Pomoc s VLAN pro Nanostation M5

vsn

Ahoj, pokouším se nastavit VLANy v kombinaci Nanostation M5 + Smart Switch + router. Vše se zdá, že funguje jak má, až na to, že pokud připojít NanostationM5 do portu "1" na Switchi, tak se na switch nedá dostat a odezva na něj je 800ms+, v momentě, kdy tento 1 kabel odpojím, tak odezva 1ms. Zapojené to mám viz. nákres. Potřebuji to tak mít, abych nemusel tahat další kabel + zapojovat další POE zdroj. Switch mi loop nehlásí, na Nanostation jsem zapl i STP.

už si s tím nevím rady 🙁 Děkuji

obrázky:

topologie sítě
nastavení switche

-nastavení nanostation

vsn

pokud deaktivuji bridge0, tak vše OK,

... teď jsem ještě postřehl v bridge table, že tam je přes 1000 záznamů. To by mohlo způsobovat ono ne? ... tzn VLAN jsou dobře.. ?

Lze to nějak odfiltrovat aby mi to nevstupovalo do sítě? ... (hádám, že tohle by měl mít ošetřený už ISP)

iTomB

Zkus si prostudovat, k cemu a jak funguji VLAN. Dle obrazku propojujes WAN a LAN dohromady.

vsn

iTomB No právě po prostudování jsem to nastavil tak, jak jsem to nastavil. 2 rozdílné sítě (WAN a LAN) mám oddělené 2 TAGY (VLAN10 a VLAN20) a na AP1 je pak vytvořený Bridge pro každou síť ... Ono to i funguje, ale po připojení AP1 do Switche se už na switch skoro nedostanu a má odezvu 500 - 800ms. (na ostantí zařízení v síti, je ping OK)

pokud odeberu WLAN z bridge0 tak pak je to OK ... hádám, že to má co dočinění s tím, že asi asi vidím všechny klienty ISP v Bridge0 (na M5) - (ale proč to odnese switch když veškerý WLAN provoz se směrován přes TAG10 na WAN routeru? ) a hlavně, proč ty klienty vůbec vidím?

(PS u Nanostation M5 mám jsem napsal špatný koment u Bridge0, má být internet > WAN (ne LAN) )

jezdec

vsn

Asi sem natvrdly ale nechapu ten nakres ... co vlastne dela ten router ? kde je realne privod do toho vseho.. proc je WAN a LAN routeru pripojeny do toho switche...nejak to nedava smysl

vsn

jezdec

AP1 je klient od ISP, - tzn. Zdroj interneru wlan0 (v bridge s vlan10) - viz. Screen z nastavení M5(ap1)

AP2 je už jenom bridge v rámci LAN sítě (vlan20)

Za ním je switch + poe (tzn. potřebuji mít lan i wan na 1 kabelu kvůli poe a abych nemusel tahat další kabel na střechu) za switchem router... lan / wlan odděleno VLAN (10 a 20) ... řekl. bych, že to funguje správně. (tzn. když změním např. na m5(ap1) management na bridge s vlan10 (wan), tak se na něj z vlan20 (lan) už nedostanu.

Myslím, že problém způsobuje to, na AP1 když si kliknu na bridge table, tak vidím všechny klienty ISP, což je asi špatně a nevím jak to v nanostation přenastavit.

Díky

klacek

Proč je VLAN 10 na portu 2 switche tagovaná ? Pokud je PVID na 10, tak bych čekal, že vlan 10 bude na tom portu netagovaně ...

vsn

klacek jestli to chápu dobře tak by to tak mohlo být... původně jsem i měl port2 na switchi jako ungress -netagovaný. Až pak jsem zjistil, že na routeru jde nastavit vlan na wan.

A chápu to tak že pvid znamená: pokud NEtagovany provoz dorazí , náleží "tomuto -pvid) vlanu
Pokud tedy na port pvid10 dorazí tag20, tak by to měl brát stále jako 20 ne? Nebo se pletu?

Děkuji

jezdec

vsn

Pokud VLANy chapete a vite ceho chcete vlastne dosahnout mozna vam pomuze

https://help.ui.com/hc/en-us/articles/204952204-airMAX-Management-tagged-and-Access-VLAN-untagged-on-Station-LAN

klacek

Osobně bych na routeru žádný VLAN na WAN nenastavoval, nechal to bez tagu a pak tedy na switchi dat PVID 10 a VLAN 10 netagovaně, tj. bude se to chovat jako access port. Naopak na portu 1 bych nechal PVID 1 a pak tedy 10 i 20 tagovat, což bude i pro ubnt čitelnější.

vsn

klacek ok, vyzkouším. Co jsem koukal na tvůj odkaz, tak tam je, ze "Due to changes in the wireless driver, it is a requirement that WLAN0 is a member of a bridge. This applies to airMAX AC only"

Z toho tedy usuzuji, že wlan0 by neměl být bridge s s ničím. Pokud nemám airmax ac. Pak akorát nevím, jak M5 pozná že wlan0 má směřovat na vlan10.

Případně komplet vlan10 zrušit na m5 a tagovat len lan (vlan20)

vsn

Tak dnes jsem se k tomu konečně zase dostal a zjistil, kde je problém.

1) všiml jsem si, že LAN0 má větší traffic než VLAN10+VLAN20 - pokud odeberu z bridge WLAN (co je s VLAN10) tak problém ustane. (tzn. ping na switch je OK) - internet samozřejmě pak nejde.

2) upravil jsem PVID na portu 1 a 2 na "1" - je to tagované, tak to nemělo smysl tak mít. - bez výsledku, switch zahlcen.

3) zkusil jsem pro internet zrušit VLAN.
tzn. v bridge LAN0 + WLAN, na Switchi "port1" PVID10 - netagované. -, "port2" TAG VLAN10 do routeru" bez výsledku. - switch zahlcen.

4) finální - vypl jsem IGMP snooping na switchi a bingo, - tohle způsobuje problém. - Hádám, že to bude mít tu souvislost s tím, že v Nanostation M5 vidím v bridge Table úplně všechny zařízení ISP a nevím jak se toho zbavit. Pokud Nanostation M5 odpojím od AP ISP, tak vytížení procesoru u M5 je kolem 5%, po připojení bez provozu 20%.

Poradí někdo, jak problém vyřešit (místo abych ho jen obešel tím, že jsem vypl igmp snooping? ) děkuji