OpenWrt Configurando VLAN com e sem tag na mesma porta

9

Instalei o OpenWrt em um MikroTik Routerboard RB750UP (CPU AR7240 com AR9330 switch integrado). Incluí detalhes adicionais abaixo, mas minha pergunta é:

Como configurar uma vlan sem etiqueta e com tag na mesma porta?

Eu configurei com êxito vlans sem etiqueta e etiquetei vlans de forma independente, mas não para a mesma porta. A razão pela qual eu quero fazer isso é porque eu tenho um Ubiquiti NanoStation loco M2 conectado a uma porta que fornece uma LAN sem fio (o que requer quadros não marcados), mas também quero configurar uma vlan marcada para gerenciar o loco (ou seja, acessar seu gerenciamento ip via van com etiqueta).

Aqui estão alguns detalhes adicionais:

Hardware

  • MikroTik RouterBoard RB750UP
  • Ubiquiti NanoStation loco M2

swconfig resultado:

swconfig dev eth0 help
switch0: eth0(AR7240/AR9330 built-in switch), ports: 5 (cpu @ 0), vlans: 16
<snip>

Aqui está um link para um diagrama (o que eu acredito ser) do layout do switch AR7240 / AR9330 do RB750 .

Sistema operacional

DISJUNTOR DE BARREIRA OpenWrt (borda de sangramento, r36085), construído com uma configuração personalizada

# uname -a
Linux OpenWrt 3.8.3 #3 Wed Mar 27 04:09:04 PDT 2013 mips GNU/Linux

Diagrama de rede

Aqui está um link para um diagrama da minha configuração de rede .

Como mostra a imagem, o loco do NanoStation está conectado à porta 3 e possui um IP de gerenciamento 192.168.20.10/24 configurado em uma vlan com vid = 3. Ele também atua como uma ponte / ponto de acesso sem fio para a rede 192.168.100.0/24.

Consequentemente, a porta 3 no roteador possui uma vlan não marcada configurada para a rede 192.168.100.0/24 e uma vlan marcada para a rede de gerenciamento 192.168.20.0/24 (com vid = 3).

configuração de rede

Aqui está o que estou tentando alcançar com a configuração abaixo:

  • Etiquetada VLAN 3 (vid = 3) na porta 3 (interface virtual eth0.3)
  • VLAN 4 sem etiqueta na porta 3 (interface virtual eth0.4)
  • VLAN padrão pvid = 4 na porta 3 (para manipular os quadros sem marcação de entrada)

E o conteúdo real de /etc/config/network:

<snip>

config interface 'loco'
        option proto 'static'
        option ifname 'eth0.3'
        option ipaddr '192.168.20.1'
        option netmask '255.255.255.0'

config interface 'locolan'
       option proto 'static'
       option ifname 'eth0.4'
       option ipaddr '192.168.100.1'
       option netmask '255.255.255.0'

<snip>

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option vid '1'
        option ports '0t 2 4'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option vid '2'
        option ports '0t 1'

config switch_vlan
        option device 'switch0'
        option vlan '3'
        option vid '3'
        option ports '0t 3t'

config switch_vlan
       option device 'switch0'
       option vlan '4'
       option vid '4'
       option ports '0t 3'

config switch_port
    option port '3'
    option pvid '4'

Após reiniciar o roteador, swconfigmostra a seguinte configuração do switch. Observe o '3t' ausente da VLAN 3.

# swconfig dev switch0 show
Global attributes:
    enable_vlan: 1
Port 0:
    pvid: 0
    link: port:0 link:up speed:1000baseT full-duplex txflow rxflow 
Port 1:
    pvid: 2
    link: port:1 link:up speed:100baseT full-duplex auto
Port 2:
    pvid: 1
    link: port:2 link:down
Port 3:
    pvid: 4
    link: port:3 link:up speed:100baseT full-duplex auto
Port 4:
    pvid: 1
    link: port:4 link:up speed:100baseT full-duplex auto
VLAN 0:
    vid: 0
    ports: 0t 
VLAN 1:
    vid: 1
    ports: 0t 2 4 
VLAN 2:
    vid: 2
    ports: 0t 1 
VLAN 3:
    vid: 3
    ports: 0t    <----- no tagged port 3!
VLAN 4:
    vid: 4
    ports: 0t 3

Como resultado, não consigo executar ping no IP de gerenciamento da locomotiva.

Também tentei configurar manualmente a atribuição e as tags da vlan / porta usando swconfig, mas em cada permutação, ela deixa a porta 3 de uma das vlans ou força a porta 3 a ser marcada nas duas vlans.

Questões

  1. Como configurar uma vlan sem etiqueta e com tag na mesma porta? Estou especificamente tentando configurar isso para o OpenWrt, mas até mesmo entender como fazer isso no Linux em geral seria útil.
  2. Existem erros / problemas conhecidos com o swconfig ou o driver do comutador AR7240 / AR9330 OpenWrt que podem estar causando isso? (Nenhuma apareceu nas minhas pesquisas.)
configuration vlan openwrt user173470
fonte
Estou confuso com seus objetivos: (2) VLAN 4 sem etiqueta na porta 3 (interface virtual eth0.4) e (3) vlan padrão pvid = 4 na porta 3 (para lidar com quadros não marcados de entrada). Se você tiver VLAN 4 sem etiqueta na porta 3, ele já manipulará os quadros sem etiqueta de entrada, não é? Por que você precisa de padrão extra vlan pvid = 4 na porta 3 então?
Andrey Sapegin

Respostas:

1

De um modo geral, mesmo às portas não identificadas é necessário atribuir um ID NATIVE VLAN E somente se for diferente do ID padrão de 1. Isso ajuda o switch a entender como encaminhar pacotes. Se você não fornecer uma vlan e ela tiver uma ponte, ela será considerada uma interface roteada. Geralmente, você não deve especificar subinterfaces (ou seja, tags) nas interfaces, a menos que espere que ele seja vinculado ao sistema com um IP nessa interface.

  1. Configure as interfaces roteadas vlan (não as físicas / em ponte)
  2. Especifique o protocolo de identificação usado nas interfaces físicas em ponte (por exemplo, dot1q)
  3. Escolha E especifique o ID da VLAN nativa em todas as interfaces (se NÃO for vlan 1)

Outro ponto. De um modo geral, a marcação ocorre apenas quando um pacote L2 se move de uma vlan para o mecanismo do comutador principal e apenas se precisar ser transportado por outro tronco. Quando um pacote sai do mecanismo do comutador, ele é retirado da etiqueta e encaminhado através de quadros Ethernet padrão.

Keith Andrew Hill
fonte
"Se você não fornece uma vlan e ela está em ponte" - algo está errado com essa afirmação. Eu acho que você quer dizer que se não estiver em ponte, será encaminhado.
Matt
A ponte não implica marcação (vlan) e pode ser roteada (ou não). L2 e L3 não são os mesmos. Uma é a comutação de pacotes físicos (L2) relacionada e a outra é o roteamento de protocolo (L3). O problema é que o termo "ponte" é usado de maneira bastante vaga. A ponte tecnicamente descreve uma conexão física (L1) e ocorre antes de qualquer enquadramento. Isso pode ser pensado como a conexão entre duas interfaces. VLANs (também conhecida como marcação dot1q nesse caso) é um estado L2 especial no qual todos os pacotes L2 são marcados com um ID que deve ser tratado como uma rede L2 lógica separada pelos dois pontos de extremidade.
Keith Andrew Hill
0

Eu não acho que é possível ter uma porta com marcação habilitada AND sem ..

Você está no modo de acesso com um ID configurado (sem marcação),

Você pode configurar vários ID na porta no modo de acesso.

Você está marcando nessa porta, com um único ID

Ou você está marcando vários IDs para isolar o tráfego, isso é chamado de tronco

Eu acho que o que você precisa aqui é um tronco na sua interface com seu administrador e dados vlan configurados. Lembre-se de que a porta configurada no outro equipamento deve aceitar o quadro marcado no ID específico veiculado pelo tronco

Kuruwan
fonte
0

user173470,

Para isso .. A melhor prática é atribuir o VLAN nativo ou o ID da PortVlan nessa porta específica à VLAN para o NanoStation. TAG todas as suas outras VLANs, se você quiser que elas sejam passadas nessa porta. Nem todos os dispositivos podem passar quadros marcados. Além disso, você não precisa atribuir todos os membros a essas portas. Atribua apenas os membros da vlan às portas nas quais você deseja que o tráfego seja transmitido. (Economiza largura de banda).

Suas outras portas podem ver a PVID / VLAN física apropriada e ser etiquetadas. Se você precisar apenas passar uma vlan, defina-a como não marcada para um dispositivo que precise apenas dessa vlan.

Mantém a sua configuração simples.

Espero que isso ajude .. Saúde ..

David Thomson
fonte
0

Eu acho que o ponto comum de confusão (nessa situação, e para os usuários que são um pouco novos nas VLANs) é que os pontos de acesso, por padrão, não marcam a interface de gerenciamento no próprio AP para nenhum ID de VLAN, para que você possa perder a capacidade de configure o AP a partir de uma interface da Web se a porta do switch gerenciado à qual o AP está conectado for alterada para identificada com algumas VLANs (tronco).

A solução é configurar primeiro os IDs de VLAN no ponto de acesso e testá-los alterando temporariamente a porta do switch gerenciado para uma porta de tronco com as VLANs marcadas, para testar se as VLANs realmente funcionam e estão configuradas corretamente no roteador.

Se as VLANs parecem estar funcionando bem (conecte-se aos SSIDs um de cada vez), altere temporariamente a porta do tronco de volta para não identificada (porta regular) e encontre a configuração na interface da Web do ponto de acesso que liga a interface de gerenciamento no ponto de acesso para qualquer VLAN desejada. Se você tem certeza de que a VLAN realmente funciona bem (você deveria tê-la testado), você pode definir a interface de gerenciamento do AP para esta VLAN. Por fim, mude a porta do switch de volta para uma porta de tronco, identificando cada VLAN desejada, uma para cada SSID e / ou a VLAN de gerenciamento, caso não esteja em Wifi. Agora, você deve ter VLANs funcionando e acessar a interface da web do AP ao mesmo tempo.

Mike
fonte