Jak po novu na VLANy a bridge?

radek_kovacik

Protože jsem začal řešit úpravu konfigurace svého Mikrotiku (bližší info v tomto vláknu) a náhodně jsem narazil na tuto stránku ve wiki, chci se zeptat (všeobecně), jak by se správně po všech těch změnách od verze 6.41 měly vytvářet konfigurace s VLANy a bridgi?

Když jsem se snažil přelouskat si ty jednotlivé případy na uvedené stránce, tak mi to připadá, že všechno to, co se původně běžně a často používalo, že je dnes špatně a že se to má dělat jinak. Jaký na to máte názor vy?

the_max

Ono je to kus od kusu. Na něčem jsou v bridgi, někde ve switchi, záleží na konkrétním switch čipu v boardu. Nastavení mi přijde jednodušší na bridgi, ale musíš vycházet z toho, jakou máš desku.

radek_kovacik

Já jsem se dnes pokoušel migrovat konfiguraci z jednoho Mikrotiku na druhý a i když jsem vůbec při takové jednoduché věci nepředpokládal problémy, tak to nakonec dopadlo tak, že ten druhý MK jsem s tou existující konfigurací vůbec nerozjel, resp. ani DHCP server nepřidělil IP adresu počítači. Přitom tam jsou stejné switch čipy Atheros 8327 a pouze se liší samotná platforma - původní MK je MIPSBE a ten nový je ARM. Vypadá to, že to budu muset asi celé úplně od začátku naklikat. Problém je ovšem v tom, jak právě vyřešit ty VLANy a bridge, aby to bylo funkční (ideálně na obou zmiňovaných platformách). Co jsem viděl v té wiki dokumentaci, tak používám jednu z těch "špatných" konfigurací, ale nevím jak to překlopit tak, aby to fungovalo a abych při tom nepřišel o výkon toho switche.

Např. mi není jasný rozdíl mezi tím, když VLAN připojím do můstku přes menu /interface bridge port nebo přes menu /interface vlan.

the_max

Tak já používám VLANy na CRS3xx a CRS1xx, tam mi to funguje. Ale na ostatních deskách, kde jsou právě ty AR8327 nebo AR8227 mi to nikdy pořádně nešlo.

Dej sem export konfigurace.

radek_kovacik

Stávající konfigurace je v příloze. Ta moje otázka v předchozím příspěvku se týkala těchto případů:

/interface vlan add interface=Bridge name=VLAN10 vlan-id=10

/interface bridge port add bridge=Bridge interface=VLAN10

V čem se to vlastně liší?

radek_kovacik

V příloze mám jednu konfiguraci, která by snad mohla fungovat, ale tam je pouze 1 VLAN. Otázka zní, jak to nakonfigurovat, aby fungovaly 3 VLANy současně (každá se svým rozsahem IP) a přitom aby se zachoval hw. offload na vestavěném switchi? S více VLANami jsem to zkoušel všelijak, ale uspokojivého výsledku jsem se nedobral. Buď mi to nefungovalo vůbec (DHCP server nepřiděloval IP), nebo se zrušil hw.offload. V jednom případě fungovaly ethernetové porty, ale nefungovala wifina. Už jsem z toho na prášky.

Máte někdo funkční konfiguraci, která by tyto požadavky splňovala?

ludvik

Hw offload bude fungovat dokud nezapneš vlan filtering (a ještě různé další drobnosti ...). To je věc fungující snad jen na CRS. V podstatě pokud naházíš ehternety do bridge, tak to hwoffloadované bude. Samozřejmě jen jeden bridge v rámci jednoho switch čipu.

Pokud na bridge přiřadíš VLANy, tak to stále bude offloadované. A už máš svoje řešení ...

Zde je k nalezení tabulka, co offload znemožní: https://wiki.mikrotik.com/wiki/Manual/Bridge

Problémem je právě ten vlan filtering. Ten by chtělo aktivní, jenže to většinou nejde. Čili takto naházené VLAN na bridge jsou pak na všech ether v daném bridge.

Ohledně dalších možných zádrhelů je tato stránka: https://wiki.mikrotik.com/wiki/Manual ... figuration

Tvůj případ bude nejspíš "VLAN on a bridge in a bridge". Což je to, co potřebuješ pokud chceš VLAN společně s wifi v jednom bridge ... A jsi bez offloadu.

---

Ale ani "new bridge" neruší možnost definovat VLAN přímo na switch čipu, tak jako dřív. I když to zjevně také nefunguje všude (4011, 1101AHx4, četl jsem, nezkoušel jsem).

/interface ethernet switch port

#ether3, definována untagged VLAN a secure znamená, že neznámé VLAN budou zahozeny

set 2 default-vlan-id=80 vlan-header=add-if-missing vlan-mode=secure

#tohle je CPU port (příklad je z 450Gx4, ROS 6.42.11)

set 5 vlan-mode=fallback

/interface ethernet switch vlan

add independent-learning=no ports=ether3,switch1-cpu switch=switch1 vlan-id=51

add independent-learning=no ports=ether3,switch1-cpu switch=switch1 vlan-id=52

add independent-learning=no ports=ether3,switch1-cpu switch=switch1 vlan-id=80

Tahle konfigurace mi udělá tři VLANy na ether3, z toho jednu jako untagged (čili pro laika "simulace čistého ether").

Pak už jenom přidám klasickým způsobem tyto VLANy na ether3 jako interface. A s nimi pracuji úplně normálně. Akorát mě už vůbec nezajímá ether3.

Nějaký offload mě v tomto případě už nezajímá, protože stejně všechno musím mít přes CPU. A pokud náhodou ne, tak obdobně nadefinuji vlan i na jiném portu a to pak bude jen interní provoz switch čipu.

radek_kovacik

Je to tak, jak píšeš. Odkazované stránky už znám skoro zpaměti a právě ty popisované problémy byly důvodem, že jsem nevěděl, jak pokračovat dále. Původně jsem tam měl 4 bridge (jeden kvůli hw.ofload pouze na ethernety a na dalších třech byly navěšeny jednotlivé VLAny a wifiny včetně DHCP serverů). Na platformě MIPSBE to fungovalo, na ARMu už ne - a do teď nevím proč. Ta původní konfigurace je o pár příspěvků výše.

Ohledně tvé odpovědi bych potřeboval ujasnit některé věci:

Pokud na bridge přiřadíš VLANy, tak to stále bude offloadované. A už máš svoje řešení ...

Myslíš to tak, že mám všechny VLANy navěšet na jediný bridge? Pokud ano, tak jakým způsobem (seshora, že celý bridge bude jakoby pod těmi 3 VLANami nebo jednotlivé VLANy přiřadit jako jeden z portů toho bridge)? Na tom příkladu na wiki, který zmiňuješ, jsou obě možnosti a já nerozumím tomu, v čem se ty dva bridge liší.

Problémem je právě ten vlan filtering. Ten by chtělo aktivní, jenže to většinou nejde.

Hlavním problémem aktivního filtrování VLAN je nadměrné vytížení procesoru. Když jsem to zkoušel na tom novém ARMu (hAP AC2), tak i na téměř nevytížené síti to potřebovalo 30% výkonu procesoru na dvou jádrech. Starý RB751 to nezvládl vůbec.

Co se týká nastavení samotného switche, to by fungovat mohlo. Také jsem to tak používal. Protože to však začalo zlobit, tak to mám prozatím zrušené a až vyřeším ten problém mostů a VLANů, zkusím tu konfiguraci switche vrátit zpět.

ludvik

Jsme se v tom asi trochu zamotali. Dáš-li ethernety a wifi do jednoho bridge, bude to offloadované (ethernety, samozřejmě).

Přidáním VLAN na bridge máš nová rozhraní, které budou také offloadované - ale VLAN ID bude fyzicky na všech fyzických rozhraních. Což vadit může, ale nemusí.

Offload je jen to, že programuje switch čip za tebe. Mě se to také nelíbí, pro mě je to moc velký blackbox.

Jen bohužel nesmíš ty VLAN vrazit ještě do dalšího bridge. Filtering něco stojí.

Všechny problémy ti vyřeší konfigurace VLAN přímo na switch čipu. Jenže u některých to zjevně nejde (realteky myslím u té 4011 a 1101AHx4). Ale u 450Gx4 to jde, to je také ARM, ale s Atheros switchem.

Nebo se na to vykašli úplně, nech to na software - a ethernet si vyřeš nějakým samostatným switchem. Na doma je to vcelku fuk.

radek_kovacik

Tato konfigurace také funguje, ale pouze když je povoleno filtrování VLAN. Jakmile filtrování vypnu, počítač nedostane IP adresu od DHCP. Oproti předchozí konfiguraci jsem pouze přehodil VLAN z ethernetu2 na bridge a DHCP server s rozsahem adres jsem přiřadil na VLAN. Proč to ale nefunguje s vypnutým filtrováním? Dělám něco špatně nebo je RouterOS nastavený tak, aby při vypnutém filtrování vůbec nepracoval s VLANami?

radek_kovacik

Podařilo se mi objevit tu chybu, kvůli níž ta poslední konfigurace (z předchozího příspěvku) nechtěla fungovat při vypnutém filtrování VLAN na bridgi. Chyběl tam tento řádek:

set 5 default-vlan-id=auto vlan-header=leave-as-is vlan-mode=secure

S ním už to jede. Na základě těchto pokusů jsem pochopil, že při vlan-filtering=no to pracuje s VLANami, které jsou nakonfigurované v sekci /interface ethernet switch a odpovídajících podsekcích, zatímco při vlan-filtering=yes RouterOS tato nastavení zřejmě ignoruje a používá definice VLAN ze sekce /interface bridge. Z tohoto důvodu je při zapnutém filtrování VLAN na bridgi lepší všechny konfigurace switche dát do defaultního stavu.

Nakonec jsem se dopracoval i k té své vytoužené konfiguraci se 3 VLANami a funkčním hw. offloadem. Konfigurace je v příloze, tak snad to někdy někomu pomůže, kdo s tím bojuje podobně jako já.

Ještě bych na tomto místě upozornil všechny, že není úplně šťastné používat příkaz export bez parametru verbose, neboť to často ukáže nekompletní konfiguraci a pak se velice špatně hledají chyby, neboť se zdá, že v konfiguraci nenastala žádná změna, ale ona tam je, jen se nezobrazila.

Vlasta_B

Ahoj, řeším obdobný případ zapojení mikrotiku, tak by se mi hodila ta konfigurace, kterou jsi vynalezl jako funkční. Jen nikde nemohu najít, kam jsi ji jako přílohu uložil. Mohl bys mi ji případné prosím poslat na e-mail vbelohlavek@linkabs.cz?
Ušetřil bys mi bádání:-) Vřelé díky! Vlasta