Jump to content
  • 0

Ubiquiti VLAN през Микротик

johnnie

Asked by johnnie,

 Share

Question

johnnie Newbie

johnnie

Posted
Posted

Здравейте,

От няколко дни се опитвам да изпълня една конфигурация, за която обещах да помогна - вече съжалявам.
Търсения ефект е да се вържат 3бр Ubiquity AP към Микротик router/switch и да има работещи VLAN-ни.
Един за management(VLAN101), един за няколко специални машинки(VLAN106), които трябва да бъдат изолирани и един за Guest Wi-fi(VLAN111).

Опитах по обичайния начин за Микротик с trunk ports до AP-тата и до Ubiquiti Cloud Key-я, но не се получи.
Всички VLAN-и бяха конфигурирани на ниво bridge, спрямо документацията на Микротик (работи с CapAC).
Нито едно от устройствата не успя да си вземе IP. Смених порта на Cloud Key-а от trunk на access в management VLAN, но пак не свърши работа.

Единствената информация, която намерих за подобна конфигурация е чрез master/slave интерфейси, но в моя случай няма да свърши работа.

Някой сблъсквал ли се е с този проблем? 
Какъв тип трябва да са портовете към Ubiquiti оборудването - Trunk, Access или дори Hybrid ?

Текущата версия е ROS 6.42.6.

Поздрави !

Link to comment
Share on other sites

4 answers to this question

Recommended Posts

  • 0
  • Administrator
JohnTRIVOLTA Proficient

JohnTRIVOLTA

Posted
  • Administrator
Posted
преди 8 минути, johnnie написа:

Здравейте,

От няколко дни се опитвам да изпълня една конфигурация, за която обещах да помогна - вече съжалявам.
Търсения ефект е да се вържат 3бр Ubiquity AP към Микротик router/switch и да има работещи VLAN-ни.
Един за management(VLAN101), един за няколко специални машинки(VLAN106), които трябва да бъдат изолирани и един за Guest Wi-fi(VLAN111).

Опитах по обичайния начин за Микротик с trunk ports до AP-тата и до Ubiquiti Cloud Key-я, но не се получи.
Всички VLAN-и бяха конфигурирани на ниво bridge, спрямо документацията на Микротик (работи с CapAC).
Нито едно от устройствата не успя да си вземе IP. Смених порта на Cloud Key-а от trunk на access в management VLAN, но пак не свърши работа.

Единствената информация, която намерих за подобна конфигурация е чрез master/slave интерфейси, но в моя случай няма да свърши работа.

Някой сблъсквал ли се е с този проблем? 
Какъв тип трябва да са портовете към Ubiquiti оборудването - Trunk, Access или дори Hybrid ?

Текущата версия е ROS 6.42.6.

Поздрави !

Здравейте,

Като начало можете да ъбдейтните борда до последен стейбъл рилийз и да пшостнете някакъв експорт на борда ! 

Link to comment
Share on other sites
  • 0
johnnie
Newbie

johnnie

Posted
  • Author
Posted

Здравейте,

Знам, че версията е старичка, но не искам да се забърквам с повече проблеми. Както споменах обещах да помогна само с това, има доста VPN тунели и няколко Site-to-Site тунела, които най-вероятно ще трябва да се оправят след версия 6.44 ( или в която версия беше промяната в IPSec).

Относно експорт-а ... снощи за пореден път върнах всички настройки от бекъп за да има Wi-Fi :).

Ориентировъчно, това е което следвах като записки подготвени преди да започна:

 

ether3 - Ubiguiti Cloud Key
ether6 - Ubiguiti AP1
ether7 - Ubiguiti AP2
ether8 - Ubiguiti AP3

 

#######################################
# VLAN Overview
#######################################

# 111 = Guest
# 106 = Isolated
# 101 = BASE (MGMT) VLAN

#######################################
# Bridge
#######################################

# create one bridge, set VLAN mode off while we configure
/interface bridge add name=bridge protocol-mode=none vlan-filtering=no

#######################################
# -- Access Ports --
#######################################

# ingress behavior
/interface bridge port

# MGMT VLAN
add bridge=bridge interface=ether3 pvid=101

# egress behavior
/interface bridge vlan

# MGMT, Guest VLAN
add bridge=bridge untagged=ether3 vlan-ids=101

#######################################
# -- Trunk Ports --
#######################################

# ingress behavior
/interface bridge port

# Trunk. Leave pvid set to default of 1
add bridge=bridge interface=ether6,ether7,ether8

# egress behavior
/interface bridge vlan

# Trunk. These need IP Services (L3), so add Bridge as member
add bridge=bridge tagged=bridge,ether6,ether7,ether8 vlan-ids=101
add bridge=bridge tagged=bridge,ether6,ether7,ether8 vlan-ids=106
add bridge=bridge tagged=bridge,ether6,ether7,ether8 vlan-ids=111

#######################################
# IP Addressing & Routing
#######################################

# MGMT_VLAN
/interface vlan add interface=bridge name=vlan101 vlan-id=101
/ip address add address=192.168.1.1/24 interface=vlan101

# Isolated VLAN
/interface vlan add interface=bridge name=vlan106 vlan-id=106
/ip address add address=192.168.6.1/24 interface=vlan106

# LAN facing router's IP address on the MGMT_VLAN
/interface vlan add interface=bridge name=vlan111 vlan-id=111
/ip address add address=192.168.111.1/24 interface=vlan111

.... Add /ip pool, /ip dhcp-server and  /ip dhcp-server network for corresponding VLANS...

#######################################
# VLAN Security
#######################################

# Only allow ingress packets without tags on Access Ports
/interface bridge port
set bridge=bridge ingress-filtering=yes frame-types=admit-only-untagged-and-priority-tagged [find interface=ether3]

# Only allow packets with tags over the Trunk Ports
/interface bridge port
set bridge=bridge ingress-filtering=yes frame-types=admit-only-vlan-tagged [find interface=ether6]
set bridge=bridge ingress-filtering=yes frame-types=admit-only-vlan-tagged [find interface=ether7]
set bridge=bridge ingress-filtering=yes frame-types=admit-only-vlan-tagged [find interface=ether8]

#######################################
# Turn on VLAN mode
#######################################
/interface bridge set bridge vlan-filtering=yes

 

Поздрави.

Link to comment
Share on other sites
  • 0
  • Administrator
JohnTRIVOLTA Proficient

JohnTRIVOLTA

Posted
  • Administrator
Posted

До колкото виждам имаш 2 бриджа, а филтъринг можеше май само на един да се ползва. Аз бих пробвал следното на твое място:

/interface bridge port 
add bridge=bridge_trunk interface=ether6
add bridge=bridge_trunk interface=ether7
add bridge=bridge_trunk interface=ether8
/interface vlan 
add interface=bridge_trunk vlan-id=101 name=vlan101
add interface=bridge_trunk vlan-id=106 name=vlan106
add interface=bridge_trunk vlan-id=111 name=vlan111
/interface bridge add name=bridge_MGMT
/interface bridge port
add bridge=bridge_MGMT interface=ether3
add bridge=bridge_MGMT interface=vlan101
/ip address add address=192.168.1.1/24 interface=bridge_MGMT
/ip address add address=192.168.6.1/24 interface=vlan106
/ip address add address=192.168.111.1/24 interface=vlan111


и т.н , като изолацията на L3 мрежите ще се направи в рутинг таблицата:

/ip route rule
add action=drop dst-address=192.168.6.0/24 src-address=192.168.1.0/24
add action=drop dst-address=192.168.1.0/24 src-address=192.168.6.0/24
add action=drop dst-address=192.168.6.0/24 src-address=192.168.11.0/24
add action=drop dst-address=192.168.11.0/24 src-address=192.168.0.0/24
add action=drop dst-address=192.168.11.0/24 src-address=192.168.6.0/24
add action=drop dst-address=192.168.1.0/24 src-address=192.168.11.0/24

 

Link to comment
Share on other sites
  • 0
bezimenen Newbie

bezimenen

Posted
Posted (edited)

Портовете трябва да са trunk с native vlan 101 (да си комуникират ап-тата с контролера). Съответно ап-тата ще са в мрежата 101. SSID-тата ги правиш в другите мрежи.

Edited by bezimenen
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.

  I accept