На сколько правильно/неправильно настроены VLAN mikrotik?

Question

[Роман Букивский]

Добрый вечер, подскажите пожалуйста, можна ли так делать?
Есть rb4011 и crs328, используется схема локальной сети ROUTER-ON-A-STICK. То есть в свитч входит оптика провайдера из него она VLAN 10 идет в маршрутизатор, ещё есть Vlan 20 - гостевая подсеть и главная подсеть на Main Bridge. Свитч и маршрутизатор соединены SFP+ патч-кордом, то есть порты SFP+ на обоих устройствах есть Trunk-ами и они находятся в главном бридже (main Bridge) в главной подсети. Можно ли так делать? или все же исключить SFP+ порты из бриджа, и гонять главную подсеть тоже через VLAN?

Answer 1

[Владимир Бобылев]

В этой схеме будет переток трафика из гостевой в мэин и обратно. Делай отдельным бриджом и на уровне фаервола запрещай маршрутизацию трафика из одной сети в другую.

Comments

[Vladimir Zhurkin]

Если вы сделаете дополнительный bridge, то он будет работать программно,что скорости не придаст.

[Владимир Бобылев]

Vladimir Zhurkin, у человека нагрузка на проц ровно 0%. Вы на практике попробуйте насколько сильно бридж грузит проц.

[Vladimir Zhurkin]

Владимир Бобылев, Да легко.
Вот вам тут тесты с 1100

https://youtu.be/51x2GgQiP7c

Если можно избежать использования CPU, лучше этого избежать.
rb4011 имеет только 2.5gb линка с CPU и 10gb линк sfp+ порта
Уже загрузка его на 1gb, отожрет около 25% CPU (примерно)

Увы у меня не было еще на руках 4011, поэтому могу только приблизительно сказать.

[Владимир Бобылев]

Vladimir Zhurkin, не правильно трафик из разных вланов смешивать. А экономить нагрузку на проц при его нулевой загрузке - паранойя. Сильно сомневаюсь, что у человека с такими вопросами будет 10гб нагрузки. Сомневаюсь что там и гиг будет. Да и железки на такой трафик берут несколько иные.

[Vladimir Zhurkin]

Владимир Бобылев, Ну вообще то , мы не смешивает трафик Vlan. Vlan как был в своем L2, так там и остался.
https://wiki.mikrotik.com/wiki/Manual:CRS3xx_serie...

Другой момент,что в 4011 нет bridge vlan на switch chip. Вот тут я не прав да.
она есть только на 326 и CCR , которым пофиг.
для 4011 часть обработки vlan лучше передать на switch chip
По крайне мере у меня подход простой,все что можно делать железно, делаем железно , а не программно.

[Владимир Бобылев]

Vladimir Zhurkin, не сразу понял вашу схему. Не внимательно прочитал.
Я использую две схемы на двух ядрах. Обе жуют по 80 гиг и по 6 фулвью бгп. Оба ядра используют коммутаторы для л2 коммутации и роутер для л3. Между роутером и свитчем лаг из 10 портов по 10г. Есть аплинковый влан и серия даунлинковых. Плюс переток между ядрами. Но в одном ядре есть платы с портами 1г для вывода трафика непосрественно из роутера на другом нет таких портов и абсолютно все улетает в коммутатор. Все вланы и я транспортирую в виде тегированных вланов.
Микротики не используются.

[Vladimir Zhurkin]

Владимир Бобылев,

Между роутером и свитчем лаг из 10 портов по 10г

лаг = LAG ? но видимо это не про 4011, так как у него один sfp+

Так же просто напомню, что LAG/LACP/Bondig (у кого как) так же делает программно, кроме 3xx серии , на текущий момент.

[Владимир Бобылев]

Vladimir Zhurkin, У меня нет оборудования вендора mikrotik. То, что у вас программно, у меня аппаратно. :)

[Владимир Бобылев]

Кроме того, для меня слишком критична потеря сервиса. При схеме с лаг, я могу потерять любой линк. Но остаться с работающим сервисом. Потеря 2х линков - критична но не повод для ночного вояжа по городу или республике. 3 - ситуация не вероятная. И поеду уже не я а СБ. Я приеду только второй машиной.

[Vladimir Zhurkin]

Владимир Бобылев,

У меня нет оборудования вендора mikrotik. То, что у вас программно, у меня аппаратно. :)

Вы не поверите , но у меня то же тики есть и о ужас, все, что не делается через switch chip, делает CPU.

Тот же LAG аппаратно у них реализован только в 3xx серии
https://wiki.mikrotik.com/wiki/Manual:Interface/Br...
https://wiki.mikrotik.com/wiki/Manual:CRS3xx_VLANs...

А для резервирование каналов , есть в общем STP, а у агрегации немного другие задачи, которые немного пересекаются.

Поэтому да, если у вас 3xx серию а 10 gb линки в 10 штук можно сделать только в CRS317, если я не ошибаюсь, то там все аппаратно, а не программно.

Но если посмотреть скрин , то видим, что у вас нет aHardOff там втором bridge, что в общем логично и именно об этом идет речь. Так как в этом случаи , у вас обработкой занимается CPU а шину до CPU вы сможете посмотреть для своего устройства в блок схеме.

[Владимир Бобылев]

Vladimir Zhurkin, уважаемый, вы меня не слышите. У меня НЕТ оборудования Микротик. Совсем. Я не использую его на транспорте. СТП может и применим на вашем уровне, но для меня он не катит. Слишком долгое схождение и излишняя трата линков на простой. Для меня простой линка 10г-100г на дистанции 150-1000км - огромная потеря в деньгах. На моем уровне это не допустимо. Для меня полоса пропускания менее 10г - не интересна.

[Владимир Бобылев]

Да. И где вы увидели мои скрины??? Я не имею отношения к топикстартеру.

[Vladimir Zhurkin]

Владимир Бобылев, а я виду разговор о ТС о не о вас.

Answer 2

[Vladimir Zhurkin]

Роман Букивский

витч и маршрутизатор соединены SFP+ патч-кордом, то есть порты SFP+ на обоих устройствах есть Trunk-ами и они находятся в главном бридже (main Bridge) в главной подсети. Можно ли так делать? или все же исключить SFP+ порты из бриджа, и гонять главную подсеть тоже через VLAN?

В общем сейчас так и делается. Скорости по sfp+ вам хватит для vlan. Другой момент насколько надо провайдера в switch и его кидать до тика, но такая ситуация может быть, когда провод приходит в другой части здания.

Другой момент, вы сделали зачем-то еще один bridge для guest и потеряли поддержку Hardware off.
Вы можете vlan приземлить на нужной вам порт. Те сделать порт доступа в терминологии Cisco.

Указываете в Vlan порта PVID нужного VLAN и делаете его untagget на этом порту. Будет непонятно , напишите распишу более подробно.

Comments

[Роман Букивский]

кажется я наконец то въехал в теорию. Конфига не верная, по скольку не правильно понимал настройку этих VLAN и нужно правильно настроить порты доступа.

Другой момент насколько надо провайдера в switch и его кидать до тика

А провайдера в свитч по тому что провайдер приходит оптикой и не хотелось покупать у него медиа-конвертор на 8p8c но и не хотелось занимать единственный порт SFP+ на маршрутизаторе 100мб провайдером. Хочется объединить свитч и маршрутизатор максимально быстрым линком.

Спасибо за обяснение.

[Vladimir Zhurkin]

Роман Букивский, Ну тогда это вполне нормально.
Только учтите такой момент. SFP+ у вас 10gb. Два Switch chip по 2.5, но суммарная пропускная способность всего роутера почти 10gb.

https://i.mt.lv/cdn/rb_files/RB4011iGSplusRM-18090...

увы у меня на тестах не было этого роутера, поэтому я могу только предположить как будет распределен трафик. Хотя с другой стороны, если вы дойдете до 10gb почти постоянной нагрузки, явно надо будет что-то делать и видимо покупать,что-то другое.