специфика микротика просто

микрот же. в нем все через прибалтийскую логику.

А что изменилось? Я не заметил изменений в настройках vlan с 6 ROS.

@@user-zz7wz6zt3p ничего не изменилось. Это я так выразился, что для меня каждый раз как по новому)

Интересно при чем тут l3, если мы говорим про дополнительную метку в заголовке l2 кадра? Относительно железа - да все верно - crs3xx

Наверное имелось в виду, что ядро сети на L3 коммутаторе с маршрутизацией и масками доступа (это конечно не фаервол, задолбаешься правила писать, но разграничить подсети / сервисы можно). Работает очень быстро.

@@SWS-LINK есть сейчас модная тема, где всей сетью управляет специальный контроллер там можно один раз создать профиль фильтрации и он применяется на свитчи л3 уровня а есть профиль для роутера а есть профили для портов еще очень удобная штука и вебморда красивая

Поставим в очередь)

да, про ипв6 очень непонятно с ним, как его правильно использовать можно ли использовать часть для статических ип, если провайдер выдает /64 префикс или не выдает? у меня в настройках роутера можно выбрать пункт, где я сам могу выбрать префикс для лан части только уже 62 там стоит по умолчанию короче читал я и даже ролики смотрел, но никто не показывает реальных примеров использования и для каких случаев я например хочу, чтобы даже имея динамический ип - у меня в локалке был постоянный адрес + динднс обновлялся и мой сервер был бы доступен можно же такое сделать?

@@kalobyte Вот вот и я так же хочу получать доступ например к своему домашнему Asterisk через IPv6

@@flintofer у меня кабельный инторнет и в4 есть только за провайдерским натом так что у меня даже впн толком не сделать но зато есть динамические в6 и телефон не всегда срабатывает звонок входящий есть, а возмеш трубку и тишина надо ждать 2 гудка и потом еще пару сек и тогда только норм будет

Когда-нибудь сделаем - но по факту там ничего кроме как настроить apn и юстировать и нет

Mndp несколько иной протокол и используют другую мультикастную группу и имеет свойство распространяться далее одного подключения. Он в целом на mikrotik для поиска устройств mikrotik в канале.

Влияет на поведение Vlan - если включен, то будут работать только прописанные Vlan, если выключен то все кадры с тегами будут проходить.

@@MikrotikTraining 🙏Спасибо.

Спасибо за отзыв)

Лучше настроить netflow analyzer. Роутер - он и ребутнутся может, а тогда вся статистика с kid control потеряется....

Возможно, но прийдется разобраться с stp и igmp.

Смотрите видео про dot1x, но без bridge вам не обойтись.

1. Не до конца понял вопрос. 2. Hardware offload + l3hw требует наличия bridge и bridge Vlan filtering 3. С учетом того что в hap lite 2.4Ghz и с учетом omni антенн в текстолите - все равно - как нравится) В целом приходите к нам в теграм чат @miktrain

@@MikrotikTraining по поводу первого первого вопроса, я сам уже понял (там два варианта, если не так, то эдак 🙂. Методом тыка, что-нибудь да получиться). Спасибо!

Pvid - like in Linux iproute2

Посмотрите вебинар. Почитайте документацию.

Добрый день. А вы разобрались в итоге с вопросами в части выбора между bridge vlan filtering и switch chip? Может быть вы могли бы поделиться ссылкой на какой-то источник с подобным разъяснением? Сейчас не совсем понимаю как раз, какой подход использовать в моей ситуации. Есть hap ac3, нужно vlan сделать (провод и wifi). Вот думаю, какой вариант лучше подойдёт для этой модели роутера...

Конечно - мы переходим на уровень l3 - на уровень маршрутизации. По факту - если адрес сети в заголовке пакета назначения не совпадает с адресом сети пакета источника, то отправляем на Mac адрес шлюза, далее шлюз должен разобраться куда отправить данный пакет согласно своей таблице маршрутизаци.

Зависит от оборудования и нагрузки - если нет аппаратной поддержки Vlan filtering, то так можно сэкономить cpu роутера, но главное разобраться кто в сети root bridge.

Такое не будем делать. Во первых не понятно зачем на smb, второе есть куча вариантов более удобных - например mail.

Эмм. VLAN - это история про L2. L2 - это про широковещательные дела. Маршрутизация - про L3. Вам что нужно то? И зачем в мелкой сети маршрутизировать? Ну и да. Если у вас мелкая сеть, разделенная на VLAN'ы, маршрутизация (между виланами) все равно будет))) Через "главный" роутер. (В примере Романа это 88.1) И это правильно. Ну и наконец - пропуск пакетов на уровне свитча (с аппаратным свитч-чипом) обычно быстрее (см. перфоманс тесты на сайте микротика про железки) даже при наличии VLAN'ов, уж коли они аппаратно разгружаются свитч-чипом не перенося нагрузку на центральный процессор.

@@MrKotische Понятно что это разные вещи. Но скажем у нас главный роутер. А на выходе только не управляемые свичи или на прямую клиенты. Клиентов штук 30-50 на всю сеть. Надо отделить в отдельную подсеть ряд устройств, они все на одном отдельном выходе. По сути это коннектед сети. Их даже прописывать не нужно, роутер о них и так должен узнать.

@@baklan2004 так и есть. В таком случае полезность виланов неочевидна. Действительно коннектед сети, никому там ничего объяснять не надо, за тупыми свитчами все словят свой сегмент и все будет ок. Но есть момент. Я, к примеру, не люблю такие сценарии. 50 рыл в сети - это не то чтобы совсем мало. 50 пользователей, это вполне может быть там, что 50 компов, к ним 50 VoIP (IP телефонов, ну +/-), они могут еще и со своими мобильниками быть, плюс принтеры, плюс камеры наблюдения, плюс серверы. Это может быть уже 200+ клиентов сети. И я, к примеру, не любитель, делить такие сети на 2 части. По ряду причин. 1) Для Wi-Fi такие броадкасты не сильно полезны. Особенно, если сетка не шибко быстрая с клиентами соответствующими, взгрустнется им. 2) Когда в таких сетках (заведомо уже с кучей свитчей), да еще и разбросанных по комнатам случается какой-нибудь факап (креслом кабель переехали, мыши погрызли (да, да, такое тоже бывает), "умный" сотрудник воткнул валяющийся на полу без дела конец витой пары обратно в розетку и нарисовал петлю в сети - начинается небольшой адок с поиском где приключилась печалька. В одной знакомой сетке не сильно большего размера (100 с небольшим сотрудников) проблему пытались локализовать больше недели. Все это время сетка то работала, то не работала, короче нормально работать контора не могла. 3) Мониторинг. Я не люблю ставить на мониторинг тотально сетку. Пользователь комп включил. Выключил. То "красный" объект (проблемный), то зеленый (ок). Я предпочитаю ставить на мониторинг все "неклиентское". Чтобы реагировать на возникающий трабл оперативнее. Красный - надо подрываться и бежать что-то фиксить. Спокойствие достигается виланами и заменой свитчей на умные. IMHO

смысл есть - практический пример - подсеть dmz с веб серверами и публичными сервисами можно "размазать" по разным серверным без проблем. Можно легко "воткнуть" свой рабочий комп в эту подсеть.

На crs1xx/2xx правильная настройка через switch chip - к сожалению это устаревшие устройства и на них все иначе - почитайте документацию, как правильно их настраивать.

Решил

В современной версии ros все тяготеет к Vlan filtering и аппаратная поддержка так же ориентирована на него. Что касается qnq, то отвесному корпоративному клиенту она не требуется и так же работает через Vlan filtering с указанием другого идентификатора. Относительно Soho и вкладки switch Vlan - считайте что ее нет)

@@MikrotikTraining Если я правильно понял, идея всех роутеров в том, что от SOC идет 3 порта Eth1 Eth2 Eth3 два первых идут транками в свитч чип, третий идет на WAN порт отдельно. Выходит что внутри роутера уже бегает Q in Q поскольку все VLAN что мы сделаем в ROS будут бегать внутри VLAN роутера. А вкладка switch позволяла нам выделить порт из Q in Q. Как то так ? Выходит что если мы сделаем Q in Q он будет внутри другого Q in Q и получится QinQinQ :) Осознавание вот этого вызывает вопросы.

Проще, но не правильно относительно архитектуры Linux bridge и тем более никак не согласуется с hw offload.

Для ограничения используйте switch rulers.

winbox наверняка использует

@@aparanin через вайн:)

В первом случае влан создается на L2, потом на L3 уровне. Но это секретная информация))

@@johnd.3293 а в чем разница? VLAN же он вроде как изначально на L2

@@dsss_ на L3 создаём влан, чтобы потом на него ip-адрес повесить (например)

Все верно - нужны современные устройства

11:00

Этот ролик начинается с 11 минуты только для тех кто теорию знает. Для остальных он начинается сразу. Респект автору!

Есть wine)

@@MikrotikTraining так и знал что такой ответ. Планы то есть на MacBox ?

@@andreyparfenov на вики микротика 3 способа как это сделать. Судя по статье - нет у них таких планов. Кстати, на их по-моему (Mikrotik) канале есть видео, как Winbox запилить на маке. Кстати, под Wine не только Winbox можно. У меня и Netinstall и Dude работают. Но, объективности ради, Netinstall работает почему-то безумно (!!!) долго. Точнее заливается эта крошечная прошивка в роутер часами с вайфая. Хотя казалось бы... Сколько там того объема. Не понял почему. Сама вафля достаточно шустрая в обычной жизни.

Примерно так же. Tag + untag и pvid. На деле в mikrotik калька на iproute2 и настройки Vlan filtering из linux.

Soho)

Еще и д-линки годами работают

Почитайте про режим lte passthroughs

@@MikrotikTraining а если не lhg, а wap r и нужо чтобы роутер управлял wlan1 интерфейсом через capsman? нужно ли делать отдельный vlan для capsman или он сам разберется? если я создаю только vlan для passthrough капсман поднимает wifi сеть, но клиенты не получают адреса.

Я не самый сильный спец но очень нравятся микроты за 10 лет установок разным знакомым и друзьям ни один ещё не жаловался себе ставил из за надёжности и приличного удоления от сотовых вышек но капитально настроить не получается в виду отсутствия глубоких познаний

Пластиковый цветок - ну вы что) декор же )

@@MikrotikTraining надо же а выглядит как настояща трава, которую веганы выращивают в горшках

Как все остальное, но как-то у всех появляются Cisco, juniper, fortinet и mikrotik.

@@MikrotikTraining судя по сообщениям в СМИ из Великобритании некая никому не известная компания директор которой судя по найденной инфе гражданка Украины работающая с низкой "моральной оценкой" переправила в Россию ИТ оборудования на 2 ярда баксов за 2022год.

Что есть. Сети вообще про сложные вещи.

Нет. Зачем так сложно - просто считаю еду)

@@MikrotikTraining Pomolodel ...

Vlan это vlan, bridge это bridge) В Linux все идентично - посмотрите iproute2. Далее - изначально появились bridge, задача которых делить домены коллизий и объединить интерфейсы. Далее появились коммутаторы - те же bridge, но реализованные аппаратно и уже после появились vlan - задача которых делить области широковещательной рассылки. Vlan в Linux имеете реализацию через bridge и отдельно через интерфейсы - в MikroTik не отличается реализация от Linux.

По сути кадры у нас либо измеренные (с добавлением 4 байт) или исходные - остальное по факту измышления на тему как с этим работать от различных производителей.