaged switch θα ειναι σε ΕΝΑ VLAN. Αν καταφέρεις κάτι καλύτερο, εδώ είμαστε να μας το πεις

Από κει και περα αν σου φανεί σωστό αυτό που λεώ, θα δεις ότι εκεί που είναι ο router δεν μπορεί να λειτουργήσει σωστά για το σενάριο που θες γιατι δεν "έλεγχει" τα VLAN. κάθε πόρτα γεννάει, σβήνει ή προωθεί ένα VLAN tag ΑΡΚΕΙ ΝΑ ΕΙΝΑΙ ΠΡΟΓΡΑΜΜΑΤΙΖΟΜΕΝΟ ΤΟ SWITCH

Υ.Γ. οκ στo PC μπορείς να βάλεις "καρφωτό" VLAN στις ιδιότητες της κάρτας δικτύου αν και δεν το έχω κάνει ποτέ μου έτσι. Στην webcamera ; έχει τέτοια δυνατότητα; Είναι τελείως ανορθόδοξος τρόπος και είναι συνταγή για μπλεξίματα νομίζω.

- - - Updated - - -

Πρώτο κόλλημα! Πού στο καλό να φτιάξω τα vlans. Έτσι όπως το σχεδιάζω μόνο η ether2 θα τα βλέπει οπότε μάλλον δεν έχει νόημα αν θα είναι στο switch, bridge ή ether. Αυτό βέβαια μόνο εάν όντως το 24port switch καταφέρνει να κάνει εσωτερικά vlan switching.
Απο τη μία διαβάζω αυτό
https://help.mikrotik.com/docs/displ...t-inswitchchip
και απο την άλλη αυτό
https://www.reddit.com/r/mikrotik/co...eb2x&context=3

Αυτό το κομμάτι αφορά κυρίως την ευκολία ρύθμισης των VLAN
- Στο bridge menu είναι SOFTWARE υλοποίηση και ΟΛΗ Η ΚΙΝΗΣΗ ΠΕΡΝΑΕΙ ΑΠΟ ΤΗ CPU !!!! Είναι λοιπόν πιο εύκολη η ρύθμιση, ΕΙΝΑΙ ΤΟ ΙΔΙΟ ΓΙΑ ΟΛΑ ΤΑ ΜΟΝΤΕΛΑ ΤΗΣ MIKROTIK και άσχετα από το switch chip που φοράει η κάθε συσκευή αλλά... έχεις μειωμένη απόδοση αφού δεν κάνεις χρήση του switch chip.
- Στο switch menu είναι HARDWARE υλοποίηση και προγραμματισμός των VLAN αλλά είναι πιο μπερδεμένο ίσως σαν προγραμματισμός ΑΚΡΙΒΩΣ ΕΠΕΙΔΗ το κάθε.. παράθυρο εξαρτάται από το switch chip που φοράει η συσκεύη! Εδώ πας αποκλειστικά με βοήθεια από την τεκμηρίωση αλλά έχεις πλήρη αξιποίηση της συσκευής σου.

Κατά 99% όλοι έχουμε ξεκινήσει με τον εύκολο τρόπο, κάπου βλέπουμε ότι πέφτει η διαμεταγωγή σε σενάρια έντονης χρήσης και πάει στο 100% η CPU και τότε οι πιο ορεξάτοι κοιτάνε για προγραμματισμό στο switch chip.

Στα CRS3xxx ΔΕ χρειάζεται να μπλέξεις με το switch menu γιατί σε αυτά ακόμα και με το bridge VLAN menu έχει hardware offloading και δουλεύει με το switch chip.

Είναι τα.. εμπειρικά που πρέπει να μάθεις για τα Mikrotik....

[teodor_ch]

Καταρχάς ευχαριστώ για τον χρόνο και τον κόπο σου!

Έπειτα το 24άρι switch δεν είναι fully managed αλλά "smart"


Έχω ξεκαθαρίσει ότι κάποιος πρέπει να κάνει tag (switch port? router? wifi AP? κλπ) και μετά να περάσει απο τη σωστή διαδρομή.

Στο ρούτερ (με τον παραπάνω τρόπο που αναφέρω) στην ether2 πρέπει να φτάνουν όλα τα διαφορετικά vlan για να μπορώ να ορίσω ποιά θα επικοινωνούν με ποιά.
Ελπίζοντας ότι ίδια vlan μιλάνε μεταξύ τους ΜΕΣΑ στα switch.

[K1m0n]

Εγώ θα αφήσω αυτό εδώ: https://forum.mikrotik.com/viewtopic.php?t=143620

[glf]

Α τώρα μάλιστα, έχεις μια χαρά managed switch για VLANs. Ξαναλέω, εκεί που είναι ο router δε χρειάζεται καν να ασχοληθείς με VLANs. Όλα μπορείς να τα κάνεις στο Netgear. Στο RB951 θα πηγαίνει untagged κυκλοφορία προς και από το internet. Σε εκείνο το σημείο δεν έχει καμία λογική να υπάρχουν VLAN tags για το LAN. Αρχή και τέλος είναι το Netgear.

[teodor_ch]

Α τώρα μάλιστα, έχεις μια χαρά managed switch για VLANs. Ξαναλέω, εκεί που είναι ο router δε χρειάζεται καν να ασχοληθείς με VLANs. Όλα μπορείς να τα κάνεις στο Netgear. Στο RB951 θα πηγαίνει untagged κυκλοφορία προς και από το internet. Σε εκείνο το σημείο δεν έχει καμία λογική να υπάρχουν VLAN tags για το LAN. Αρχή και τέλος είναι το Netgear.

Κάτσε να το καταλάβω.
Τα ορίζω όλα στα switch.
Πώς απο το vlan100 θα μπορώ να έχω πρόσβαση στο vlan200 για παράδειγμα και ταυτόχρονα να κόβω το ίντερνετ απο το vlan200 αν δεν το αναλάβει το router αυτό?

[glf]

Έψαξα να βρω ένα παράδειγμα που δείχνει ένα "σπιτικό" στήσιμο VLAN με ξεχωριστό router για internet.
https://www.smallnetbuilder.com/lanw...g-a-small-lan/

Για να έχεις Internet στα VLAN γίνεται έτσι με untagged πακέτα προς το router.
Για το router κάθε VLAN αντιστοιχεί σε ένα ξεχωριστό δίκτυο που του στέλνει πακέτα.

πχ το vlan100 έχει broadcast στο 192.168.100.0/24
και το vlan500 είναι στο 192.168.500.0/24

το router στην πόρτα του θα βλέπει κυκλοφορία από 2-3 διαφορετικά δίκτυα.


Τώρα βέβαια που το σκέφτομαι τίποτα δε σε εμποδίζει να το κάνεις πράγματι ένα trunk μεταξύ του router και του switch που να.. επιτρέπει όλα τα διαθέσιμα VLAN. Αυτό όμως θα είναι μια περιτή κίνηση χωρίς να εξυπηρετεί κάτι αφού η μόνη δουλειά του router στο δίκτυο σου είναι να στέλνει πακέτα στο internet.

[RpMz]

Φτιάξε τα Vlans που θες στα switches και στο Mikrotik, τα vlan στο Mikrotik (menu Interfaces) τοποθέτησε τα κάτω από το Bridge Lan (μέσα στο Bridge μην ενεργοποιήσεις Vlan Filtering, παρά μόνο εάν θες να περάσεις ως untagged συγκεκριμένα vlans στις πόρτες του Mikrotik) και έπειτα στα Switches οι πόρτες των Uplink, βάλε ως tagged τα vlan που έφτιαξες.

Μετά στα Switches, τα vlan που θες να σερβίρεις τα βάζεις ως untagged. Εάν έχει συσκευές που "ακούνε" σε vlans τότε το βάζεις tagged.

Να θυμάσαι, οι ethernet πόρτες των switches που έχεις τα uplink σου, θα πρέπει να τα περάσεις ως tagged τα vlans σου (π.χ το βασικό σου LAN στο bridge-lan είναι το Vlan1. To Vlan12-IOT είναι το vlan12 που θα πρέπει να τo περάσεις ως tagged στο switch). Στις υπόλοιπες πόρτες περνάς ότι Vlan θες εσύ.

Για να κόψεις την πρόσβαση ανάμεσα στα Vlans, το κάνεις μέσω του firewall στο Mikrotik.


**Ελπίζω να μην σε μπέρδεψα

[teodor_ch]

**Ελπίζω να μην σε μπέρδεψα

Πιο πολύ απο ότι είμαι δύσκολο!

(Γράφω παρακάτω για να καταλάβω και εγώ τα βασικά)

Έχω στο σαλόνι το Unifi AC Lite με δύο Wifi names
---PrivateWifi με vlan id 100
---IoTWifi με vlan id 200

Θέλω απο το λάπτοπ μου (Private wifi με vlan id 100) να βλέπω τα IoT. Και τα IoT να μή βγαίνουν στο ιντερνετ.
Στο switch που συνδέεται το Unifi AC Lite θα δηλώσω την ether ως member και στα δύο vlans (χωρίς PVID το οποίο νομίζω εξυπηρετεί για να ορίσει το ίδιο το switch το ID) και θα βάλω τη θύρα ως tagged και στα δύο vlans (αφού το unifi ακούει σε tagged πακέτα για να τα κατευθύνει ανάλογα).
Στην trunk απο το switch στο ρούτερ πάλι πρέπει να στείλω tagged πακέτα (όλων των vlans) για να δώσω ή όχι ίντερνετ.

Καλά το πάω?
(Αυτά με το switch τα κρατάω για τη φάση της υλοποίησης. Να βγάλω άκρη τί θέλω πρώτα!)

- - - Updated - - -

Τώρα βέβαια που το σκέφτομαι τίποτα δε σε εμποδίζει να το κάνεις πράγματι ένα trunk μεταξύ του router και του switch που να.. επιτρέπει όλα τα διαθέσιμα VLAN. Αυτό όμως θα είναι μια περιτή κίνηση χωρίς να εξυπηρετεί κάτι αφού η μόνη δουλειά του router στο δίκτυο σου είναι να στέλνει πακέτα στο internet.

Αν δεν φτιάξω trunk switch-router πώς θα ξέρει το ρούτερ τί να βγάλει στο ίντερνετ και τί όχι?
και πώς θα δώσει διαφορετικά IP subnet στα εκάστοτε vlans?

μήπως δεν έχω καταλάβει κάτι σωστά?

[romankonis]

Basic - https://help.mikrotik.com/docs/display/ROS/VLAN

[teodor_ch]

Η πρώτη δοκιμή έγινε και επιβεβαίωσα ότι τα ίδια vlan id επικοινωνούν μέσω των switch χωρίς να ζορίζουν το router.

Ξεκίνησα να σχεδιάζω όλο το δίκτυο με περισσότερες πληροφορίες και για τα vlan για να τα έχω ξεκάθαρα και για εμένα.



Στο βασικό παράδειγμα βλέπω το router πρώτο να δέχεται όλα τα vlans και υποθέτω ότι εκεί υπάρχουν οι κανόνες για το ποιά θα επικοινωνούν με ποιά πέρα απο το vlan management των switch.
https://help.mikrotik.com/docs/displ...t-inswitchchip


- - - Updated - - -

Έχω αρχίσει και τα βάζω σε τάξη σιγά σιγά (ή έστω νομίζω).

Στο παρακάτω διάγραμμα έχει καμία διαφορά ΠΟΥ θα στήσω το vlan στο RB? (switch, bridge, ether)
Αφού θα είναι συνδεδεμένο μόνο μέσω μίας ether στο switch και θα περνάει απο μέσα του μόνο ότι δεν μπορεί να γίνει αυτόματα switching απο τα switches.
Άρα έτσι και αλλιώς θα περνάει απο τον επεξεργαστή του.




- - - Updated - - -

Έρχονται όλα μόνα τους!

Αφού θέλω μία ether trunk στο RB με όλα τα vlans πώς θα φτιάξω ξεχωριστά segments αφού τα vlans στο switch δεν τα βλέπω σαν ξεχωριστά interfaces?
Οπότε μάλλον αποκλείω το switch και πάω είτε επάνω σε bridge (αν χρειάζομαι το bridge για να βάλω επάνω του και άλλες ether) είτε επάνω στην trunk ether?


Το πάω καλά?