Jump to content

Помогите с QinQ на Mikrotik CRS-317


Recommended Posts

Добрый день!

 

Помогите пожалуйста разобраться как сделать QinQ на CRS-317.

 

На рисунке схема сети: есть ряд CRS317 в качестве коммутаторов и CCR1072 в качестве маршрутизатора. Задача - из SFP3 порта свича SW2 vlanid 745 обернуть в vlanid 200 и отправить через чужую сеть.

 

Читал мануалы на вики микротика про Tag stacking - https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Tag_stacking Но там в примере они берут какой-то входящий порт и на него вешают PVID с включенной галочкой Tag stacking, т.е. они оборачивают все входящие вланы с этого порта в влан PVID. Мне же необходимо как-то обернуть только один влан (в перспективе появятся другие вланы).

VLAN 777 - используется для управления устройствами, проходит через всю сеть тагом, на CRS он создан в /interface vlan и повешан на бридж, в бридже все порты CRSa

VLAN 745 - это клиентский влан, он также проходит везде тегом, но на CCR на ем висит IP. Этот влан необходимо засунуть в QinQ.

VLAN 1000 - это, так сказать, влан общий абоненский влан для предоставления интернета. О также проходит везде тегом и терминируется на CCR. Приведен здесь просто "чтобы был", возможно это важно для настройки QinQ.

 

В SFP3 свича SW2 подключена сторонняя сеть, в которой нам выделен влан 200, с их стороны он отдается нам тагом.

 

Screenshot_13.png

Edited by Karfax
Link to post
Share on other sites
  • Replies 78
  • Created
  • Last Reply

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Так а разве проблема создать влан 200, а на нем 745?

Если я правильно понял, то данная штука просто меняет vlan id. Я ее использую в одном месте где мне нужно клиентский влан перевернуть в другой. Но QinQ - это не просто изменить тег, а сделать двойное

я понял, Вам нужно сделать через новомодную тему в бриджах и портах это нужно подумать, мне пока не до того, сорри как показано на видео - это старый метод, где весь траф через юзерспейс шел

Posted Images

А в другой сети QinQ вообще поддерживается?

 

Приложите настройки, что и как настроили, вместо текста.

Link to post
Share on other sites
1 час назад, Kiano сказал:

Так а разве проблема создать влан 200, а на нем 745?

Где создать? Как его создать на црс? Я могу его добавить в /bridge vlan (как обычный проброс вланов через црс), он он там будет просто проходить как тегированный. Затем могу его создать в /interface vlan и повесить а бридж, но это получается, что включается уже обработка процессором, что ни есть хорошо.

40 минут назад, DVSGROUP сказал:

А в другой сети QinQ вообще поддерживается?

 

Приложите настройки, что и как настроили, вместо текста.

Поддерживается.

 

Да вот я еще никак не настроил qinq, потому что не понимаю как это сделать. Или вам выложить то как сейчас настроено?

Edited by Karfax
Link to post
Share on other sites

Ну тебе ж выше Kiano написал чё сделать.

 

Создай на interface sfp3 vlan 200.

Потом создай влан 745, и вещай его на interface vlan 200.

В чем сложность. Не понимаю...

 

Link to post
Share on other sites
2 часа назад, Karfax сказал:

Где создать? Как его создать на црс? Я могу его добавить в /bridge vlan (как обычный проброс вланов через црс), он он там будет просто проходить как тегированный. Затем могу его создать в /interface vlan и повесить а бридж, но это получается, что включается уже обработка процессором, что ни есть хорошо.

Поддерживается.

 

Да вот я еще никак не настроил qinq, потому что не понимаю как это сделать. Или вам выложить то как сейчас настроено?

Вот тебе видео 

по анологии настрой.

Link to post
Share on other sites

я понял, Вам нужно сделать через новомодную тему в бриджах и портах

это нужно подумать, мне пока не до того, сорри

как показано на видео - это старый метод, где весь траф через юзерспейс шел

через бриджи - это типа аппаратная реализация

  • Like 1
Link to post
Share on other sites
1 час назад, Kiano сказал:

через бриджи - это типа аппаратная реализация

 

Фишка CRS3хх как-раз в аппаратной разгрузке.

 

Если делать софтово, CRS317 может прожевать всего пару гигабит софтового VLAN.

 

QinQ для CRS3xx описан тут

 

https://wiki.mikrotik.com/wiki/Manual:CRS3xx_series_switches#VLAN_Tunneling_.28Q-in-Q.29

 

Обратите внимание на кусок кода:


 

/interface ethernet switch rule

add new-dst-ports=ether2 new-vlan-id=20 ports=ether1 switch=switch1 vlan-id=10

add new-dst-ports=ether1 new-vlan-id=10 ports=ether2 switch=switch1 vlan-id=20

 

Иными словами надо юзать new-vlan-id

Link to post
Share on other sites
6 часов назад, DVSGROUP сказал:

 

Фишка CRS3хх как-раз в аппаратной разгрузке.

 

Если делать софтово, CRS317 может прожевать всего пару гигабит софтового VLAN.

 

QinQ для CRS3xx описан тут

 

https://wiki.mikrotik.com/wiki/Manual:CRS3xx_series_switches#VLAN_Tunneling_.28Q-in-Q.29

 

Обратите внимание на кусок кода:


 


/interface ethernet switch rule

add new-dst-ports=ether2 new-vlan-id=20 ports=ether1 switch=switch1 vlan-id=10

add new-dst-ports=ether1 new-vlan-id=10 ports=ether2 switch=switch1 vlan-id=20

 

Иными словами надо юзать new-vlan-id

Неа, пару гигабит в таком виде - фартастика

 

Про код: не уаерен

Link to post
Share on other sites
В 13.04.2021 в 01:07, DVSGROUP сказав:

 

Обратите внимание на кусок кода:


 




/interface ethernet switch rule

add new-dst-ports=ether2 new-vlan-id=20 ports=ether1 switch=switch1 vlan-id=10

add new-dst-ports=ether1 new-vlan-id=10 ports=ether2 switch=switch1 vlan-id=20

 

Иными словами надо юзать new-vlan-id

Если я правильно понял, то данная штука просто меняет vlan id. Я ее использую в одном месте где мне нужно клиентский влан перевернуть в другой. Но QinQ - это не просто изменить тег, а сделать двойное тегирование. Что будет если мне нужно будет пропустить через QinQ два, три влана? Все их переворачивать в 200й? тогда весь трафик там замешается, как мне кажется.

 

Обратите внимание - этот код относится к разделу "Ingress VLAN translation", а не к "VLAN Tunneling (Q-in-Q)".

 

 

В 12.04.2021 в 23:30, Kiano сказав:

я понял, Вам нужно сделать через новомодную тему в бриджах и портахQ

это нужно подумать, мне пока не до того, сорри

как показано на видео - это старый метод, где весь траф через юзерспейс шел

через бриджи - это типа аппаратная реализация

Да, нужно именно так.

  • Haha 2
Link to post
Share on other sites
16 часов назад, Kiano сказал:

https://mikrotik.me/blog-MikroTik-simple-qinq.html

Кури взатяг, поможет

Да, читал. В принципе тоже самое что в мануале микротика. Получается, что мы должны оборочивать в влан все, что приходит в порт, как-то индивидуально обернуть один влан на входе или выходе нельзя?

Link to post
Share on other sites
3 часа назад, Karfax сказал:

Получается, что мы должны оборочивать в влан все, что приходит в порт, как-то индивидуально обернуть один влан на входе или выходе нельзя?

Qinq так и работает, во второй тег заворачивается все что входит в порт.

Чтоб заворачивать избирательно - железка должна уметь selective qinq, это уже довольно взрослый функционал и думаю в микротике его искать не стоит.

Link to post
Share on other sites
8 минут назад, KaYot сказал:

Qinq так и работает, во второй тег заворачивается все что входит в порт.

Чтоб заворачивать избирательно - железка должна уметь selective qinq, это уже довольно взрослый функционал и думаю в микротике его искать не стоит.

Зря так думаешь, selective qinq двумя способами реализуется

Link to post
Share on other sites
  • 5 months later...

Топикстартер, то как ?

Получилось сделать селектив куинку на новом бридже ?

 

Аналогичный кейс. Причем на одной из старых прошивок (6.42.1) точно помню, что работал у меня такой вариант, а теперь на последней стейбл (6.48.4) не могу сделать тоже самое =\

Хуже всего, что и старый конфиг, где "оно работало", уже давно потёрт =\ 

Link to post
Share on other sites

Собственно, отвечаю на свой вопрос же. Все вспомнил, да - работает 😃

Немного не такая ситуация, как выше, но +-.

Link to post
Share on other sites
  • 1 year later...
В 21.09.2021 в 20:46, Elisium сказал:

Собственно, отвечаю на свой вопрос же. Все вспомнил, да - работает 😃

Немного не такая ситуация, как выше, но +-.

Поделитесь знанием, пожалуйста, если еще не забыли.

Link to post
Share on other sites
В 21.09.2021 в 23:46, Elisium сказал:

Собственно, отвечаю на свой вопрос же. Все вспомнил, да - работает 😃

Немного не такая ситуация, как выше, но +-.

также интересно как это реализвать, микротик не понимает selective vlan

Link to post
Share on other sites

Честно скажу, вообще не помню уже, что я там делал и зачем 😃

Но вот нашел свою же темы на микрофоруме и походу там все порешалось.

https://forum.mikrotik.com/viewtopic.php?p=881468#p881468

 

п.с. походу, я пытался запаковать пачку вланов с етх1 в вплс и оно таки да.

Link to post
Share on other sites
19 минут назад, Elisium сказал:

Честно скажу, вообще не помню уже, что я там делал и зачем 😃

Но вот нашел свою же темы на микрофоруме и походу там все порешалось.

https://forum.mikrotik.com/viewtopic.php?p=881468#p881468

 

п.с. походу, я пытался запаковать пачку вланов с етх1 в вплс и оно таки да.

Это немного не про то. Селектив у микрота всё ещё чернз одно место. Печально. Но, при это пару сотен мбит можно пропустить легко. Клаудкор тот больше гига пропустит.

Link to post
Share on other sites
2 часа назад, Kiano сказал:

Это немного не про то. Селектив у микрота всё ещё чернз одно место. Печально. Но, при это пару сотен мбит можно пропустить легко. Клаудкор тот больше гига пропустит.

Так все таки селектив можно как то сделать? через одно место это как?

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By G_ua
      Доброго дня всім!
      Підскажіть, можливо хтось стикався з проблемою:
      На мікротіку IKEv2, тільки для андроід клієнтів. ip адреси видаються з пула dhcp, тобто пула локальної мережі (192.168.1.0/24). При підключенні все працює, кліенти бачать інші vpn мережі (192.168.10.0/24, 192.168.11.0/24) але не бачать локальної, тобто 192.168.1.0/24, з неї вони отримують dhcp при підключенні. Якщо видати кліенту, на приклад, 11.0.0.0/24, любу мережу відмінну від локальної, ми бачим всі адреси в діапазоні 192.168.1.0/24, але не бачимо vpn (бо з тої сторони vpn нема маршруту в мережу 11.0.0.0/24).
      Чи можливо щоб при підключенні андроід кліенти отримували ip з мережі 192.168.1.0/24 та могли підключитися на ресурси цієї мережі, на ...1.2 до прикладу. Тобто воно не  маршрутизує в мережу з якої ми отримаємо адресу, але бачить по дефолту любу відмінну від ...1.0 мережу.
      Клієнт аднроід StrongSwan.
    • By denisluk
      Вітаю шановне товариство! Маю напіввирішену проблему з вищевказаним провайдером і EPON підключенням.
      Суть проблеми полягає в тому що періодично і рандомно на Мікротіку відвалюється з'єднання і самостійно відновлюється.
      Сетап: 1) ONU Picotel PU-E910, 2) Mikrotik HEX
       
      Тріолан наливає інет зі статичною адресою і прив'язкою по МАС. 
      На мікроті все стандартно: виділив порт під WAN, насетапив адресу, склонував МАС ноута (спочатку по швидкому тестили інет на ноуті тому його МАС і вбили в білінг), правило НАТу вписав - інет є. 
      Потім рандомно почав відвалюватись інет. В логах геть нічого. Порт мікрота не змінював статус. 
      Перевірив налаштування - все типово. І ніяких глюків чи помилок не виявлено.
      Заміна порта мікрота, прошивка, заміна на інший мікрот (новий з коробки зі скинутим конфігом, налаштований лише з одним правилом НАТу) ніяк не покращили ситуацію. 
      Представник саппорта прийшов і замінив ОНУшку. Теж не допомогло. При спілкуванні представника саппорта по телефону з мережевим інженером з'ясувалось що відвал стається саме тоді, коли мікрот перестає передавати свій МАС. Не бачимо маку, нема авторизації, логічно. 
      З ноутом на пряму все працює без зауважень. На моє питання: "що може бути?" представник саппорта розвів руками і запропонував роутер "не мікротік")))) Мене такий варік не влаштовує, тому що на моєму роутері побудована і пачка тунелів на роботу і до батьків. 
      Почав розбиратись сам, що пробував: 1) ставити чек гетвея пінгами, 2) чек arp запитами, 3) отримувати адресу і по дхцп (так, писав про статику, знаю. Але це рекомендація Тріолану. Взагалі у них працює ДХЦП, але при зникненні світла з ДХЦП є проблеми в них. Тому лишився на статиці), 4) інші мікроти, 5) інші блоки живлення, 6) інші кабелі utp. Все це не мало позитивного результату і не міг відслідкувати що саме спричиняє проблему. 
       
      Що допомогло: 1) створив брідж. 2) на брідж прописав майстер-МАС який закріплений в білінгу, 3) відключив на цьому бріджі оновлення МАС, 4) на цей брідж прописав адресу і т.д. 4) вкинув порт, до якого підключена ОНУ, в цей брідж без ніяких налаштувань взагалі, 5) правило срцнат. 
      Диво, все працює і аптайм уже більше тижня. При спілкуванні з саппортом все ОК, вони бачать валідний МАС (МАС бріджа).
       
      Шановне товариство, допоможіть розібратись: чому схема яка допомогла - працює, а типове налаштування веде до обривів? Дякую за ідеї.
       
       
       
    • By GekaPeka
      MikroTik PowerBox Pro (RB960PGS-PB), новый, в упаковке. Цена: 2800 грн.
    • By Игорь_Кривой Рог
      Продам за ненадобностью остатки после модернизации, лежать без дела.
       
      Mikrotik RB850Gx2 - 4шт.
       
      Mikrotik RB260GS - 1шт.
       
      Все в рабочем состоянии, сброшены на заводские настройки, битые порты отсутствуют.
       








    • By Dimon123
      новий, без коробки, відправлю 1600 грн



×
×
  • Create New...