OpenWrt Konfigurieren von markiertem und nicht markiertem VLAN auf demselben Port

9

Ich habe OpenWrt auf einem MikroTik Routerboard RB750UP (AR7240-CPU mit integriertem AR9330-Switch) installiert. Ich habe unten zusätzliche Details angegeben, aber meine Frage lautet:

Wie konfiguriere ich ein nicht getaggtes und getaggtes VLAN am selben Port?

Ich habe erfolgreich nicht getaggte vlans und getaggte vlans unabhängig voneinander konfiguriert, jedoch nicht für denselben Port. Der Grund, warum ich dies tun möchte, ist, dass ich eine Ubiquiti NanoStation-Lok ​​M2 an einen Port angeschlossen habe, der ein drahtloses LAN bereitstellt (für das nicht getaggte Frames erforderlich sind), aber ich möchte auch ein getaggtes VLAN für die Verwaltung der Lok konfigurieren (dh auf deren Verwaltung zugreifen) IP über getaggten Van).

Hier einige weitere Details:

Hardware

  • MikroTik RouterBoard RB750UP
  • Ubiquiti NanoStation Lok M2

swconfig Ausgabe:

swconfig dev eth0 help
switch0: eth0(AR7240/AR9330 built-in switch), ports: 5 (cpu @ 0), vlans: 16
<snip>

Hier ist ein Link zu einem Diagramm (was ich glaube) des Layouts des AR7240 / AR9330-Schalters des RB750 .

Betriebssystem

OpenWrt BARRIER BREAKER (Bleeding Edge, r36085), erstellt mit einer benutzerdefinierten Konfiguration

# uname -a
Linux OpenWrt 3.8.3 #3 Wed Mar 27 04:09:04 PDT 2013 mips GNU/Linux

Netzwerkdiagramm

Hier ist ein Link zu einem Diagramm meines Netzwerk-Setups .

Wie das Bild zeigt, ist die NanoStation-Lok ​​an Port 3 angeschlossen und hat eine Verwaltungs-IP von 192.168.20.10/24, die auf einem VLAN mit VID = 3 konfiguriert ist. Es fungiert auch als drahtlose Brücke / Zugangspunkt für das Netzwerk 192.168.100.0/24.

Dementsprechend verfügt Port 3 auf dem Router über ein nicht getaggtes VLAN, das für das Netzwerk 192.168.100.0/24 konfiguriert ist, und ein getaggtes VLAN für das Verwaltungsnetzwerk 192.168.20.0/24 (mit vid = 3).

Netzwerkkonfiguration

Folgendes versuche ich mit der folgenden Konfiguration zu erreichen:

  • Tagged VLAN 3 (vid = 3) an Port 3 (virtuelle Schnittstelle eth0.3)
  • VLAN 4 ohne Tag an Port 3 (virtuelle Schnittstelle eth0.4)
  • Standard vlan pvid = 4 an Port 3 (um eingehende Frames ohne Tags zu verarbeiten)

Und der eigentliche Inhalt von /etc/config/network:

<snip>

config interface 'loco'
        option proto 'static'
        option ifname 'eth0.3'
        option ipaddr '192.168.20.1'
        option netmask '255.255.255.0'

config interface 'locolan'
       option proto 'static'
       option ifname 'eth0.4'
       option ipaddr '192.168.100.1'
       option netmask '255.255.255.0'

<snip>

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option vid '1'
        option ports '0t 2 4'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option vid '2'
        option ports '0t 1'

config switch_vlan
        option device 'switch0'
        option vlan '3'
        option vid '3'
        option ports '0t 3t'

config switch_vlan
       option device 'switch0'
       option vlan '4'
       option vid '4'
       option ports '0t 3'

config switch_port
    option port '3'
    option pvid '4'

swconfigZeigt nach dem Neustart des Routers die folgende Switch-Konfiguration an. Beachten Sie das fehlende '3t' in VLAN 3.

# swconfig dev switch0 show
Global attributes:
    enable_vlan: 1
Port 0:
    pvid: 0
    link: port:0 link:up speed:1000baseT full-duplex txflow rxflow 
Port 1:
    pvid: 2
    link: port:1 link:up speed:100baseT full-duplex auto
Port 2:
    pvid: 1
    link: port:2 link:down
Port 3:
    pvid: 4
    link: port:3 link:up speed:100baseT full-duplex auto
Port 4:
    pvid: 1
    link: port:4 link:up speed:100baseT full-duplex auto
VLAN 0:
    vid: 0
    ports: 0t 
VLAN 1:
    vid: 1
    ports: 0t 2 4 
VLAN 2:
    vid: 2
    ports: 0t 1 
VLAN 3:
    vid: 3
    ports: 0t    <----- no tagged port 3!
VLAN 4:
    vid: 4
    ports: 0t 3

Infolgedessen kann ich die Verwaltungs-IP der Lok nicht anpingen.

Ich habe auch versucht, die vlan / port-Zuweisung und die Tags mithilfe von manuell zu konfigurieren swconfig, aber bei jeder Permutation wird entweder Port 3 aus einem der vlans entfernt oder Port 3 wird in beiden vlans markiert.

Fragen

  1. Wie konfiguriere ich ein nicht getaggtes und getaggtes VLAN am selben Port? Ich versuche speziell, dies für OpenWrt zu konfigurieren, aber selbst zu verstehen, wie dies für Linux im Allgemeinen gemacht wird, wäre hilfreich.
  2. Gibt es bekannte Fehler / Probleme mit swconfig oder dem OpenWrt-Switch-Treiber AR7240 / AR9330, die dies verursachen könnten? (Bei meinen Suchen ist keiner aufgetaucht.)
user173470
quelle
Ich bin verwirrt mit Ihren Zielen: (2) VLAN 4 ohne Tag an Port 3 (virtuelle Schnittstelle eth0.4) und (3) Standard-VLAN pvid = 4 an Port 3 (um eingehende Frames ohne Tag zu verarbeiten). Wenn Sie VLAN 4 ohne Tag an Port 3 haben, werden eingehende Frames ohne Tag bereits verarbeitet, nicht wahr? Warum benötigen Sie dann extra Standard vlan pvid = 4 auf Port 3?
Andrey Sapegin

Antworten:

1

Im Allgemeinen müssen auch Ports ohne Tags eine NATIVE VLAN-ID UND nur dann zugewiesen werden, wenn diese von der Standard-ID 1 abweicht. Dies soll dem Switch helfen, das Weiterleiten von Paketen zu verstehen. Wenn Sie kein VLAN bereitstellen und es überbrückt ist, wird es als geroutete Schnittstelle betrachtet. Sie sollten im Allgemeinen keine Subschnittstellen (dh Tags) für Schnittstellen angeben, es sei denn, Sie erwarten, dass diese auf diesem System mit einer IP auf dieser Schnittstelle gebunden sind.

  1. Konfigurieren Sie die vlan-gerouteten Schnittstellen (nicht die physischen / überbrückten)
  2. Geben Sie das Tagging-Protokoll an, das für die physischen überbrückten Schnittstellen verwendet wird (z. B. dot1q).
  3. Wählen Sie UND geben Sie die native VLAN-ID für alle Schnittstellen an (falls NICHT vlan 1).

Ein weiterer Punkt. Im Allgemeinen tritt das Markieren nur dann auf, wenn sich ein L2-Paket von einem VLAN zur Core-Switch-Engine bewegt und nur dann, wenn es über einen anderen Trunk übertragen werden muss. Wenn ein Paket aus der Switch-Engine fließt, wird es vom Tag befreit und über Standard-Ethernet-Frames weitergeleitet.

Keith Andrew Hill
quelle
"Wenn Sie kein VLAN bereitstellen und es überbrückt ist" - stimmt etwas mit dieser Aussage nicht. Ich denke du meinst, wenn es nicht überbrückt ist, dann ist es geroutet.
Matt
Bridging bedeutet kein Tagging (vlan) und kann entweder geroutet werden (oder nicht). L2 und L3 sind nicht gleich. Eine ist die verwandte physikalische Paketvermittlung (L2) und die andere ist das Protokollrouting (L3). Das Problem ist, dass der Begriff "Brücke" ziemlich locker verwendet wird. Technisches Bridging beschreibt eine physische Verbindung (L1) und erfolgt vor jedem Framing. Dies kann als Verbindung zwischen zwei Schnittstellen angesehen werden. VLANs (in diesem Fall auch als dot1q-Tagging bezeichnet) sind ein spezieller L2-Status, in dem alle L2-Pakete mit einer ID gekennzeichnet sind, die von beiden Endpunkten als separates logisches L2-Netzwerk behandelt werden sollte.
Keith Andrew Hill
0

Ich denke nicht, dass es möglich ist, einen Port mit Tagging-Aktivierung UND ohne zu haben.

Entweder befinden Sie sich im Zugriffsmodus mit einer konfigurierten ID (kein Tagging).

Entweder konfigurieren Sie im Zugriffsmodus mehrere IDs am Port.

Entweder markieren Sie diesen Port mit einer einzigen ID

Entweder Sie markieren mehrere IDs, um den Verkehr zu isolieren. Dies wird als Trunk bezeichnet

Ich denke, was Sie hier brauchen, ist ein Trunk auf Ihrer Schnittstelle, auf dem Ihr Administrator und Ihr Daten-VLAN konfiguriert sind. Beachten Sie, dass der auf dem anderen Gerät konfigurierte Port einen markierten Frame auf dem spezifischen ID-Fahrzeug des Trunks akzeptieren muss

Kuruwan
quelle
0

user173470,

Zu diesem Zweck wird empfohlen, das native VLAN oder die PortVlan-ID an diesem bestimmten Port dem VLAN für die NanoStation zuzuweisen. Als TAG alle Ihre anderen VLANs, wenn Sie möchten, dass sie an diesen Port weitergeleitet werden. Nicht alle Geräte können markierte Frames übergeben. Außerdem müssen Sie diesen Ports nicht alle Mitglieder zuweisen. Weisen Sie die vlan-Mitglieder nur Ports zu, an die der Datenverkehr weitergeleitet werden soll. (Spart Bandbreite).

Ihre anderen Ports können dort das entsprechende PVID / Physical Vlan sehen und markiert werden. Wenn Sie nur ein VLAN übergeben müssen, setzen Sie es für ein Gerät, das nur dieses VLAN benötigt, als nicht markiert.

Hält Ihre Konfiguration einfach.

Hoffe das hilft .. Prost ..

David Thomson
quelle
0

Ich denke, der häufigste Punkt der Verwirrung (in dieser Situation und für Benutzer, die etwas neu in VLANs sind) ist, dass Access Points die Verwaltungsschnittstelle auf dem AP selbst standardmäßig nicht mit einer VLAN-ID kennzeichnen, sodass Sie die Möglichkeit dazu verlieren können Konfigurieren Sie den AP über eine Webschnittstelle, wenn der verwaltete Switch-Port, mit dem der AP verbunden ist, in mit einigen VLANs (Trunk) gekennzeichnet geändert wird.

Die Lösung besteht darin, zuerst die VLAN-IDs auf dem AP einzurichten und sie dann zu testen, indem Sie den verwalteten Switch-Port vorübergehend in einen Trunk-Port mit den gekennzeichneten VLANs ändern, um zu testen, ob die VLANs tatsächlich funktionieren und im Router korrekt eingerichtet sind.

Wenn die VLANs in Ordnung zu sein scheinen (stellen Sie jeweils eine Verbindung zu den SSIDs her), ändern Sie den Trunk-Port vorübergehend wieder in "Nicht markiert" (regulärer Port) und suchen Sie die Einstellung in der Access Point-Weboberfläche, die die Verwaltungsschnittstelle auf dem AP verbindet selbst zu jedem VLAN, das Sie wollen. Wenn Sie sicher sind, dass das VLAN tatsächlich einwandfrei funktioniert (Sie sollten es gerade getestet haben), können Sie die AP-Verwaltungsschnittstelle auf dieses VLAN einstellen. Ändern Sie schließlich den Switch-Port wieder in einen Trunk-Port und markieren Sie jedes gewünschte VLAN, eines für jede SSID und / oder das Management-VLAN, wenn dies nicht über WLAN erfolgt. Jetzt sollten VLANs gleichzeitig funktionieren und auf die AP-Weboberfläche zugreifen können.

Mike
quelle