Един и същ VLAN на различни портове

[RTA]

Здравейте, 

имам следния казус:

Имам основен рутер Mikrotik CCR2004-16G-2S+ От няколко от портовете тръгват различни VLAN-и id:13, 14, 15, 16 и т.н. които са за наематели на сградата и съответно VLAN  с id:10 който е за вътрешна употреба и на него са закачени камерите. Добавям различни мрежи към различните VLAN-и и съответно DHCP към тях. Съответно към всеки отделен суич пускам в тънк примерно VLAN16 за наемателя и VLAN10 , за да наблюдавам камерите. Мрежите не трябва да се виждат по между си. Проблема ми идва в това, че не мога да пусна VLAN10 на повече от един порт. Явно подхода би следвало да е различен, но не мога да го измисля.

Прилагам принципна схема и конфигурацията на суича. Ще бъда благодарен за насоки.

 

# 2024-06-06 10:18:12 by RouterOS 7.12.2
# model = CCR2004-16G-2S+

/interface bridge
add name="bridge-NAEMATELI"
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] comment=VHOD-SKAT
set [ find default-name=ether2 ] comment=NVR
/interface vlan
add interface="bridge-NAEMATELI" name=vlan10 vlan-id=10
add interface="bridge-NAEMATELI" name=vlan16 vlan-id=16
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.4.2-192.168.4.254
add name=dhcp_pool1 ranges=10.10.16.2-10.10.16.254
add name=dhcp_pool2 ranges=192.168.168.2-192.168.168.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=vlan10 name=dhcp1-VLAN10
add address-pool=dhcp_pool1 interface=vlan16 name=dhcp1-VLAN16
/port
set 0 name=serial0
set 1 name=serial1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge="bridge-NAEMATELI" interface=ether16
add bridge="bridge-NAEMATELI" interface=ether15
add bridge="bridge-NAEMATELI" interface=ether13
add bridge="bridge-NAEMATELI" interface=ether14
add bridge=bridge1 interface=ether9
add bridge="bridge-NAEMATELI" interface=ether10
add bridge=bridge1 interface=ether11
add bridge="bridge-NAEMATELI" interface=ether12
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface bridge vlan
add bridge=bridge1 untagged=vlan10 vlan-ids=10
add bridge=*1F untagged=vlan10 vlan-ids=10
/ip address
add address=10.10.16.1/24 interface=vlan16 network=10.10.16.0
add address=192.168.4.1/24 interface=vlan10 network=192.168.4.0
/ip dhcp-client
add interface=ether1
/ip dhcp-server network
add address=10.10.16.0/24 dns-server=1.1.1.1,8.8.8.8 gateway=10.10.16.1
add address=192.168.4.0/24 dns-server=1.1.1.1,8.8.8.8 gateway=192.168.4.1
add address=192.168.168.0/24 dns-server=1.1.1.1,8.8.8.8 gateway=192.168.168.1
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.4.0/24
add action=masquerade chain=srcnat src-address=10.10.16.0/24
/system clock
set time-zone-name=Europe/Sofia
/system note
set show-at-login=no
/system routerboard settings
set enter-setup-on=delete-key

 

[JohnTRIVOLTA]

За да изолирате виланите може да ги добавите в интерфейс лист всичките, като в следствие ще добавите в стената правило за дроп с ин интерфейс лист и аут интерфейс лист тази съща листа!

ip fi fi add chain=forward action=drop in-interface-list=vlans out-interface-list=vlans

Не виждам какъв е смисъла от това, да ползвате влан10 за нативен ли?

/interface bridge vlan
add bridge=bridge1 untagged=vlan10 vlan-ids=10
add bridge=*1F untagged=vlan10 vlan-ids=10

 

[RTA]

17 minutes ago, JohnTRIVOLTA said:

За да изолирате виланите може да ги добавите в интерфейс лист всичките, като в следствие ще добавите в стената правило за дроп с ин интерфейс лист и аут интерфейс лист тази съща листа!

ip fi fi add chain=forward action=drop in-interface-list=vlans out-interface-list=vlans

Не виждам какъв е смисъла от това, да ползвате влан10 за нативен ли?

/interface bridge vlan
add bridge=bridge1 untagged=vlan10 vlan-ids=10
add bridge=*1F untagged=vlan10 vlan-ids=10

 

Да, използвам го за нативен вместо VLAN 1. Реално не мога да добавя на друг интерфейс същия VLAN 10. 

[JohnTRIVOLTA]

преди 57 минути, RTA написа:

Да, използвам го за нативен вместо VLAN 1. Реално не мога да добавя на друг интерфейс същия VLAN 10. 

Е как така не можете? Когато са назначени всички вилани на бриджа то всички етернет или бридж портове в него са трънк! Просто посрещнете с трънк на всеки суич и си разтагнете нужният вилан на съответния етрнет порт.

[RTA]

На 6.06.2024 г. at 13:22, JohnTRIVOLTA написа:

Е как така не можете? Когато са назначени всички вилани на бриджа то всички етернет или бридж портове в него са трънк! Просто посрещнете с трънк на всеки суич и си разтагнете нужният вилан на съответния етрнет порт.

Точно така съм направил. Двата VLAN-a вървят тагнати през бриджа на определени портове. На отсрещните суичове ги разтагвам по техните портове и съответно там вече са в акцес. До тук проблем няма всичко работи. Проблема, е че искам да вкарам този VLAN10 на друг бридж с VLAN13, защото и там имам камери, а то не ми позволява.

 

Логиката ми е по стандартния път. Тагвам VLAN примерно на порт 5 и 6 и ги разтагвам на отсрещният суич. В случая мога да го тагна само на порт 5 и не мога и на порт 6. Надявам се да сте ме разбрали правилно.

Edited June 6, 2024 by RTA

[JohnTRIVOLTA]

преди 13 минути, RTA написа:

Логиката ми е по стандартния път. Тагвам VLAN примерно на порт 5 и 6 и ги разтагвам на отсрещният суич. В случая мога да го тагна само на порт 5 и не мога и на порт 6. Надявам се да сте ме разбрали правилно.

Ползвайте бридж вилан филтъринг .

Важното е да се съобразите, като ползвате порове от една суич група - пример втора, а портовете от първа група оставите за WAN или други мрежи.

Може и по стария метод софтуерно само с бриджове за разтагнати вилани и бридж за трънк. В момента е някаква смесица.

[RTA]

On 6/6/2024 at 3:20 PM, JohnTRIVOLTA said:

Ползвайте бридж вилан филтъринг .

Важното е да се съобразите, като ползвате порове от една суич група - пример втора, а портовете от първа група оставите за WAN или други мрежи.

Може и по стария метод софтуерно само с бриджове за разтагнати вилани и бридж за трънк. В момента е някаква смесица.

Голяма каша ми стана в главата. Мисля си да го направя по-просто. Ако оставя натив VLAN-a да е 1 и пусна само по портовете VLAN16,15,14 и 13 би ли следвало по VLAN-1 да ми тръгнат камерите?

[JohnTRIVOLTA]

Преди 5 часа, RTA написа:

Голяма каша ми стана в главата. Мисля си да го направя по-просто. Ако оставя натив VLAN-a да е 1 и пусна само по портовете VLAN16,15,14 и 13 би ли следвало по VLAN-1 да ми тръгнат камерите?

Оставете VLAN13 тогава за камери, защо е необходимо за тях VLAN10 или пък да ползвате нативния VLAN1 ? Гледам, че диаграмата е все с умни суичове!? Ако камерите са в различни L3 сегменти то тогава си рутирайте необходимите VLAN-и за достъп от съответните мрежи! Ако филтъринга не ви е ясен то може софтуерно да подходите, като си назначите всички вилани на бридж , който ще е трънк и ще добавите в него всички етернет портове по който ще возите трафика на трънка т.е. портовете към 4те суича. Добавяте си и бриджове за разтагнатите вилани в рутера, като се добавят в него съответния вилан и етернет, като бриджпорт.

[RTA]

12 hours ago, JohnTRIVOLTA said:

Оставете VLAN13 тогава за камери, защо е необходимо за тях VLAN10 или пък да ползвате нативния VLAN1 ? Гледам, че диаграмата е все с умни суичове!? Ако камерите са в различни L3 сегменти то тогава си рутирайте необходимите VLAN-и за достъп от съответните мрежи! Ако филтъринга не ви е ясен то може софтуерно да подходите, като си назначите всички вилани на бридж , който ще е трънк и ще добавите в него всички етернет портове по който ще возите трафика на трънка т.е. портовете към 4те суича. Добавяте си и бриджове за разтагнатите вилани в рутера, като се добавят в него съответния вилан и етернет, като бриджпорт.

Основния ми проблем идва от това, че искам камерите, NVR-a и част от другите портове да са в една мрежа(192.168.4.1/24) Затова пускам VLAN 10 или 1 тагнат заедно с VLAN 13,14,15 и 16 , а в същото време трябва да е access по част от портовете. После ми хрумна да сложа мрежата 192.168.4.1/24 на бриджа вместо на VLAN-a , но пак нешо куца. Нещо дребно е, но ми се изплъзва.

[JohnTRIVOLTA]

Свързването на два вилана се осъществява софтуерно с бридж т.е. добавяте бридж в който се слагат съответните вилани, оставям на старана , че това е против всякаква логика и е нонсенс. По-добре си пуснете хибридно вилан 10 при порта на акцес на вилан 13 и тамошните камери ги настройте да ползват вилан 10 !