Virtual AP and native VLAN

[Diogen]

Здравейте колеги,

имам следния проблем:

Опитвам се да направя две безжични мрежи, от които едната да е в бридж с VLAN10 за публичен достъп и втора безжична мрежа която да е в бридж с VLAN1 за фирмен (частен) достъп.

Идеята е втората мрежа да бъде с разтагнат трафик.

Проблема с виртуалните АП-та е че не може да се сложи физически интерфейс в бридж т.е. физическия ether1 и физическия wlan1 не могат да бъдат членове на какъвто и да е бридж.

VLAN10 пакетите си достигат през локалната мрежа на фирмата до публичния рутер без проблем.

VLAN1 пакетите минават през локалната мрежа влизат в управляем суич (марка HP), който маха тага, защото VLAN1 му е Default Vlan, стигат до рутера за фирмено ползване, рутера отговаря на заявката (в случая за DHCP) и пакетите тръгват обратно (разтагнати) и не стигат до акцес пойнта (RB411AR). Нито на физическия интерфейс, нито на виртуалния.

В случай, че съм го обяснил достатъчно ясно някой има ли идеи?

п.с. тази схема работи с DD-WRT на Linksys WRT54GL, защото връщайки се разтагнат пакет на VLAN1 интерфейса, DD-WRT-то си го познава.

[Diogen]

Никой ли няма идея...  :-\

Искам да направя няколко виртуални АП-та и едното от тях да не е към VLAN, а да си е с нормален фрейм.

Не може да няма някой трик за да стане... 

[111111]

EoIP примерно

[Diogen]

Просто се чудех, дали може с RouterBOARD да се направи "Native VLAN". Колкото и да ги дразни някой колеги този цисковски термин  .

Просто за моите условия ми върши идеална работа без да се налага да се усложнява мрежата.

Благодаря за отговорите.

[NetworkPro]

Да, той е направен по дефолт. Native VLAN-а ти е обикновения Layer 2 трафик, който няма VLAN tag. Ако на един Layer 2 интерфейс имаш VLAN50 например, трафика който си минава по реалния интерфейс е Natvie VLAN. Трафика който си минава по така създадения VLAN50 интерфейс - си е Layer 2 + VLAN TAG 50 трафик.

Ако искаш да направи Bridge така че трафик, който е дошъл през VLAN60 например да продължи по Natvie VLAN-а, трябва просто истинския интерфейс да се сложи в Bridge с VLAN60 интерфейса. Това ще направи така нареченото ънтагване. За да ти е мирна главата обикновено при тези Bridge-вания на Layer 2 е хубаво с Filter dа си порпуснеш това което ти трябва, например АRP, или пo MAC aдреси на клиента + сървъра в двете посоки. А останалото - drop.

P.S. пoнеже става въпрос за AP - там Layer 2 бриджването не винаги е позволено, не мога точно в момента да кажа конкретно как и защо, но ако нещо неще да баца - от това ще е. И затова 111111 предложи EoIP.

P.S. Sorry, това не работи на RouterOS.

Редактирано 17 Януари, 2012 от NetworkPro

[Diogen]

Ако сложим виртуален интерфес в бридж с физическия интерфейс към който той принадлежи ефекта е следният:

/interface bridge host> print

Public          00:1B:77:8B:F0:A1 ether1                1m30s

  Public          00:1B:9E:05:DF:FD ether1                2m20s

  Public          00:1B:FC:CF:13:DD ether1                1m32s

  Public          00:1C:25:0D:DD:21 ether1                2m21s

  Public          00:1C:BF:69:13:7D ether1                40s

  Public          00:1C:BF:B7:54:F1 ether1                10s

  Public          00:1D:09:58:32:18 ether1                14s

  Public          00:1D:0F:EC:41:5F ether1                36s

  Public          00:1D:60:9E:4F:2D ether1                1m31s

  Public          00:1D:7D:4C:F2:AC ether1                12s

  Public          00:1D:BA:74:58:3D ether1                21s

  Public          00:1E:33:78:FF:E6 ether1                8s

  Public          00:1E:4C:02:A4:74 ether1                14s

  Public          00:1E:64:0E:30:3C ether1                2m51s

  Public          00:1E:C2:E9:74:CA ether1                4m6s

  Public          00:1F:29:D9:85:A4 ether1                17s

  Public          00:1F:3A:55:B8:8B ether1                4m59s

  Public          00:1F:3C:90:CA:23 ether1                28s

  Public          00:1F:E1:D3:B1:8D ether1                1m7s

  Public          00:21:5D:54:C3:BA ether1                19s

  Public          00:21:63:AE:A2:E2 ether1                11s

  Public          00:21:FE:5D:EF:EE ether1                4m

  Public          00:22:43:21:E5:A1 ether1                13s

  Public          00:22:43:33:7E:D4 ether1                4m30s

  Public          00:22:43:36:92:99 ether1                1m25s

  Public          00:22:43:68:5D:39 ether1                55s

  Public          00:22:69:5A:62:0D ether1                1m22s

  Public          00:22:6B:79:F4:A0 ether1                20s

  Public          00:22:B0:A4:11:6D ether1                14s

  Public          00:23:4D:36:15:C0 ether1                12s

  Public          00:23:6C:7E:3F:D5 ether1                1m12s

  Public          00:23:CD:BE:C8:3A ether1                1m3s

  Public          00:24:21:AB:8D:97 ether1                1m3s

  Public          00:24:2C:13:A5:EF ether1                1m35s

  Public          00:24:D6:4B:0C:3C ether1                20s

  Public          00:25:D3:C4:40:40 ether1                49s

  Public          00:25:D3:F2:8F:66 ether1                2m33s

  Public          00:25:D3:F3:01:E0 ether1                13s

  Public          00:25:D3:F5:FA:AE ether1                1m55s

  Public          00:26:4A:57:57:CC ether1                14s

  Public          00:26:55:4F:97:7C ether1                2m10s

  Public          00:26:9E:D2:7F:33 ether1                14s

  Public          00:26:B9:1D:04:6D ether1                12s

  Public          00:B0:D0:5E:D0:AF ether1                15s

  Public          00:E0:18:02:F6:65 ether1                2m8s

  Public          00:E0:4D:18:6A:67 ether1                18s

  Public          00:E0:4D:1A:59:2F ether1                1m47s

  Public          00:E0:4D:26:16:3B ether1                18s

  Public          00:E0:4D:93:91:44 ether1                1m3s

  Public          0C:60:76:61:4B:36 ether1                28s

  Public          0C:60:76:7D:9F:D4 ether1                15s

  Public          0C:EE:E6:A5:10:8F ether1                35s

  Public          18:A9:05:98:7F:6D ether1                37s

  Public          70:1A:04:0A:9D:09 ether1                1m20s

  Public          70:1A:04:70:E1:41 ether1                4m38s

  Public          90:84:0D:11:DB:70 ether1                1m6s

  Public          A0:4E:04:DE:FF:3B ether1                16s

  Public          C4:17:FE:36:FC:76 ether1                48s

  Public          C4:17:FE:66:91:45 ether1                19s

  Public          C4:17:FE:A7:5F:62 ether1                2m2s

  Public          C4:17:FE:CA:1E:7B ether1                15s

  Public          C8:0A:A9:10:B8:D7 ether1                29s

  Public          D8:D3:85:23:FF:17 ether1                2m39s

и така два екрана ...

В допълнение към ефекта е - след 1 минута започват да ти звънят, че половината мрежа вече не работи... 

Явно се получава ефекта на кабела, който и двата му края са включени в един суич.

Но така или иначе при виртуалните АП-та не може физическите интерфейси да са членове на бриджове.

Sега стана ясно, че не може и виртуален интерфейс (VLAN) да бъде в един бридж с физическия интерфейс към който той принадлежи.

т.е.

VLAN50 (принадлежащ към интерфейс ether1) - не може да бъде в бридж с ether1

[SS7]

Не съм убеден, че е така....

То май си лооп-нал мрежата , тоя влан50 от къде идва, къде се разтагва ?

Нма проблем да бриджнеш физически с влан интерфейс.  бриджа обаче е суич - пък и с бридването им се обезмисл самата идея за влан.

Защо не пробваш с два влан-а и два отделни бриджа , единия влан бриджваш с едното виртуално АП , другия с другото.

п.с. просто разсъждени - нямам почти никакъв опит с влан-и в микротика.

VLAN50 (принадлежащ към интерфейс ether1) - не може да бъде в бридж с ether1

[Diogen]

Точно така,

мрежата се "залоопи".

Теоретично се прави точно така както предполагаш SS7.

Бригжва се виртуално АП с VLAN и всичко работи перфектно.

Всяко от виртуалните АП-та си влиза във VLAN-a с който е в бридж и става една класическа схема, която работи без проблеми.

Първоначалната ми идея беше да се избяга маколко от класическата схема и да накарам едното от виртуалните АП-та да бъде в бридж с VLAN, който не слага таг (native VLAN).

От многобройните опити които проведох все повече се приближавам до един извод - няма да стане.

От D-Link 2100AP и нагоре всичките потдържат виртуални АП и могат да решат горния казус.

Не ми харесва при тях, че броудкастите от едната мрежа прескачат в другата - за това си твърдение не съм много сигурен.

[111111]

незнам каква ти е точно постановката но при мен има около 40 рб с по 3 безжични карти

вкарани в бридж + един EoIP които ми излиза в основния рутер където има друг бридж и хотспот на него

отделно в тая мрежа има на няколко места АДСЛ-и които минават по отделни EoIP пак към рутера

и от него в отделните офиси нито лупване нито проблеми има

между другото лист и молив винаги помагат

[mtr]

Здравейте колеги,

имам следния проблем:

Опитвам се да направя две безжични мрежи, от които едната да е в бридж с VLAN10 за публичен достъп и втора безжична мрежа която да е в бридж с VLAN1 за фирмен (частен) достъп.

Идеята е втората мрежа да бъде с разтагнат трафик.

Проблема с виртуалните АП-та е че не може да се сложи физически интерфейс в бридж т.е. физическия ether1 и физическия wlan1 не могат да бъдат членове на какъвто и да е бридж.

VLAN10 пакетите си достигат през локалната мрежа на фирмата до публичния рутер без проблем.

VLAN1 пакетите минават през локалната мрежа влизат в управляем суич (марка HP), който маха тага, защото VLAN1 му е Default Vlan, стигат до рутера за фирмено ползване, рутера отговаря на заявката (в случая за DHCP) и пакетите тръгват обратно (разтагнати) и не стигат до акцес пойнта (RB411AR). Нито на физическия интерфейс, нито на виртуалния.

В случай, че съм го обяснил достатъчно ясно някой има ли идеи?

п.с. тази схема работи с DD-WRT на Linksys WRT54GL, защото връщайки се разтагнат пакет на VLAN1 интерфейса, DD-WRT-то си го познава.

Аз бих предложил цитата:

- Create vlan interfaces on ether1

- Create virtual access point interfaces -

Create a bridge for each pair of virtual-AP and VLAN interface that should go together

- Do NOT included the native ether1 interface in any bridge

Това е от

http://forum.mikrotik.com/viewtopic.php?f=7&t=12025&p=104755

Поздрави!

[Diogen]

Понеже пак се разбудиха духовете относно казуса, според мен причината е в Atheros. Може би RouterOS на машина с друг чип ще стане. WRT54GL е с Broadcom и той не прави разлика между таг 1 и не тагнат фрейм.

Аз до това заключение стигнах.

[NetworkPro]

Имаш ли нужда да вкарваш физическия интерфейс (vlan ънтагнат) в bridge с VLAN който пристига на същия физически или не ? Ако не - bridge-овете си работят. Да се пробвам ако трябва? TeamViewer и ЛС, Skype.

Редактирано 24 Януари, 2012 от NetworkPro