MANUAL: Mikrotik, bridge VLAN filtering

Primero que nada muchas gracias, entendí los fallos qe tenía. Pero persiste el problema con tu configuración 90-120 de bajada en adsl4ever, configuración de fabrica, en modo bridge 950 de bajada. La verdad es que no encuentro por donde pueden venir los tiros
 
Primero que nada muchas gracias, entendí los fallos qe tenía. Pero persiste el problema con tu configuración 90-120 de bajada en adsl4ever, configuración de fabrica, en modo bridge 950 de bajada. La verdad es que no encuentro por donde pueden venir los tiros
Me pasas esa configuración a la que te refieres como “de fábrica”?

Saludos!
 
Vale, tiene sentido, en ese export el equipo está trabajando como un switch puro, que es como de verdad mueve paquetes a manta. De todas formas, no me doy por vencido, vamos a chequear un par de cosas más. Según la wiki, la manera correcta de hacer vlans en los equipos CRS3xx es la que te he mandado, usando bridge vlan filtering. Esto, en cualquier otro equipo, deshabilitaría el hardware offloading, pero no en esos switches, que precisamente son compatibles con ese modo de trabajo y poder mover tráfico a “velocidad cable” que lo llaman ellos (wire speed”).

Sospecho que, cuando el equipo está en modo switch (recién reseteado), si te vas a la pestaña de ports, dentro del menú bridge, te aparecen todos los puertos con una “H” delante, ¿verdad? Esa “H” es lo que buscamos, que el tráfico pase con offloading, es decir, que se quede a nivel switch y no suba a la cpu. Mira por favor si cargando mi configuración ccr-router.rsc eso se mantiene, y los pocos puertos de ejemplo que conforman el bridge están con hardware offloading o no. Me despista que en la wiki lo metan a mano con el comando “hw=yes” a la hora de añadir los puertos al bridge, puesto que es la propia configuración por defecto. Pero quizá en estos equipos no sea así, y de ahí el error.

También, si puedes mándame un export de mi configuración ccr-router.rsc, una vez tú la modificas (o directamente no tocarla y decirme si con esa configuración exacta te da el problema de velocidad que mencionabas), la miramos y vemos que no se nos haya colado algún gazapo.

Saludos!
 
Sí, correcto recien reseteado, en port todas en H, con tu configuración sin modifcar nada, no.

Sí, pegue la configuración tal cual, sólo corrigiendo un error que había de sintaxis.
 

Adjuntos

  • ccr-router_export.txt
    6.3 KB · Visitas: 36
Sí, correcto recien reseteado, en port todas en H, con tu configuración sin modifcar nada, no.

Sí, pegue la configuración tal cual, sólo corrigiendo un error que había de sintaxis.
Vale; pues listo, es eso, no busques más. Edita mi configuración y ponle un “hw=yes” cuando metes los puertos en el Bridge.
Si quieres hacerlo ahora con la config ya cargada, deshabilita el filtro de vlans del Bridge, ve a la pestaña ports y edita los puertos, añadiendo ese “tick” y vuelve a activar el Bridge vlan filtering.

Saludos!
 
Acabo de ver otro error en mi configuración de ayer. Tenía la regla de fasttrack del firewall deshabilitada, puesto que la copié de mi equipo, donde uso colas; incompatibles con fasstrack. Esa regla es muy importante, va a agilizar el tráfico una barbaridad. También he quitado un par de reglas de ipsec que tú no vas a necesitar.

Te vuelvo a pasar ambos exports, si detectas algún typo, por favor dime dónde, que lo corrijo. A ver si con esta configuración va volando ese CCR. Simplemente sube el fichero .rsc al equipo y corre desde consola un import ccr-router.rsc, con el equipo recién reseteado, sin configuración.

Saludos!
 

Adjuntos

  • CCRs.zip
    3.6 KB · Visitas: 40
Por eso no respondía antes, estaba peleando con él, Pero con está última versión parece que si respondé como debe. Sigo haciendo pruebas, muchas gracias!!!
 
Por eso no respondía antes, estaba peleando con él, Pero con está última versión parece que si respondé como debe. Sigo haciendo pruebas, muchas gracias!!!
Funcionó? Tira como tiene que tirar? Ya me has dejado con la intriga :LOL:

Saludos!
 
Buenas pocoyo;

Lo siento, niños, parques y demás... Me dedique a él por la mañana y a la tarde ....

Como te decía algo mejor 400 algún pico de 600, pero mejo que los 200 que había antes. Si consigo alguna mejoría te lo hago saber.

Gracias!
 
Y te salen los puertos con la “H” delante en el bridge? Mucho más no le vas a sacar, a menos que metas un router delante y dejes ese solo como switch.

Saludos!
 
Pues eso es mal negocio entonces, porque está pasando el tráfico por donde no debe, y no estamos aprovechando el hardware del cacharro.

Ya investigaré algo más mañana, pero se supone que toda la serie CCR-3xx, según la wiki, soporta hardware offloading, incluso aplicando bridge vlan filtering. Miraré si es igual con los modelos más antiguos y te digo algo.

Saludos!
 
Estoy investigando a ver por dónde pueden venir los tiros, si encuentro te digo.

Gracias de nuevo
 
Hola a todos y especial agradecimiento a pokoyo por este excelente post y su extensa contribución al mundo de Mikrotik según he visto en el foro así como al resto de usuarios del foro que contribuyen a solucionar problemas y aportar conocimiento desinteresadamente.

Tengo una duda relacionada con este tipo de implementaciones, en concreto con la utilización de RSTP (o MSTP) para evitar problemas de bucles en configuraciones donde haya más de un switch trabajando con VLANs interconectados con un uplink trunk.

Por ejemplo, tengo un switch digamos "core" CRS328 al cual le tengo conectados puntos de acceso con varios SSID con su VLAN correspondiente, aparte de puertos access para interfaces cableados, normalmente son dos VLANs (red local confiable y red de invitados). Este switch está configurado como router ya que uno de los interfaces es el WAN que conecta a un router estándar de operadora de fibra. Este switch "core" tiene un puerto trunk que conecta con un CRS326 (digamos switch "edge") al cual le paso por ahí las dos VLANs, aunque en los puertos físicos del "edge" solo doy acceso a la VLAN de la red confiable como puertos access, pero en previsión de poder conectar algún puesto por la VLAN de invitados le paso las dos por si acaso.

La instalación no tiene redundancia de uplinks entre los switches o con el router de salida a Internet.

Todo esto funcionando correctamente, ya que el switch "core" me pasa las VLANs sin problemas al switch "edge" según compruebo en TORCH y en HOSTS en el apartado de BRIDGE me aparecen todas las MAC replicadas del switch core y me funcionan los servicios como el DHCP etc. Pero tengo la duda, leyendo la información de la Wiki de MK, acerca de si sería conveniente usar MSTP para la resolución de problemas de bucles en bridges con tráfico VLAN. Para redes pequeñas es difícil que hayan bucles, pero para redes complejas es más fácil.

Actualmente activo RSTP en los dos switches, el "core" con prioridad 8000 (por defecto) y el "edge" con prioridad 9000.

Creo que la topología está suficientemente explicada y no requiere export de la configuración, pero si fuera necesario la envío.

Dudas:

1) ¿Debería utilizar MSTP habida cuenta del tráfico VLAN entre switches?

2) ¿O quizás debería deshabilitar el protocolo STP al no haber redundancia de enlaces entre switches y entre éstos y el router de Internet?

3) Normalmente activo en bridge-settings las opciones "use IP firewall" y "use IP firewall for VLAN", para realizar todas las gestiones de cortafuegos con el firewall IP. ¿Es correcto?

4) Para conectar equipos conectados a la red que trabajan con tráfico multicast como el deco de TV de Movistar, teléfonos IP, etc... ¿Sería conveniente activar el IGMP snooping en el bridge?

Gracias de antemano y un saludo.
 
1) ¿Debería utilizar MSTP habida cuenta del tráfico VLAN entre switches?
No es estrictamente necesario en una red pequeña, especialmente si no tienes equipos redundantes con enlaces cruzados entre ellos (mira esta presentación). Si te quedas más tranquilo, úsalo, pero según lo describes, no creo que se necesario su uso.

2) ¿O quizás debería deshabilitar el protocolo STP al no haber redundancia de enlaces entre switches y entre éstos y el router de Internet?
Más bien iría hacia esta opción. No obstante, no está de más tener el R-STP enchufado, por si a algún gracioso le da por pincharte un switch con dos cables al tuyo. Juraría además que es la configuración por defecto de los bridges en mirktoik, con RSTP activado por defecto.

3) Normalmente activo en bridge-settings las opciones "use IP firewall" y "use IP firewall for VLAN", para realizar todas las gestiones de cortafuegos con el firewall IP. ¿Es correcto?
Esas opciones no son necesarias. estás haciendo que el tráfico de capa2 pase por los mismos canales (subiendo a la CPU) que el tráfico del L3. Cuando en L2 lo único que necesitas para que dos equipos se comuniquen entre sí es una tabla ARP. Yo no marcaría esas opciones a menos que las requieras como "impepinable" en tu red.

4) Para conectar equipos conectados a la red que trabajan con tráfico multicast como el deco de TV de Movistar, teléfonos IP, etc... ¿Sería conveniente activar el IGMP snooping en el bridge?
Correcto. Si tu red LAN va a trabjar con tráfico multicast y no quieres una unundación de paquetes, activa el IGMP snooping. Pero, de nuevo, esto sólo es necesario si a tu red LAN llega el tráfico multicast. Si está un nivel arriba (en el router de movistar) y no lo pasa a la LAN (equipo conectado a él vía otra interfaz WAN fuera del bridge), tampoco lo necesitas.

Saludos!
 
Esas opciones no son necesarias. estás haciendo que el tráfico de capa2 pase por los mismos canales (subiendo a la CPU) que el tráfico del L3. Cuando en L2 lo único que necesitas para que dos equipos se comuniquen entre sí es una tabla ARP. Yo no marcaría esas opciones a menos que las requieras como "impepinable" en tu red.
Pero, ¿y si quiero bloquear el tráfico de una VLAN a otra, por ejemplo? Para ello necesitaré tener activa esta opción para bloquear ese tráfico en el firewall IP, a no ser que lo haga en los filters del bridge. En todo caso entiendo que lo que no me recomiendas es tener activa la opción de "use IP firewall" dejando la de "Use IP firewall for VLAN", ¿es correcto mi planteamiento?


Correcto. Si tu red LAN va a trabjar con tráfico multicast y no quieres una unundación de paquetes, activa el IGMP snooping. Pero, de nuevo, esto sólo es necesario si a tu red LAN llega el tráfico multicast. Si está un nivel arriba (en el router de movistar) y no lo pasa a la LAN (equipo conectado a él vía otra interfaz WAN fuera del bridge), tampoco lo necesitas.
Sí, el tráfico multicast estaría en la LAN, aparte del desco de Movistar están conectadas IPTVs.

Me temo que el no tener activado IGMP podría ser el problema de que en varios puertos a los que están conectadas dichas IPTVs me estén dando continuos port flappings, ya que el cableado es correcto y es conexión directa de interfaz switch a TV. No le encuentro otra explicación.

Muchas gracias y saludos.
 
Arriba