22
VLAN Konfiguration bei Mikrotik Switch
Moinsen,
ich benötige ein wenig Unterstützung bei der Konfiguration von VLANs auf zwei Mikrotik Switches.
Ich habe mir bereits diese Tutorials zu Gemüte geführt:
Mikrotik mehrere VirtualAccessPoints mit gleicher SSID
http://wiki.mikrotik.com/wiki/Vlans_on_Mikrotik_environment
Allerdings bin ich mir leider noch nicht 100% sicher, ob ich das alles vollständig verstanden habe.
Meine Infrastruktur sieht wie folgt aus:
Es gibt 2 Mikrotik CRS, eine Firewall, drei WLAN Accesspoints und diverse Endgeräte.
Die drei VLANs sollen über entsprechende Trunked Ports zwischen Firewall, Switch und Accessports verteilt werden.
Wie muss die Konfiguration der Mikrotik Switche genau aussehen?
Was für Bridges müssen angelegt werden? Was muss bei denen als Interface eingestellt werden? Was für VLAN-Interfaces werden benötigt?
Einen Satz CLI Kommandos benötige ich nicht. Das will ich selber können.
Aber vielleicht kann mir jemand das Konzept noch einmal in kurzen Worten erklären?
ich benötige ein wenig Unterstützung bei der Konfiguration von VLANs auf zwei Mikrotik Switches.
Ich habe mir bereits diese Tutorials zu Gemüte geführt:
Mikrotik mehrere VirtualAccessPoints mit gleicher SSID
http://wiki.mikrotik.com/wiki/Vlans_on_Mikrotik_environment
Allerdings bin ich mir leider noch nicht 100% sicher, ob ich das alles vollständig verstanden habe.
Meine Infrastruktur sieht wie folgt aus:
Es gibt 2 Mikrotik CRS, eine Firewall, drei WLAN Accesspoints und diverse Endgeräte.
Die drei VLANs sollen über entsprechende Trunked Ports zwischen Firewall, Switch und Accessports verteilt werden.
Wie muss die Konfiguration der Mikrotik Switche genau aussehen?
Was für Bridges müssen angelegt werden? Was muss bei denen als Interface eingestellt werden? Was für VLAN-Interfaces werden benötigt?
Einen Satz CLI Kommandos benötige ich nicht. Das will ich selber können.
Aber vielleicht kann mir jemand das Konzept noch einmal in kurzen Worten erklären?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 287426
Url: https://administrator.de/contentid/287426
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
22 Kommentare
Neuester Kommentar
nabend...
irgedwie habe ich grade keine lust alles runter zu beten...
also:
http://blog.pascom.net/de/pascom-brothers/mikrotik-tutorial-vlan-grundl ...
und
http://blog.pascom.net/de/pascom-brothers/mikrotik-tutorial-vlan-praxis ...
und
http://blog.pascom.net/de/pascom-brothers/mikrotik-tutorial-vlan-bridge ...
sollte helfen
frank
irgedwie habe ich grade keine lust alles runter zu beten...
also:
http://blog.pascom.net/de/pascom-brothers/mikrotik-tutorial-vlan-grundl ...
und
http://blog.pascom.net/de/pascom-brothers/mikrotik-tutorial-vlan-praxis ...
und
http://blog.pascom.net/de/pascom-brothers/mikrotik-tutorial-vlan-bridge ...
sollte helfen
frank
Das Praxisbeispiel am Ende des hiesigen VLAN Tutorials:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
beschreibt genau dein Szenario.
Desweiteren haben 3 Threads aus der weiterführenden Linksammlung dort auch eine entsprechende Konfig:
Routerboard RB 750GL + TP-Link TL-SG3424 VLAN Konfiguration
und
VLAN mit Mikrotik RB750GL und TP Link managed Switch SG3216
bzw.
VLAN Problem mit HP 1810-24 G (v2)
Das sollte eigentlich deine Frage beantworten.
Im Grunde sind die ToDos ganz einfach
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
beschreibt genau dein Szenario.
Desweiteren haben 3 Threads aus der weiterführenden Linksammlung dort auch eine entsprechende Konfig:
Routerboard RB 750GL + TP-Link TL-SG3424 VLAN Konfiguration
und
VLAN mit Mikrotik RB750GL und TP Link managed Switch SG3216
bzw.
VLAN Problem mit HP 1810-24 G (v2)
Das sollte eigentlich deine Frage beantworten.
Im Grunde sind die ToDos ganz einfach
- VLANs mit entsprechenden IDs einrichten auf den Switches
- Alle VLANs tagged übertragen auf den Verbindungslinks zwischen den Switches und der FW (tagged Uplinks)
- Endgeräteports untagged den VLANs zuweisen auf den Switches.
Und noch als Ergänzung zur Umsetzung auf Mikrotiks, hier ein Praxis-Beispiel wie man Trunking und das setzen der Tags macht.
http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Example_-_802 ...
Im Beispiel sind zwar auf der einen Seite Access-Ports, aber anhand des Trunk-Ports lässt sich das ja leicht auf die anderen Ports übertragen.
Gruß jodel32
http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Example_-_802 ...
Im Beispiel sind zwar auf der einen Seite Access-Ports, aber anhand des Trunk-Ports lässt sich das ja leicht auf die anderen Ports übertragen.
Gruß jodel32
Ich habe das Bild im Ursprungspost noch einmal aktualisiert.
Vielen Dank für eure Unterstützung.
Als Lernerfolgskontrolle hätte ich gerne noch einmal eure Meinung.
Bildet die folgende Konfiguration die das Diagramm ab?
swtch1:
Swtch2:
Vielen Dank für eure Unterstützung.
Als Lernerfolgskontrolle hätte ich gerne noch einmal eure Meinung.
Bildet die folgende Konfiguration die das Diagramm ab?
swtch1:
- eth1
- eth2
- eth3
- eth4
- eth5
- eth6
- VLAN-Interface "VLAN1_Uplink_eth1"
- Interface: eth1
- VLAN-Interface "VLAN2_Uplink_eth1"
- Interface: eth1
- VLAN-Interface "VLAN3_Uplink_eth1"
- Interface: eth1
- VLAN-Interface "VLAN1_Uplink_eth2"
- Interface: eth2
- VLAN-Interface "VLAN2_Uplink_eth2"
- Interface: eth2
- VLAN-Interface "VLAN3_Uplink_eth2"
- Interface: eth2
- VLAN-Interface "VLAN1_Accesspoint1"
- Interface: eth3
- VLAN-Interface "VLAN3_Accesspoint1"
- Interface: eth3
- VLAN-Interface "VLAN1_Accesspoint2"
- Interface: eth4
- VLAN-Interface "VLAN3_Accesspoint2"
- Interface: eth4
- VLAN-Interface "VLAN1_Accesspoint3"
- Interface: eth5
- VLAN-Interface "VLAN3_Accesspoint3"
- Interface: eth5
- Bridge "br-VLAN1"
- VLAN1_Uplink_eth1
- VLAN1_Uplink_eth2
- VLAN1_Accesspoint1
- VLAN1_Accesspoint2
- VLAN1_Accesspoint3
- Bridge "br-VLAN2"
- VLAN2_Uplink_eth1
- VLAN2_Uplink_eth2
- eth6
- Bridge "br-VLAN3"
- VLAN3_Uplink_eth1
- VLAN3_Uplink_eth2
- VLAN3_Accesspoint1
- VLAN3_Accesspoint2
- VLAN3_Accesspoint3
Swtch2:
- eth1
- eth2
- VLAN-Interface "VLAN1_Uplink"
- Interface: eth1
- VLAN-Interface "VLAN2_Uplink"
- Interface: eth1
- VLAN-Interface "VLAN3_Uplink"
- Interface: eth1
- Bridge "br-VLAN2"
- VLAN2_Uplink
- eth2
würde ich gerne über die Hardware und nicht über eine Software-Bridge laufen lassen.
s. meinen o.g. Link ins Mikrotik WIKI dort siehst du wie du das über den Switch-Chip (Hardware) abfackelst.
Ich habe den Post gerade noch einmal angepasst.
Das mit dem Switch-Chip möchte ich erst noch einmal weglassen. Eines nach dem Anderen.
Ist die oben genannte, symbolische Konfiguration denn ungefähr richtig?
Habe ich das richtig verstanden?
Für einen Untagged-Port muss man das "eth"-Interface in einer Bridge aufnehmen.
Für einen Tagged-Port muss man für das "eth"-Interface ein VLAN-Interface erstellen und dieses dann in die Bridge aufnehmen?
Das mit dem Switch-Chip möchte ich erst noch einmal weglassen. Eines nach dem Anderen.
Ist die oben genannte, symbolische Konfiguration denn ungefähr richtig?
Habe ich das richtig verstanden?
Für einen Untagged-Port muss man das "eth"-Interface in einer Bridge aufnehmen.
Für einen Tagged-Port muss man für das "eth"-Interface ein VLAN-Interface erstellen und dieses dann in die Bridge aufnehmen?
Zitat von @Androxin:
Das mit dem Switch-Chip möchte ich erst noch einmal weglassen. Eines nach dem Anderen.
Wieso, das ist bei deinem Szenario aber die performanteste und "richtige" Lösung...Das mit dem Switch-Chip möchte ich erst noch einmal weglassen. Eines nach dem Anderen.
Ist die oben genannte, symbolische Konfiguration denn ungefähr richtig?
Das ist dann Pdseudo-VLANHabe ich das richtig verstanden?
Für einen Untagged-Port muss man das "eth"-Interface in einer Bridge aufnehmen.
Für einen Tagged-Port muss man für das "eth"-Interface ein VLAN-Interface erstellen und dieses dann in die Bridge aufnehmen?
Die "richtige" Kontrolle hast du nur bei der Methode über das Switch-Menü.
Zitat von @114757:
Zitat von @Androxin:
Das mit dem Switch-Chip möchte ich erst noch einmal weglassen. Eines nach dem Anderen.
Wieso, das ist bei deinem Szenario aber die performanteste und "richtige" Lösung...Das mit dem Switch-Chip möchte ich erst noch einmal weglassen. Eines nach dem Anderen.
Ich weiß. Deswegen hatte ich es auch ursprünglich vor. Allerdings möchte ich erstmal die einfache, aber suboptimale Konfiguration verstehen bevor ich mich an das nächste Thema wage.
Ist die oben genannte, symbolische Konfiguration denn ungefähr richtig?
Das ist dann Pdseudo-VLAN, denn die VLANs sind dann durch die Bridge doch wieder in einer gemeinsamen Broadcast-Domain, was man ja eigentlich vermeiden möchte.Stark vereinfacht ist es doch so, dass alle Geräte innerhalb eines VLANs auch nur Broadcasts empfangen, die auch in diesem VLAN versendet werden.
Wenn der Computer am 1. Switch etwas zu melden hat, sollen es also alle Switche, die Firewall und der Computer am zweiten Switch mitbekommen.
Bei den Accesspoints soll dagegen nichts ankommen.
Habe ich nicht genau das mit den Bridges nachgebaut?
Wenn ich deine Aussage richtig deute, dann möchtest du mir sagen, dass ich an irgendeiner Stelle (ungewollt) "VLAN1" mit "VLAN2" verbunden habe.
Für einen Untagged-Port muss man das "eth"-Interface in einer Bridge aufnehmen.
Für einen Tagged-Port muss man für das "eth"-Interface ein VLAN-Interface erstellen und dieses dann in die Bridge aufnehmen?
Das ist so: Wenn du ein VLAN-Interface erstellst und es einem Port zuweist werden Pakete die vom Interface in die Firewall fließen vom TAG befreit, Pakete die außer der Firewall ins Interface hinausfließen werden getagged.Für einen Tagged-Port muss man für das "eth"-Interface ein VLAN-Interface erstellen und dieses dann in die Bridge aufnehmen?
Das ist ja das komplette Gegenteil von dem was ich geschrieben habe.
Zur weiteren Verteilung innerhalb des Switches, habe ich dann noch ein paar einfache Ethernet-Ports für simple Endgeräte in die Bridge aufgenommen. Untagged Ports eben:
Ist das etwa falsch?
Das hatte ich nachträglich korrigiert war natürlich falsch, sorry ...
Das verunsichert mich gerade.
Das ist ja das komplette Gegenteil von dem was ich geschrieben habe.
Bis jetzt bin ich davon ausgegangen, dass die Pakete, die "ether1" verlassen, mit einem Tag versehen werden, damit die Firewall am anderen Ende der Leitung etwas damit anfangen kann.
Genau, das ist auch richtig, da haben wir uns nur etwas missverstanden, wollte schreiben aus der Firewall nicht außer.
Das ganze ist halt "nachgebaut", funktioniert so, aber unschön weil unübersichtlich und performancetechnisch suboptimal. Aber zum Erfahrung sammeln gut, probiers einfach aus. Die Praxis machts ...
Schönen Restsonntag
Gruß jodel32
Stark vereinfacht ist es doch so, dass alle Geräte innerhalb eines VLANs auch nur Broadcasts empfangen, die auch in diesem VLAN versendet werden.
Wenn der Computer am 1. Switch etwas zu melden hat, sollen es also alle Switche, die Firewall und der Computer am zweiten Switch mitbekommen.
Bei den Accesspoints soll dagegen nichts ankommen.
Habe ich nicht genau das mit den Bridges nachgebaut?
Ja, die VLANs bekommen alle Broadcasts die sich in der jeweiligen Bridge sammeln.Wenn der Computer am 1. Switch etwas zu melden hat, sollen es also alle Switche, die Firewall und der Computer am zweiten Switch mitbekommen.
Bei den Accesspoints soll dagegen nichts ankommen.
Habe ich nicht genau das mit den Bridges nachgebaut?
Für einen Untagged-Port muss man das "eth"-Interface in einer Bridge aufnehmen.
Für einen Tagged-Port muss man für das "eth"-Interface ein VLAN-Interface erstellen und dieses dann in die Bridge aufnehmen?
Das ist so: Wenn du ein VLAN-Interface erstellst und es einem Port zuweist werden Pakete die vom Interface in die Firewall fließen vom TAG befreit, Pakete die außer der Firewall ins Interface hinausfließen werden getagged.Für einen Tagged-Port muss man für das "eth"-Interface ein VLAN-Interface erstellen und dieses dann in die Bridge aufnehmen?
Das ist ja das komplette Gegenteil von dem was ich geschrieben habe.
Zur weiteren Verteilung innerhalb des Switches, habe ich dann noch ein paar einfache Ethernet-Ports für simple Endgeräte in die Bridge aufgenommen. Untagged Ports eben:
Ist das etwa falsch?
Nein.Ist das etwa falsch?
Das ganze ist halt "nachgebaut", funktioniert so, aber unschön weil unübersichtlich und performancetechnisch suboptimal. Aber zum Erfahrung sammeln gut, probiers einfach aus. Die Praxis machts ...
Schönen Restsonntag
Gruß jodel32
Soweit funktioniert die Konfiguration schon echt super. Vielen Dank.
Eine Frage hat sich aber tatsächlich noch in diesem Kontext ergeben.
Natürlich brauchen auch die Accesspoints direkt erst einmal eine IP, damit man sie konfigurieren kann.
Wie bekomme ich es hin, dass die Accesspoints ihre eigene IP aus einem anderen VLAN beziehen?
Es kann angenommen werden, dass die Konfigurations-IP nicht intern einer VLAN ID zugeordnet werden kann.
Beste Grüße
Eine Frage hat sich aber tatsächlich noch in diesem Kontext ergeben.
Natürlich brauchen auch die Accesspoints direkt erst einmal eine IP, damit man sie konfigurieren kann.
Wie bekomme ich es hin, dass die Accesspoints ihre eigene IP aus einem anderen VLAN beziehen?
Es kann angenommen werden, dass die Konfigurations-IP nicht intern einer VLAN ID zugeordnet werden kann.
Beste Grüße
Wie bekomme ich es hin, dass die Accesspoints ihre eigene IP aus einem anderen VLAN beziehen?
Das kommt ein wenig auf die AP Hardware und auch auf den Switch an ist aber relativ einfach zu lösen mit der richtigen HW !Die Management IP der APs befindet sich immer im Default VLAN 1. Es gibt APs denen man über die Konfig sagen kann WO bzw. in welchem VLAN ihr Management liegen soll.
Bei anderen geht das nicht da muss die Mgmt IP immer fest im VLAN 1 sein bzw. ist nicht umzukonfigurieren in ein anderes VLAN weil das einfach nicht supportet ist.
Das musst du also vorab klären.
Gut hast du einen AP in dem das konfigurierbar ist ist die Lösung einfach.
Hast du einen bei dem das nicht so ist, kannst du das nur über das Native VLAN am Switch tun. Du konfigurierst das Native VLAN am Switch dann einfach in das VLAN aus dem du die Mgmt IP Adresse vergeben haben willst.
Das Native VLAN ist das VLAN in das der Switch untagged Traffic forwardet. Vom AP kommt der untagged Traffic immer von seinem eigenen VLAN 1.
So wird dann untagged Mgmt Traffic des APs z.B. in das VLAN 20 am Switch geforwardet wenn das Native VLAN auf die ID 20 an diesem Switch port an dem der AP angeschlossen ist konfiguriert ist.
Das VLAN 20 kann dann aber NICHT mehr als mSSID VLAN verwendet werden an dem AP, das sollte dir klar sein !
Es macht also durchaus Sinn in einem mSSID AP Umfeld immer ein Management VLAN zu betreiben über das ausschliesslich nur die APs gemanaged werden und auf dem KEIN Mapping zu einer mSSID passiert.
So löst man dieses "Problem" ganz elegant und schafft nebenbei nich ein wenig mehr Sicherheit im WLAN
Vielen Dank für den Tipp, das mit dem VLAN 1 hatte ich mir auch schon gedacht.
Wie lässt sich das konkret mit einem MikroTik Router/Switch und dem Bridge-Konstrukt umsetzen?
Wie lässt sich das konkret mit einem MikroTik Router/Switch und dem Bridge-Konstrukt umsetzen?
Zitat von @114757:
Die "richtige" Kontrolle hast du nur bei der Methode über das Switch-Menü.
Die "richtige" Kontrolle hast du nur bei der Methode über das Switch-Menü.
Nun möchte ich mich noch einmal an die Konfiguration des Switch-Chips heranwagen.
Da der erste Versuch leider nicht erfolgreich war, erbitte ich hier noch einmal Hilfe.
Folgendes, sehr einfaches Setup ist gegeben:
Port "ether20": Uplink
Port "ether21": Accessport für einen PC
VLAN: ID 123
Ist folgende Konfiguration des Switches richtig oder grundlegend falsch bzw. fehlt noch etwas?
Interfaces:
Switch VLAN:
Switch Egress Tag VLAN:
Ingress VLAN Translation:
Port 21 muss einfacgh nur auf untagged in das VLAN 21 gelegt werden und das wars.
Fazit: Konfig sollte so richtig sein !
Fazit: Konfig sollte so richtig sein !
Zitat von @aqui:
Port 21 muss einfacgh nur auf untagged in das VLAN 21 gelegt werden und das wars.
Fazit: Konfig sollte so richtig sein !
Port 21 muss einfacgh nur auf untagged in das VLAN 21 gelegt werden und das wars.
Fazit: Konfig sollte so richtig sein !
Klasse. Vielen Dank für die Rückmeldung.
Ich werde das noch einmal so ausprobieren.
Das klappt so leider nicht.
Ich kann nicht von Außen über den Uplink-Port innerhalb des VLANs auf das Gerät an Port21 zugreifen.
Und ich habe keine Idee warum.
Der Switch macht nix anderes als Switchen. Kein Routing, Firewall usw.
Die Geräte innerhalb des VLANs auf diesem Switch können aber kommunizieren.
Ich kann nicht von Außen über den Uplink-Port innerhalb des VLANs auf das Gerät an Port21 zugreifen.
Und ich habe keine Idee warum.
Der Switch macht nix anderes als Switchen. Kein Routing, Firewall usw.
Die Geräte innerhalb des VLANs auf diesem Switch können aber kommunizieren.
Das klappt so leider nicht.
Ich kann nur nochmal auf das oben verlinkte Beispiel hier verweisen:Example - 802.1Q Trunking with Atheros switch chip in RouterOS v6
Hm, ja. Da war ich auch schon am stöbern.
Mich irritiert, dass die Angaben im MikroTik WIKI von diesem Tutorial hier abweichen:
http://www.breekeenbeen.nl/2014/12/11/mikrotik-vlan-switching-without-b ...
Anhand dieses Tutorials sind auch die Screenshots von oben entstanden.
Dieser Block
kommt da überhaupt nicht drin vor.
Das wird mit
umgesetzt..
Ist das das selbe?
Mich irritiert, dass die Angaben im MikroTik WIKI von diesem Tutorial hier abweichen:
http://www.breekeenbeen.nl/2014/12/11/mikrotik-vlan-switching-without-b ...
Anhand dieses Tutorials sind auch die Screenshots von oben entstanden.
Dieser Block
/interface ethernet switch port
set ether2 vlan-mode=secure vlan-header=always-strip default-vlan-id=200
set ether3 vlan-mode=secure vlan-header=always-strip default-vlan-id=300
set ether4 vlan-mode=secure vlan-header=always-strip default-vlan-id=400
set ether5 vlan-mode=secure vlan-header=add-if-missingDas wird mit
/interface ethernet switch ingress-vlan-translation
...Ist das das selbe?
Kann sein das das bei den CRS Switches anders aussieht, ist leider wenig dokumentiert über den CRS und das Switch Menü , kann ich daher keine Aussage treffen, habe hier keinen CRS.
Es könnt' alles so einfach sein...
Ich bringe für die nachfolgenden Googler mal einen neuen Link ins Spiel:
http://wiki.mikrotik.com/wiki/Manual:CRS_examples#Port_Based_VLAN
Example 2 (Trunk and Hybrid ports) enstpricht übrigens, mit ein wenig Transferleistung aus Example 1, exakt meinem eingangs genannten Beispiel.
Ich werde mich mal durch die Seite kämpfen und ggf. Erfolg melden.
Ich bringe für die nachfolgenden Googler mal einen neuen Link ins Spiel:
http://wiki.mikrotik.com/wiki/Manual:CRS_examples#Port_Based_VLAN
Example 2 (Trunk and Hybrid ports) enstpricht übrigens, mit ein wenig Transferleistung aus Example 1, exakt meinem eingangs genannten Beispiel.
Ich werde mich mal durch die Seite kämpfen und ggf. Erfolg melden.
Success!
Abgesehen von der aktivierten "SA Learning" Funktion bei der Ingress VLAN Translation entsprechen meine Screenshots exakt den Beispielen aus dem MikroTik Wiki (MikroTik Wiki).
Zusätzlich habe ich noch die "switch-cpu" als weiteren "Trunk-Port" in die VLANs gesteckt und bei dem eigentlichen Uplink-Ethernet-Interface ein (Software-)VLAN Interface erstellt, damit der Switch über IP, Winbox etc. erreichbar ist.
Fehlt die switch-cpu in dem VLAN, kommen keine Netzwerpakete bei der CPU vom Switch an und DHCP etc. funktionieren nicht.
Warum hat es nicht gleich so funktioniert?
Ich weiß es nicht! Nach einem verzweifelten Reboot des Switches hat es plötzlich funktioniert. Bug? Feature? DAU vorm PC?
Abgesehen von der aktivierten "SA Learning" Funktion bei der Ingress VLAN Translation entsprechen meine Screenshots exakt den Beispielen aus dem MikroTik Wiki (MikroTik Wiki).
Zusätzlich habe ich noch die "switch-cpu" als weiteren "Trunk-Port" in die VLANs gesteckt und bei dem eigentlichen Uplink-Ethernet-Interface ein (Software-)VLAN Interface erstellt, damit der Switch über IP, Winbox etc. erreichbar ist.
Fehlt die switch-cpu in dem VLAN, kommen keine Netzwerpakete bei der CPU vom Switch an und DHCP etc. funktionieren nicht.
Warum hat es nicht gleich so funktioniert?
Ich weiß es nicht! Nach einem verzweifelten Reboot des Switches hat es plötzlich funktioniert. Bug? Feature? DAU vorm PC?
