Vlan, VOIP, grandstrem, mikrotik. Как же изолировать трафик?

Question

[Дмитрий Трейсеров]

Добрый день, коллеги.
Никогда не работал с вланами.читаю вторую неделю про них.
Пробую настроить в своей тестовой сетке не выходит. особенно после удаления мастер порта на микротике вообще все перемешалось.один гайд говорит одно другой другое.
в общем суть проблемы:
Сеть построена на микротиках. почти везде в сети стоят IP телефон Grandstrem хочу изолировать VOIP отдельно от сетевого трафика по влану.скажите это вообще реально? на cisco знаю что реально и там все гениально и просто, а вот с микротиком че то все никак не могу разродиться...

Answer 1

[d-stream]

на cisco знаю что реально и там все гениально и просто, а вот с микротиком че то все никак не могу разродиться...

почти перефраз "прогуливайте в школе физику и для вас весь мир будет сказочным и волшебным")

надо просто еще покурить и понять что же такое vlan и тогда все волшебство и колдунство посереет и станет обыденным примитивизмом...

да, на микротике изолировать голосовой трафик, даже точнее всю телефонию от хомячков с вконтактиками и фотками просто, даже наверно с применением winbox окажется чуть побыстрее накликать чем строчить в cli циски… (по крайней мере для среднестатистического человека владеющего мышкой и печатающего не как профессиональная машинистка)

Comments

[Дмитрий Трейсеров]

хахаха с удовольсвием научусь этому потому что я дико запутался уже.можешь рассказать как?

[Ziptar]

Дмитрий Трейсеров,
https://wiki.mikrotik.com/wiki/Manual:Interface/VLAN - как-то так.

[d-stream]

Дмитрий Трейсеров, прочитать слух результаты первой десятки вывода поисковика "микротик настройка vlan"?

Можно конечно, но это окажется долго и дорого, даже если по 10 рублей за слово - описание одной картинки выйдет в несколько тысяч рублей. А если еще учесть повышающий коэффициент "читать с выражением"...

p/s/ намек: подробное описание "что сделано" и картинки с описанием "что хочется сделать" - спровоцируют море конструктива, а абстрактное "ничего не получается" - разве что глумление.

Answer 2

[Денис Базарнов]

По порядку:
1) Да, изолировать можно, даже приоритеты расставить.
2) Да, у микротиков немного своя идеология.
3) Что делать. Диагностику конечно:
а) Запускаем ping с микротика до тестового ip-телефона. Пусть работает постоянно. Использование tracert также не запрещено :)
б) На каждом интерфейсе и на VLAN-е есть кнопка Torch, показывает какие пакетики бегают по данному интерфейсу.
в) С большим вниманием относимся к вкладке bridge. Желательно Ваш подопытный интерфейс не включать на время тестов ни в один bridge.
г) Дальше внимательно смотрим на файрволл, на запрещающие правила.
д) Ну и ip-> route
Какова цель диагностики: абстрагируйтесь от вендора железки. Просто представьте, что перед Вами а-ля черный ящик. Ну и по шагам, используя все стандартные инструменты, добейтесь того, чтобы траффик "летел куда надо". И для удобства пользуйтесь winboxom хотя бы в первое время.

Comments

[Дмитрий Трейсеров]

так и так через винбокс работаю.низкий поклон)

Answer 3

[20ivs]

на cisco знаю что реально и там все гениально и просто

Если для вас нет проблем в понимании Vlan на циске, то просто учтите один момент - терминология на Микротах и цисках отличается. достаточно понять, что в цисках есть trunk, access и native, а в Микротах есть tagged, untagged и default. при понимании этого всё пойдет как следует.

скажите это вообще реально?

не просто реально, а даже желательно.

Comments

[Дмитрий Трейсеров]

Благодарю. стало проще

Answer 4

[Dmitry]

Было бы проще вам подсказать верный путь, если уточните структуру сети - микротик используется только для терминирования vlan или коммутаторы доступа тоже на них? SwOS или RouterOS на коммутаторах доступа? какие модели?

Comments

[Дмитрий Трейсеров]

провайдерский(на него приходит интернет, там вланы уже вписаны) RB941-2nD -> (мой шлюз) RB951G-2HnD -> (микротики на пользователей) CRS125-24G-1S, CRS326-24G-2S+, CRS326-24G-2S+

Answer 5

[Vladimir Zhurkin]

Есть хороший гайд

https://youtu.be/Np7rAwvAzq4

У самого сделать видео у меня руки лично не доходят.

Если коротко:

У tik есть несколько вариаций vlan.
Исторически можно было настроить через switch chip или программным методом.
При этом на коммутаторах 3xx серии все идет аппаратно.
Программный метод вынесен в зону bridge (напомню, что в 3xx серии он аппаратный)
Что бы понять те или иные возможности по vlan и остальному, надо смотреть wiki по tik.
При этом на 1xx/2xx серии нас ждет еще один вариант vlan (точнее меню)
Да это боль, увы и ах.

Теперь про быстро настроить, накидаю bridge вариант.



После того как все наметели, можно активировать в bridge vlan



Не рекомендую без понимание это делать удаленно, так как есть большой риск потерять управление железкой.

ну и создаем интерфейс vlan, если нам надо туда раздавать dhcp/dns или вообще что-то делать



Будет непонятно , спрашивайте.

PVID - простым языком, порт untaget по умолчанию. Те если вдруг там есть еще и taget , а устройство с той стороны не понимает, она получит сеть которую выставили.

Comments

[Дмитрий Трейсеров]

был в отпуске, вышел с новыми силами! ну щас как возьмусь!ух)

Answer 6

[AkaZLOY]

Если у вас тупые L2 свитчи, то знайте, что они могут обрезать vlan-тег.