MikroTik: Настройка VLAN на оборудовании класса SOHO. Lab #2.

Продолжаем разбираться в настройке VLAN’ов на оборудовании MikroTik. Идея данной статьи навеяна презентацией Switch your RouterBoard от Daniel Starnowski, поэтому материал рассматривайте как вольный перевод с моими дополнениями. Ссылка на презентацию в конце статьи.

Теория.

— Когда мы покупаем оборудование MikroTik, оно как правило идет с предварительными заводскими настройками, и один из моих Best Practicies по работе с данным «железом» — это удаление заводской конфигурации и настройка оборудования “с нуля”, что мы и сделаем первым делом:

Сохранять бэкап заводских настроек не имеет смысла, т.к. для возвращения к ним существует кнопка Reset.

— После сброса наш маршрутизатор примет девственный вид и его внутренняя логика работы будет следующая:

Каждый порт подключен непосредственно к ЦПУ маршрутизатора, через него же идет вся обработка трафика.

— Маршрутизация же в данном случае будет иметь следующую логику работы:

— Работа по бриджеванию портов маршрутизатора:

— И наконец работа по бриджеванию VLAN’ов имеет вид:

Скорость передачи трафика в данной схеме ограничена производительностью ЦПУ. Это не проблема, если модель маршрутизатора например CCR1036 и это его штатная логика работы, но если у нас в наличии маршрутизатор с одноядерным ЦПУ в 600 МГц, а порты, например, гигабитные, то о передаче трафика со скоростью портов придется забыть.

— В таком случае на помощь приходит чип коммутации, который имеется на большинстве маршрутизаторов MikroTik. Он берет на себя функции по обработке кадров, разгружая ЦПУ:

— Проверка марки чипа коммутации в маршрутизаторе:

Видим, что используется чип Atheros 8227. Чтобы узнать его возможности идем на Wiki производителя.

— Задействуется чип указанием Master Port на требуемых сетевых интерфейсах, кроме непосредственно самого Master Port:

— В данный момент чип коммутации не используется:

— При данной настройке все порты маршрутизатора используют чип коммутации. В качестве Master Port указан ether4:

Если в момент настройки физическое подключение к маршрутизатору было в порт отличный от Master Port, то после применения настроек на порту подключения возможна потеря управления маршрутизатором. Это произошло из-за смены MAC адреса управления, который с MAC адреса интерфейса подключения изменился на MAC адрес Master Port’а.
Ищем в Winbox наш маршрутизатор в списке соседей и подключаемся к нему заново. Заметим, что MAC адрес подключения изменился, теперь он равен адресу Master Port’а.

Заметим, что состояние Master Port’а ether4 теперь всегда активное — “R”, независимо от того есть ли физическое подключение в ether4 чипа коммутации или нет.

— Логическая схема работы нашего маршрутизатора теперь приняла следующий вид:

Чип коммутации теперь функционирует как отдельный L2 коммутатор, соединенный с портом ether4 на ЦПУ маршрутизатора через CPU-Port.

Самое «веселое» заключается в том, что управление чипом осуществляется с ЦПУ, в то время как ПК, с которого настраиваем маршрутизатор, подключен физически к портам чипа. В случае неверной настройки, например CPU-Port’а, наш трафик пришедший на порт чипа коммутации просто не сможет достигнуть ЦПУ, с которого осуществляется управление этим чипом.

Как избежать потери управления:
1) Для настройки VLAN’ов производитель рекомендует использовать консольный кабель.
2) Если такой возможности нет, то можно оставить 1 порт маршрутизатора без указания Master Port’а и всю настройку оборудования проводить подключившись физически к этому порту. После проверки работоспособности проведенных настроек провести настройки оставшегося порта.
3) Четко соблюдать порядок настройки, понимая к какому эффекту приведет каждое действие.

В целях изучения темы мы пойдем путем №3, но на практике лучше пользоваться вариантами №1 и №2, хотя наличие понимания никто не отменял.

— Теперь имея представление о чипе коммутации можно посмотреть на логическую схему многих маршрутизаторов MikroTik класса SOHO при заводских настройках:

Еще раз сформулируем, что такое Master Port.
Master Port — это порт, через который RouterOS взаимодействует с чипом коммутации. Чип теперь отдельное устройство и его порт ether4 и ether4 в качестве Master Port на RouterOS — это разные вещи. В списке интерфейсов ether4 всегда показывает состояние “R” для Master Port, потому что он логически постоянно подключен к CPU-Port’у чипа коммутации. К физическому состоянию порта ether4 на чипе это никак не относится. Master Port на большинстве платформ можно указать только один, но есть исключения, например, серия коммутаторов CRS.

Настройка VLAN.

Дано:

В наличии:
а) маршрутизатор MikroTik hap lite (RB941-2nD) с RouterOS версии 6.36.4 (bugfix);
б) физически мы подключены к порту ether4 марштуризатора;
в) все порты задействованы чипом коммутации;
г) настраивать будем через Winbox, подключаясь к MAC адресу.

Требуется: Перенести функционал обработки VLAN’ов с ЦПУ на чип коммутации.

«Гибридных” портов, которые принимают тегированные и не тегированные кадры, у нас нет.
Для «полного счастья» добавим маршрутизацию трафика между VLAN’ами:

Решение:

— Создадим интерфейсы VLAN10 и VLAN20 для того, чтобы ЦПУ смог принять тэгированные кадры, пришедшие от CPU-Port’а чипа коммутации на Master Port ether 4 RouterOS. Это необходимо, чтобы не потерять управление устройством после включения обработки тэгов VLAN на CPU-Port’у чипа.

Добавляем интерфейс VLAN10:

Подобным образом настраиваем VLAN20.

Обратите внимание на счетчики трафика напротив Master Port’а ether4. Это трафик Winbox’а и он приходит на ЦПУ нетегированным:

— Настроим принадлежность портов чипа коммутации VLAN’ам:
а) к VLAN10 у нас относятся порты ether1, ether3, ether4 и CPU-Port;
б) к VLAN20 у нас относятся порты ether1, ether2, ether4 и CPU-Port.

Опция Independent Learning — позволяет держать раздельные таблицы MAC адресов для каждого VLAN’а.

Все настройки, что были до этого момента не могли привести к потере управления оборудованием.

— Приступим к самому ответственному — к заданию правил обработки тэгов VLAN портами чипа коммутации.

Мы будем использовать Secure режим обработки VLAN тэгов, который означает, что номера тэгов, которых нет в таблице VLAN’ов будут отброшены. Также будет проверяться принадлежность портов к своим VLAN’ам, т.е.:
а) если придет кадр с тэгом VLAN, которого нет в таблице VLAN’ов (см. вкладку VLAN), то он будет отброшен;
б) если придет кадр с тэгом VLAN, который есть в таблице VLAN’ов, но не на свой порт, то он будет отброшен.

— Настроим правила обработки тегов VLAN на порту ether3, который является портом доступа принадлежащий VLAN10:

secure — как уже упоминал выше, это строгий режим обработки тегов VLAN при котором проверяется наличие VID в таблице VLAN’ов, а также проверяется соответствие VID своим портам;
always-strip — всегда удалять у исходящего кадра тэг VLAN;
10 — входящий кадр без тега VLAN будет протегирован данным номером VID, который должен присутствовать в таблице VLAN при secure режиме обработки тегов VLAN.

— Настроим правила обработки тегов VLAN на CPU-Port чипа коммутации:

secure — строгий режим обработки тегов VLAN;
leave-as-is — не производить никаких действий с тегами исходящих кадров;
0 — не модифицировать теги входящих кадров.

— Теперь подключимся к порту ether3 нашего маршрутизатора. Соответственно в Winbox надо заново найти наш hap lite в соседях и подключиться к нему:

Видим как трафик управления от Winbox приходит на порт доступа, принадлежащий VLAN10. Далее трафик управления поступает на Master Port с тэгом VLAN10.

— Окончательные настройки правил обработки тегов VLAN на всех портах маршрутизатора:

— Теперь настроим IP адреса на интерфейсах VLAN10 и VLAN20 для маршрутизации:

— Подключаемся к порту ether3 маршрутизатора и в Winbox видим соседа с адресом 192.168.10.1.24, который назначен на интерфейс VLAN10:

— Подключаемся к порту ether2 и в Winbox видим адрес VLAN20:

К прочтению: Daniel Starnowski — Switch your RouterBoard