OpenWrt que configura VLAN etiquetada y sin etiquetar en el mismo puerto

9

He instalado OpenWrt en un MikroTik Routerboard RB750UP (CPU AR7240 con interruptor incorporado AR9330). He incluido detalles adicionales a continuación, pero mi pregunta es:

¿Cómo configuro un vlan sin etiquetar y etiquetado en el mismo puerto?

He configurado correctamente vlans no etiquetados y vlans etiquetados de forma independiente, pero no para el mismo puerto. La razón por la que quiero hacer esto es porque tengo un Ubiquiti NanoStation loco M2 conectado a un puerto que proporciona una LAN inalámbrica (que requiere marcos sin etiquetar), pero también quiero configurar un vlan etiquetado para administrar el loco (es decir, acceder a su administración ip a través de la furgoneta etiquetada).

Aquí hay algunos detalles adicionales:

Hardware

  • MikroTik RouterBoard RB750UP
  • Ubiquiti NanoStation loco M2

swconfig salida:

swconfig dev eth0 help
switch0: eth0(AR7240/AR9330 built-in switch), ports: 5 (cpu @ 0), vlans: 16
<snip>

Aquí hay un enlace a un diagrama de (lo que creo que es) el diseño del conmutador AR7240 / AR9330 del RB750 .

Sistema operativo

OpenWrt BARRIER BREAKER (Bleeding Edge, r36085), construido con una configuración personalizada

# uname -a
Linux OpenWrt 3.8.3 #3 Wed Mar 27 04:09:04 PDT 2013 mips GNU/Linux

Diagrama de Red

Aquí hay un enlace a un diagrama de mi configuración de red .

Como muestra la imagen, la locomotora NanoStation está conectada al puerto 3 y tiene una IP de administración de 192.168.20.10/24 configurada en una vlan con vid = 3. También actúa como un puente / punto de acceso inalámbrico para la red 192.168.100.0/24.

En consecuencia, el puerto 3 en el enrutador tiene un vlan sin etiquetar configurado para la red 192.168.100.0/24 y un vlan etiquetado para la red de administración 192.168.20.0/24 (con vid = 3).

configuración de la red

Esto es lo que estoy tratando de lograr con la siguiente configuración:

  • Etiquetado VLAN 3 (vid = 3) en el puerto 3 (interfaz virtual eth0.3)
  • VLAN 4 sin etiquetar en el puerto 3 (interfaz virtual eth0.4)
  • Vlan predeterminado pvid = 4 en el puerto 3 (para manejar tramas entrantes sin etiquetar)

Y el contenido real de /etc/config/network:

<snip>

config interface 'loco'
        option proto 'static'
        option ifname 'eth0.3'
        option ipaddr '192.168.20.1'
        option netmask '255.255.255.0'

config interface 'locolan'
       option proto 'static'
       option ifname 'eth0.4'
       option ipaddr '192.168.100.1'
       option netmask '255.255.255.0'

<snip>

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option vid '1'
        option ports '0t 2 4'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option vid '2'
        option ports '0t 1'

config switch_vlan
        option device 'switch0'
        option vlan '3'
        option vid '3'
        option ports '0t 3t'

config switch_vlan
       option device 'switch0'
       option vlan '4'
       option vid '4'
       option ports '0t 3'

config switch_port
    option port '3'
    option pvid '4'

Después de reiniciar el enrutador, swconfigmuestra la siguiente configuración de conmutador. Tenga en cuenta la falta de '3t' de la VLAN 3.

# swconfig dev switch0 show
Global attributes:
    enable_vlan: 1
Port 0:
    pvid: 0
    link: port:0 link:up speed:1000baseT full-duplex txflow rxflow 
Port 1:
    pvid: 2
    link: port:1 link:up speed:100baseT full-duplex auto
Port 2:
    pvid: 1
    link: port:2 link:down
Port 3:
    pvid: 4
    link: port:3 link:up speed:100baseT full-duplex auto
Port 4:
    pvid: 1
    link: port:4 link:up speed:100baseT full-duplex auto
VLAN 0:
    vid: 0
    ports: 0t 
VLAN 1:
    vid: 1
    ports: 0t 2 4 
VLAN 2:
    vid: 2
    ports: 0t 1 
VLAN 3:
    vid: 3
    ports: 0t    <----- no tagged port 3!
VLAN 4:
    vid: 4
    ports: 0t 3

Como resultado, no puedo hacer ping a la dirección IP de administración de la locomotora.

También intenté configurar manualmente la asignación de vlan / puerto y las etiquetas usando swconfig, pero en cada permutación, deja el puerto 3 fuera de uno de los vlans, o obliga al puerto 3 a ser etiquetado en ambos vlans.

Preguntas

  1. ¿Cómo configuro un vlan sin etiquetar y etiquetado en el mismo puerto? Estoy tratando específicamente de configurar esto para OpenWrt, pero incluso entender cómo hacerlo para Linux en general sería útil.
  2. ¿Hay algún error / problema conocido con swconfig o el controlador del conmutador OpenWrt AR7240 / AR9330 que podría estar causando esto? (Ninguno apareció en mis búsquedas).
usuario173470
fuente
Estoy confundido con sus objetivos: (2) VLAN 4 sin etiquetar en el puerto 3 (interfaz virtual eth0.4) y (3) Valor predeterminado vlan pvid = 4 en el puerto 3 (para manejar tramas entrantes sin etiquetar). Si tiene VLAN 4 sin etiquetar en el puerto 3, ya manejará tramas entrantes sin etiquetar, ¿no? ¿Por qué necesita vlan pvid = 4 predeterminado adicional en el puerto 3 entonces?
Andrey Sapegin

Respuestas:

1

En términos generales, incluso los puertos sin etiquetar deben tener asignada una identificación de VLAN NATIVA Y solo si es diferente de la identificación predeterminada de 1. Esto es para ayudar al conmutador a comprender cómo reenviar paquetes. Si no proporciona un vlan y está puenteado, se considera una interfaz enrutada. En general, no debe especificar subinterfaces (es decir, etiquetas) en las interfaces a menos que espere que esté vinculado en ese sistema con una IP en esa interfaz.

  1. Configure las interfaces enrutadas vlan (no las físicas / puenteadas)
  2. Especifique el protocolo de etiquetado utilizado en las interfaces puenteadas físicas (es decir, dot1q)
  3. Elija Y especifique la identificación de VLAN nativa en todas las interfaces (si NO es vlan 1)

Otro punto. En términos generales, el etiquetado solo ocurre cuando un paquete L2 se mueve de una vlan al motor del interruptor central y solo si necesita ser transportado sobre otra troncal. Cuando un paquete sale del motor de conmutación, se le quita la etiqueta y se reenvía a través de tramas Ethernet estándar.

Keith Andrew Hill
fuente
"Si no proporciona un vlan y está puenteado", algo está mal con esa declaración. Creo que quieres decir que si no está puenteado, entonces se enruta.
Matt
Bridging no implica etiquetado (vlan) y puede enrutarse (o no). L2 y L3 no son lo mismo. Uno está relacionado con la conmutación de paquetes físicos (L2) y el otro es el enrutamiento de protocolo (L3). El problema es que el término "puente" se usa con bastante soltura. El puente técnico describe una conexión física (L1) y ocurre antes de cualquier encuadre. Esto puede considerarse como la conexión entre dos interfaces. Las VLAN (también conocido como etiquetado dot1q en este caso) es un estado L2 especial en el que todos los paquetes L2 están marcados con un ID que debe ser manejado como una red L2 lógica separada por ambos puntos finales.
Keith Andrew Hill
0

No creo que sea posible tener un puerto con el etiquetado habilitado Y sin ...

O está en modo de acceso con una identificación configurada (sin etiquetado),

O bien configura múltiples ID en el puerto en modo de acceso.

O estás etiquetando en ese puerto, con una sola identificación

O estás etiquetando múltiples ID para aislar el tráfico, se llama troncal

Creo que lo que necesita aquí es una troncal en su interfaz con su administrador y datos vlan configurados. Tenga en cuenta que el puerto configurado en el otro equipo debe aceptar el marco etiquetado en el vehículo de identificación específico por el tronco

Kuruwan
fuente
0

usuario173470,

Para esto ... La mejor práctica es asignar la VLAN nativa o la ID de PortVlan en ese puerto específico a la VLAN para la NanoStation. Que etiquetar todas sus otras VLAN si desea que pasen en ese puerto. No todos los dispositivos pueden pasar marcos etiquetados. Además, no tiene que asignar todos los miembros a esos puertos. Asigne solo los miembros de vlan a los puertos en los que desea que se pase el tráfico. (Ahorra ancho de banda).

Sus otros puertos se pueden ver allí PVID / Vlan físico apropiado y se etiquetan. Si solo necesita pasar un vlan, configúrelo como sin etiquetar para un dispositivo que solo necesita ese vlan.

Mantiene su configuración simple.

Espero que esto ayude ... Saludos ...

David Thomson
fuente
0

Creo que el punto común de confusión (en esta situación, y para los usuarios que son algo nuevos en las VLAN) es que los puntos de acceso por defecto no etiquetan la interfaz de administración en el AP a ninguna identificación de VLAN, por lo que puede perder la capacidad de configure el AP desde una interfaz web si el puerto del conmutador administrado al que está conectado el AP se cambia a etiquetado con algunas VLAN (troncal).

La solución es configurar primero las ID de VLAN en el AP, luego probarlas cambiando temporalmente el puerto del switch administrado a un puerto troncal con las VLAN etiquetadas, para probar si las VLAN realmente funcionan y están configuradas correctamente en el enrutador.

Si las VLAN parecen estar funcionando bien (conéctese a los SSID uno a la vez), cambie temporalmente el puerto troncal nuevamente a sin etiquetar (puerto normal) y encuentre la configuración en la interfaz web del punto de acceso que vincula la interfaz de administración en el AP a cualquier VLAN que desee. Si está seguro de que la VLAN realmente funciona bien (debería haberlo probado), puede configurar la interfaz de administración AP para esta VLAN. Finalmente, cambie el puerto del conmutador nuevamente a un puerto troncal, etiquetando cada VLAN que desee, una para cada SSID y / o la VLAN de administración si no está en Wifi. Ahora, debe tener las VLAN funcionando y acceder a la interfaz web AP al mismo tiempo.

Miguel
fuente