Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Hybridna VLAN na MT

Trosku bojujem s kombinaciou MT-Zyxel switch-Unifi AP.
Potrebujem zvlanovat userov z guest siete UAP na MT. Pri mojom nastaveni som sice VLAN vytvoril, ale tak, ze UAP si zobral IP z dhcp, stratil spojenie s kontrolerom, co je logicke lebo ten je na inom rozsahu.
Problem je pravdepodobne v MT, kde nemam korektne vytvorenu hybridny port na prislusnom porte, kde je Zyxel a nie som si celko isty ako by mal vyzerat konfig.
Otazka teda znie, ak chcem do prislusneho portu pustat otagovane a neotagovane packety.
Zapojenie je taketo:
23 port MT je prpojeny na 10 port Zyxel.
Na 1-9 porte Zyxel bezia zariadenia z klasickeho rozsahu, co ma MT na inych portoch. Na 9 bezi UAP a na jeho primarnej SSID bezi tiez tento rozsah. Na guest sieti chcem, aby bezala VLAN11, a preto potrebujem na 9 porte posielat aj otagovane aj neotagovane packety.
MT, ale tusim taketo nevie, len ked si hodi port do bridge s vlan portom, ale toto som si neni prave celko isty.
Takze ako prinutit MT, aby na jednom rozhrani prijimal a posielal normalne aj otagovane packety z VLAN?

Předmět Autor Datum
Nějak ti nerozumím. Hybridní port se používá směrem k zařízením, která si potřebují např. nejprve "l…
touchwood 13.12.2017 20:07
touchwood
Takto: Mam siet 192.168.2.2/23, ktoru riadi na MT. Na sieti je pripojeny jeden UAP cez Zyxel switch.…
fleg 13.12.2017 20:37
fleg
Zítra ti to nakreslím.
touchwood 13.12.2017 23:03
touchwood
Podla toho, co som nasiel by malo stacit spravit vlan na porte2 (master port) a kedze 23 je jeho sla…
fleg 14.12.2017 00:16
fleg
řešíš nesmysly. běžná lan: VLAN1 guest lan: VLAN11 Mikrotik LAN: Trunkport 1+11 (tj. plně tagovaný…
touchwood 14.12.2017 06:30
touchwood
Poriesil som to to (zatial vyzera, ze ok) ako som pisal...priradil som vlan11 k ehter2_master, na sw…
fleg 14.12.2017 09:47
fleg
No, není to OK, spíše je to haluz jak sviňa. :-) Ještě jednou: máš-li koncové zařízení v trunku, zn… poslední
touchwood 14.12.2017 12:35
touchwood

Nějak ti nerozumím. Hybridní port se používá směrem k zařízením, která si potřebují např. nejprve "líznout" konfiguraci, což rozhodně není případ mikrotiku?

Řekněme, že máš APčko, které je pro účely prvotní konfigurace považováno za tagging-unaware, a tak potřebuješ pro něj hybridní port. V takovém případě stačí:

1. zvolit "default" VLAN (řekněmě VLAN1) + ostatní vlany (např. VLAN10, VLAN20 a VLAN30 - určené pro jednotlivé wifi sítě)
2. MKT připojíš full-tagged portem, který bude obsahovat všechny potřebné VLANy
3. APčko připojíš hybridem, kde tagged budou 10+20+30, untagged 1 a PVID bude nastaveno taky na 1
4. Kontrolér musí být samozřejmě taky ve VLAN1, to dá rozum.

Tím dojde k tomu, že netagované pakety na hybridním portu budou zařazeny do vlan1, a budou switchovány v rámci této vlan.

Pokud to chceš fakt řešit na mikrotiku (což nechápu proč), tak viz: https://forum.mikrotik.com/viewtopic.php?t=111425

P.S.: VLAN1 samozřejmě nedoporučuji používat.

Takto: Mam siet 192.168.2.2/23, ktoru riadi na MT. Na sieti je pripojeny jeden UAP cez Zyxel switch. Na nom bezia 2 SSID, druha je guest klasicka.
Dostal som poziadavku, aby siet giest bola z ineho rozsahu. Siet je totizto riadenia tak, ze MT dava IP z rozsahu 192.168.3.0-254, z ktorej sa vsak nepripojis na net. Problem nastal, ze guesti z AP, dsotavaju IP z tohoto rozsahu a je ich nutne dodatocne povolovat na MT (brane).
Tomuto som sa chcel vyhnut tym, ze guestov hodim do osobitnej vlany s vlastnym rozsahom, ktory bude povoleny. Guesti sa pripajaju cez voucher z UAP, takze pristup na guesta je tymto osetreny na UAP. Pokusil som sa teda prevlanovat na guesta, bohuzial dosiahol som len to, ze cele AP mi skocilo na vytvorenu VLAN, zobralo si IP z jeho rozsahu, ale klienti za nim si brali IP z povodneho rozsahu...cele sa mi to spravalo divne tak reku najprv sa radsej opytam;o).
Ono ej to komlikovane na sieti su aj ine AP s rovnakym SSID, mozno som bol napojeny na nich, takze s tymi IP to tak celkom nemusi byt pravda.
Mam na sieti asi 400 zariadeni, a preto som chcel prevlanovat len toho guesta na zaciatok, takze zvysok siete som chcel nechat nezvlanovany.

Podla toho, co som nasiel by malo stacit spravit vlan na porte2 (master port) a kedze 23 je jeho slave pojde packet aj tam. Na druhej strane staci oznacit guest ako VLAN11. Typkovi na videu to takto fungovalo...mne sa to nezda;o).
Na druhej strane je to mozne, ak postavim proti sebe dva MT a na druhom zbridzujem jeho dhcp klient port s vlanom tak dostane IP a z vlan rozsahu, takze na strane dhcp server bridgovat uz nic nemusim.

řešíš nesmysly.

běžná lan: VLAN1
guest lan: VLAN11

Mikrotik LAN: Trunkport 1+11 (tj. plně tagovaný port)
Unify Controller: Trunkport 1+11 (předpoklad že na tom WLC běží walled garden s autentikací pro guesty);
APčko Unify: Hybrid port (VLAN1 notag, VLAN11 tagged, PVID1)
Vše ostatní bude už klasika Access port s VLAN1

P.S.: VLAN1 je default (i pokud se VLANy nepoužívají vůbec), tudíž pokud se nechceš zaobírat dalšími Access porty, ponecháš právě tuto.

edit: tam, kde je trunkport nebo hybrid, předpokládá se to, že nastavíš i koncové zařízení, tj. MKT, a WLC (APčko si sosne konfiguraci z WLC).

edit2: abys rozuměl: řešit hybrid port na mikrotiku není třeba, protože do něj nebudeš připojovat žádné zařízení, které toto bude vyžadovat. Do něj půjdou už pakety ze switche krásně otagované (viz. hybridní port pro AP, který toto zařídí). Nezapomeň: Access port = taguje switch. Trunk/tagged port = taguje koncové zařízení a Hybrid = taguje koncové zařízení, a pokud paket tag nemá, taguje switch (naopak to funguje taky, tj. pro danou vlanu se při výstupu tag odebírá). Z hlediska switche Zyxel je MKT koncové zařízení. Už chápeš?

edit3: jediný reálný problém vidím v autentizaci guesta, protože na to potřebuješ, aby WLC fungoval jako router, tj. podle HW konfigurace WLC je třeba zajistit prostup paketů z guest LAN do oficiální LAN přes "správné" porty na WLC.

Poriesil som to to (zatial vyzera, ze ok) ako som pisal...priradil som vlan11 k ehter2_master, na switchi som pretagoval oba porty a na gueste som nastavil vlan11. Guesti dostavaju IP z vlan11 rozsahu, z primarnej SSID dostavaju IP z "normalneho" rozsahu.
Co ma trosku matie je, ze AP si vypytalo IP aj z rozsahu vlan11, takze ma teraz 2....respektive vidim ho cez controler aj na povodnej IP. Controler zostal na povodnom rozsahu.

No, není to OK, spíše je to haluz jak sviňa. :-)

Ještě jednou: máš-li koncové zařízení v trunku, znamená to, že přes jedno fyzické spojení jdou dvě rozdílné sítě, oddělené právě přes 802.1q tagy. A protože jsou dvě, máš taky dva virtuální adaptéry, tudíž zařízení dostane 2 různé IP adresy z 2 různých sítí.

Zpět do poradny Odpovědět na původní otázku Nahoru