MikroTik: kaskadisches Core-Netzwerk CCR-CRS-CRS mit Satelliten-Swichtes+APs - ein Versuch einer Anleitung von A-Z

Sorry, aber was ist das für eine sinnfreie Aussage ?! Jeder Hersteller liefert seine Switches mit einer Banalkonfig: alle Ports in VLAN 1 und keinerlei andere Konfig. Quasi also wie ein ungemanagter Banalswitch.
Jeder muss also IMMER die Konfiguration eines jeden Switches auf der Welt konfigtechnisch anfassen wenn er etwas gehobene Ansprüche an seine Netzwerk Infrastruktur hat als ein simples, banales Heimnetz wo alles dumm in einer gemeinsamen, flachen L2 Hierarchie liegt.
Deine Logik ist da also etwas schwer verständlich...
Gegen ein Krankenhaus Netzwerk mit 3000 Ports ist das eher eine Lachnummer auf Heimnetz Niveau. Auch hier sind Ansichten immer relativ und in einem Administrator Forum sollte man sowas nie so unreflektiert werten...
So und nun erstmal zurüch zum Thread....
1.)
Eine DHCP Client Anbindung an den ISP Router ist immer eine schelchte Lösung. Grund: Du bekommst eine dynamische IP die sich immer ändern kann. An dieser IP Adresse hängt eine deiner wichtigstens Routen vom ISP Router zu deinem VLAN Router. Es ist logischerweise keine gute Idee diese auf dynamischen IP Adressen basieren zu lassen, das weiss auch ein Laie. Hier solltest du imemr eine feste statische IP Adressierung verwenden !
Ausnahme: Du kannst mit dem ISP Router Mac Adress basierte feste IPs im DHCP Server vergeben, dann ist das tolerabel mit den DHCP Client.
2.)
Punkt 2.1 Ist hier vollkommen falsch !!!
Du musst erstmal bestimmen WELCHER Switch dein Layer 3 Switch werden soll ! Der Switch also der zwischen den VLANs routen soll. Sinnvoll ist hier der CCR1009 oder der zentrale CRS328-4C. Einzig nur dieser Switch bekommt VLAN IP Adressen die anderen NICHT !!!
Wenn du es allerdings ganz toll machen willst dann lässt du BEIDE MTs in einem HA Design laufen im Core mit VRRP Redundanz. So hast du ein Hochverfügbarkeits Core. Ob du das machst oder nicht ist abhängig von deinen Anforderungen ans Netzwerk.
Alle anderen sind Layer 2 Switches und haben rein NUR die VLANs konfiguriert bzw. switchen rein nur im Layer 2 ! Einzig eine IP Adresse haben die und das ist die Management IP im VLAN 99. KEINE anderen IPs !
ALLE Ports sind immer VLAN-Bridge Member Ports !!!
Mit der PVID bestimmst du un welchem VLAN Endgeräte untagged arbeiten sollen und mit dem Tagging bestimmst du wenn sie selber VLANs übertragen bekommen sollen wie z.B. bei MSSID APs usw.
Hier machst du also im Punkt 2.1 und 2.2 einen fundamentalen Design und Konfg Denkfehler oben !
Ansonsten ist dein Vorgehen soweit korrekt !

Das große Ganze sähe aus Switch Sicht für L2 und L3 bezogen auf dein Netz dann so aus:

Aaahhsoo...sorry, missverstanden bzw. hattest du in der Tat nicht erwähnt. Dann solltest du aber sehr schnell mal den Lieferanten wechseln, denn wenn der so ein banales Setup nicht hinbekommt ist der wohl ein Reinfall bzw. gänzlich die falsche Wahl was seine MT Kenntnisse angetrifft.
Wäre der bessere Weg !
Hat ja aber erstmal rein gar nix mit deiner interen IP Adressierung zu tun und brauchst du auch nicht zwingend. Nicht das du hier schon wieder etwas missverstehst.
Die Provider Adressierung ist für dein internes Netzwerk natürlich erstmal völlig irrelevant !
Pro VLAN Interfacemeinst du sicher und das passt dann auch bzw. siehst du ja auch so in der obigen Zeichnung wie es auszusehen hat !
Nein ! Niemals in einem VLAN Setup eine IP auf das Bridgeport Interface setzen. Das führt zum sofortigen Scheitern des Setups ! Das MT VLAN Tutorial weiss MEHRFACH auf diesen Fehler hin es nicht zu tun !! IP immer auf das Management VLAN Interface !!
Ja, aber dort wird niemals etwas dynamisch eingetragen und schon gar nichts erkannt. Diese Zuordnung musst immer DU im Switch Setup machen !
Unter "Bridge Ports" werden generell die Member Ports der VLAN Bridge eingetragen. Das sind bei dir immer alle physischen Ports in deinem VLAN Setup.
Router OS kann auch ein reiner Router sein mit dedizierten IP Adressen auf den physischen Interfaces. Das ist aber ein Setup was du hier gar nicht hast. Also musst du alle physischen Ports auch als Member Ports definieren.
Das Bridge VLAN definiert dann die VLANs des Switches und welche Ports Taggen sollen. Nur Taggen. Untagged bestimmst du allein mit der Port PVID. All das steht aber auch so explizit mehrfach im VLAN Tutorial ! Lesen und verstehen...!
Dann arbeitet dein MT rein als Port basierter IP Router. Damit ist dein VLAN Setup oben unmöglich. Router OS kann eben beides. Es hängt rein von DIR und deiner Konfig ab wie das Gerät arbeitet oder arbeiten soll.
Macht aus Sicherheitssicht auch Sinn
Dann vergibt man keinerlei PVID 1 auf den Ports und konfiguriert KEIN IP Interface fürs VLAN 1. Ganz einfach und simpel.

Nicht nur dich selber sondern auch die Community hier...
Nein !
Das ist schlicht falsch und du solltest aufhören solche falschen Tatsachen hier zu verbreiten. Zumindestens was das hiesige VLAN Tutorial anbetrifft steht dort mehrmals der Hinweis in einem VLAN Setup keine IP Adressen direkt auf das Bridge Interface zu legen !! Wenn also dann bitte RICHTIG lesen und zitieren !
Es ist sogar ein Bild der IP Adressierung dort gepostet was nirgendwo das Bridge Interface selber in der IP Adressierung zeigt sondern ausschliesslich VLAN Interfaces:
Woher hast du also diese Falschinformation ??
IP Adressen in deinem VLAN Umfeld also immer nur auf VLAN Interfaces ! Einzige Ausnahme mag nur der Koppelport auf den ISP Router sein. Ob man den als dedizierten Routing Port (kein Bridge Member !) oder über ein VLAN IP Interface routet ist eine rein kosmetische und persönliche Geschmacksfrage.
Nein, dies bekommt er nur wenn er in der Bridge VLAN Konfig als Tagged Port für dieses VLAN eingetragen ist.
Kommen wir mal zu den Topic Punkten von dir...
1.)
Ja, das ist bei allen Geräten mit Router OS so. Wie sie das tun ist allein von DEINER Konfig abhängig.
Zugriff auf das Router OS geschieht dann ganz simpel über die IP Adresse die du dem Management VLAN IP Interface vergeben hast, fertisch.
Und ja alles muss natürlich den richtigen VLAN Tag haben um wieder dem Interface oder dem VLAN zugeordnet werden zu können. Welche VLAN IDs der Switch "kennt" und wie er Taggen soll definierst du wie bei jedem Switch in den "Bridge VLANs".
Erstmal ist der Port ein Mann und zweitens ist das ja auch so. Alle physischen Ports sind in deinem Setup ja Member der VLAN Bridge, folglich sollte dann dort auch jeder physische Port aufgelistet sein !
Das also was du als vorteilhaft ansiehst ist ein simples Muss !
In den VLAN Bridge Settings sagst du lediglich ob dieser Port für VLAN x getagged werden soll oder nicht. Nicht mehr und nicht weniger....
2.)
Nein ! Auch Layer 3 Switching macht Mikrotik in Hardware. (Fast Switching) Das "siehst" du aber nicht in der Konfig da es Switch Chip intern passiert. Ist für die Konfiguration an sich also nicht relevant.
Intern ja. Auch ein untagged Endgeräte Port (PVID) wird in der internen Switching Backplane getagged damit der Switch alles eindeutig zuordnen kann. Das aktiviert man mit dem Button "VLAN Filtering".
Hat dich aber auch nicht zu kümmern, denn für dich als Konfigurator kann es völlig Wumpe sein was intern im Silizium passiert. Du siehst das ja letzutlich auch nicht in der Konfig.
Der MT ist ein Router. Dort ist generell erstmal Zugriff auf alles erlaubt sofern das konfiguriert ist. Wenn du etwas unterbinden willst musst du das immer über die Firewall Konfig machen mit einer Blacklist.
Firewall hat aber erstmal mit dem grundsätzlichen VLAN Setup NICHTS zu tun und sollte immer erst ganz am Schluss passieren wenn alles rennt. Wie üblich bei IP Accesslisten.
Diese "entstehen" ausschliesslich nur für UNtagged Ports die du da NICHT eingtragen musst. Das passiert durch die PVID Settings. Über die PVID "erkennt" der MT diese Ports und trägt sie automatisch als untagegd ein. Wie gesagt einzig NUR für untagged Ports NICHT aber für Tagged Ports die du als Konfigurator explizit setzen musst. Da ist rein gar nix dynamisch.
Wie bereits mehrfach gesagt und oben beschrieben: NUR die UNtagged Ports via PVID !
Wie bei jedem Router werden sie geroutet sofern ein Layer 3 Switching definiert ist.
Das ist immer definiert sowie ein VLAN eine IP Adresse zugewiesen bekommen hat. In diesem Moment kann darüber, wie üblich bei L3, geroutet werden ohne Einschränkung.
Deshalb ja auch der Appell an dich die IP VLAN Adressen einzig und allein NUR auf dem Layer 3 Core Switch zu definieren und NICHT aber auf den Layer 2 Access Switches. Diese haben lediglich NUR ihre Management IP Adresse in VLAN 99 und gut iss !!
Was hattest du gedacht, das wir hier etwas posten was Unsinn ist ? Das wäre ja mehr als peinlich in einem Administrator Forum.
Jein...
Kann man machen ist aber viel zu aufwendig und ineffizient. Das machst du über die IP Neigbor Discovery Funktion indem du die SMDP Neigbor Discovery nur im Management VLAN aktivierst. Damit erkennt die Winbox das Gerät nicht mehr automatisch über den Layer 2 Broadcast.
WinBox hat ja den Vorteil das du auch bei komplett fehlender IP Connectivity das Gerät immer sicher erkennst und connecten kannst und das geht über Layer 2 Broadcasts.
Den Rest, also IP basierte Zugriffe wie WebGUI über Browser und Telnet oder SSH (PuTTY, TeraTerm etc.), musst du in der Tat über die Firewall blocken. (Input Chain)
Wie man das macht bekommen wir aber später wenn dein ganzes Setup endlich fehlerfrei rennt !
Es gilt: Immer so wenig (Konfig) Fussfallen beim Setup wie möglich !!
1.)
Visio, LibreOffice Draw, dia, OmniGraffle je nachdem was du bevorzugst (Win, Mac, Linux) unter Nutzung der freien Cisco Topology Icons: https://www.cisco.com/c/en/us/about/brand-center/network-topology-icons. ...
2.)
Immer gerne aber bitte keine westdeutsche Massenplörre ala Krombacher sondern ein schönes (virtuelles) Craft Beer !!! 🤣

Weil du dem Bridge Interface an sich keinen VLAN Tag mitgeben kannst. Das musst du aber zwingend denn ansonsten weiss die VLAN Bridge natürlich nicht welchem Traffic sie welchem IP Interface zuweisen muss.
Über die VLAN IP Interfaces ist das aber sichergestellt. Im Setup zu den Interfaces unten kannst du ja auch genau sehen das sie eine VLAN ID mitbekommen und auf die Bridge gebunden sind. So ist das sichere und richtige VLAN Tagging an den Interfaces bzw. der Bridge sichergestellt weil das nackte Bridge Interface eben keinen Tag supportet oder konfiguriert haben kann.
Im Grunde hängst du also schon auf dem "Bridge Interface" aber über den Umweg Tag was über das VLAN Interface geregelt ist.
Hoffe das hilft zur bildlichen Vorstellung...?! Oder vielleicht verstärkt es ein buntes Bildchen...
(Den o.a. Router musst du dir natürlich innerhalb des L3 Switches vorstellen !!)
Nein ist sie nicht. Der DHCP muss doch zwingend das netzwerk kennen (Subnetzmakse !) und muss auch zwingend wissen aus welchem Pool von IP Adressen er Client IPs verteilen soll. Du musst also beides setzen.
Mache dir das Leben da leicht und klicke im DHCP Server Menü einfach nur den ganz großen Button "DHCP Setup" !! Das fragt alles Menü geführt ab und du musst nur noch abnicken !
So, und nun genug der Theorie ! Bring das endlich alles zum Laufen !

Nein, das war zu Neandertaler Netzwerk Zeiten mal so. Heute passiert das alles direkt im Silizium !
Die CPU erledigt heute nur noch Management Aufgaben aber mit dem Paket Forwarding hat sie nichts mehr zu tun. Das passiert im L2 und L3 heute nur noch direkt in den Port ASICS, sprich also direkt im Silizium.
Nein, das geht dann immer in die Hose weil ein gravierender Konfig Fehler. Das next Hop Gateway muss natürlich logischerweise immer in einem IP Netz liegen was direkt erreichbar ist.
Gateway IP Adressen findest du deshalb auch logisch NICHT in der Interface Konfig sondern immer im globalen Routing Konfig Menü.

👍 So ist es !
Dann auf zu deinen "nächsten Aufgaben" !! 😉
Vielleicht WLAN_mit_dynamischer_VLAN_Zuweisung
Spaß...Im Ernst: Erstmal ein Projekt sauber zuende bringen !!!

Kommt drauf an ob statisch oder dynamisch ?
Statisch konfiguriert findest du es im Mikrotik Tutorial, Kapitel 4 und 5.
Dynamisch dann unter dem oben von dir schon zitierten Tutorial.
Zentral auf den Controller getunnelte AP Verbindungen solltest du heutzutage wegen der schlechten Skalierbarkeit nie mehr nutzen. Das ist Steinzeit. Wenn solltest du immer nur mit sog. local Termination arbeiten also dem direkten Auskoppeln des WLAN Traffics am AP auf die Switching Infrastruktur.
Ein Tunnel ist absolut kontraproduktiv. Bei 10 Tunneln mit .11ac Bandbreiten müsstest du in den 10G Bereich gehen. Solche Datenraten in Tunnel zu en- und dekapsulieren erfordert riesige CPU Performance von der Infrastruktur mal ganz abgesehen. Sowas ist heutzutage unsinnig. Macht man nur in sehr seltenen Ausnahmen wenn du z.B. AP Traffic über ein öffentliches Netz transportieren musst.
Jepp, genau so ist es bei einer einfachen Anbindung.

Das ist richtig !
Einfach mal selber messen ! iPerf3 oder NetIO sind deine besten Freunde und rennen auf jeder Plattform.
https://web.ars.de/netio/ bzw. http://www.nwlab.net/art/netio/netio.html und http://www.nwlab.net/art/iperf/
Nein, da reicht es wenn du in Bridge VLANs die VLAN IDs definierst und die dazugehörigen tagged Ports.
Absolut ! Ein ToDo Plan ist die halbe Miete !
Zu Logging und Radius Server findest du hier noch ein paar Anregungen. Ebenso wenn du mit sFlow oder NetFlow ein paar Flow Analysen machen willst was so an Traffic und wieviel im Netzwerk bei dir so rumwerkelt.
https://mum.mikrotik.com/presentations/LB19/presentation_6352_1548734037 ...

Kann ich nicht sagen hab ich noch nie genutzt. M.E. ist auch ein Test mit Clients erheblich realitätsnäher.