presentacion y consulta de setup

Buenas para todos! soy de Argentina; bioinformatico de profesión y no me quedo otra que romperme los dientes con el tema red.
Hace un tiempo un amigo me recomendó que cambie el router berreta que tenia por un mikrotik. Fue un antes y un después en la estabilidad de la red. Compre un hex S y manos a la obra (me choque por todos lados, leyendo y con la ayuda de mi amigo llegue a configurar RouterOS para lo que necesitaba).

En mi trabajo llego una donación de dinero y me preguntaron si necesitaba mejorar algo de mi infraestructura "bioinformatica" (trabajo con grandes volúmenes de datos) por lo que dije si; almacenamiento y mejorar la red de datos. Es por ello que llego la era 10G y yo haciendo agua por todos lados para lograr armar mi setup de la mejor forma.

Mi idea con esto es generar una red estable y segura; principalmente para mi y mis servidores y aislar todo del resto de la gente que usa "internet". El problema es que no hay un encargado de la red (es muy probable que en un futuro se abra esa vacante) por lo que no me queda otra que arremangarse.

Estoy leyendo el foro y encontré muchísima información (de a poco la voy a ir implementando porque supera mis conocimientos, los cuales aumentan de a cuenta gotas al leerlos). Es por ello que al leer por ahi me estoy animando a colgar mi situación.

Tengo un router CCR2004-1G-12S+2XS y un switch CRS312-4c+8XG. Mi idea es tener toda mi red de datos con 10G por lo que tengo conectado el sfp+1 a un puerto del switch (crearía una vlan para segmentar todo lo que conecte los puertos ether10G) . Con ese switch tengo conectado 1 servidor grande con 2nic, 1 servidor mas pequeño con 1 placa 10G, y otro servidor web pequeño con 1G. Ademas tengo 2 NAS (uno en mi sala de computo y otro conectado en el otro edificio a 180m por un tendido de fibra optica). Los NAS se conectan por un cable DAC y por un modulo SFP+.

Listo, tengo mi red con 10G con posibilidad de crecer a futuro. Ahora me pregunto ¿y el resto?. Segmento con otro puerto del router; cambio el HEX S a switch y genero otra vlan para el resto de los mortales que trabajan conmigo? Dejo un 3er puerto del router para conectar un switch de capa2 no administrable? O Creo VLANS con las bocas libres del CRS312 y pongo switches de capa 2 no administrables para aumentar la VLAN? Si quiero tener una red wifi segmentada (actualmente tengo un AP comun conectado a un switch de capa 2 no administrable) ej: vlan100, vlan200, wifipublico debo poner 3 AP. Que me recomendarian Uds? Por donde empezarían?

Gracias de antemano por su tiempo y espero no haberlos mareado con mi situación.

Saludos para la comunidad! Por lo pronto seguiré leyendo el foro que es una mina de oro.

Pues la verdad es que, según he empezado a leerte, me ha dado hasta miedo. Pero, visto lo visto, lo tienes ya muy avanzado.

En el router crea las VLANs que necesitas, y las pasamos en modo trunk al swtich. El switch, al ser un CRS de la serie 3XX, manejaría las VLANs con el bridge vlan filtering, de una manera muy parecida a como está explicado en este sub, en el manual que lleva su nombre (te ahorrarías la parte de crear y direccionar las vlans, que eso ya lo hace el router, y simplemente trabajarías montando la tabla de vlans del switch en interface/bridge/vlan, mapeando qué va en modo acceso y qué en modo trunk.

O bien puedes tirar por la tangente, como estás pensando, y aislar totalmente esa red, incluso de manera física, del resto de equipos de tu red, y usar una segunda boca del router, donde crees el resto de VLANs y las lleves a un segundo switch donde montes todo lo relativo a "el resto de la red". No obstante, si el resto de la red "cabe" en el CRS, mételo ahí, porque van a volar; ese equipo es un cañón, al igual que el CCR2004.

Si quieres, lo mejor que puedes hacer para que nos hagamos a la idea de "cuánto" te queda por hacer, es dibujarlo. Obviando tu red, la que ya tienes montada (podemos revisarla si quieres para ver que no tengas ningún gazapo grave), ver qué te queda por meter y dónde nos conviene meterlo, en función de las bocas ethernet que necesites y cuanta más segmentación tengas que hacer.

Con el tema de los AP's, si las necesidades inalámbricas no son tan bestias como las cableadas, me quedaría en mikrotik y montaría algo usando CAPsMAN. O cogería algún AP de ubiquiti y le metería las distintas vlans/wifi's que vayas a necesitar.

PS: chapó por la elección de los equipos. Son caros, comparados con un hEX, pero sospecho que les vas a dar muy buen uso.

Saludos!

pokoyo dijo:

Pues la verdad es que, según he empezado a leerte, me ha dado hasta miedo. Pero, visto lo visto, lo tienes ya muy avanzado.

En el router crea las VLANs que necesitas, y las pasamos en modo trunk al swtich. El switch, al ser un CRS de la serie 3XX, manejaría las VLANs con el bridge vlan filtering, de una manera muy parecida a como está explicado en este sub, en el manual que lleva su nombre (te ahorrarías la parte de crear y direccionar las vlans, que eso ya lo hace el router, y simplemente trabajarías montando la tabla de vlans del switch en interface/bridge/vlan, mapeando qué va en modo acceso y qué en modo trunk.

O bien puedes tirar por la tangente, como estás pensando, y aislar totalmente esa red, incluso de manera física, del resto de equipos de tu red, y usar una segunda boca del router, donde crees el resto de VLANs y las lleves a un segundo switch donde montes todo lo relativo a "el resto de la red". No obstante, si el resto de la red "cabe" en el CRS, mételo ahí, porque van a volar; ese equipo es un cañón, al igual que el CCR2004.

Si quieres, lo mejor que puedes hacer para que nos hagamos a la idea de "cuánto" te queda por hacer, es dibujarlo. Obviando tu red, la que ya tienes montada (podemos revisarla si quieres para ver que no tengas ningún gazapo grave), ver qué te queda por meter y dónde nos conviene meterlo, en función de las bocas ethernet que necesites y cuanta más segmentación tengas que hacer.

Con el tema de los AP's, si las necesidades inalámbricas no son tan bestias como las cableadas, me quedaría en mikrotik y montaría algo usando CAPsMAN. O cogería algún AP de ubiquiti y le metería las distintas vlans/wifi's que vayas a necesitar.

PS: chapó por la elección de los equipos. Son caros, comparados con un hEX, pero sospecho que les vas a dar muy buen uso.

Saludos!

Haz clic para expandir...

Primero que nada gracias @pokoyo por tu tiempo y la pronta respuesta!

La elección de los equipos vino mas que nada porque había un dinero para mejorar la infraestructura y no dude en subirme a 10G(sumado a que para 40G estamos lejos pero no tan lejos). Mas que nada porque si necesito transferir archivos de un servidor a otro, ya se para hacer un backup, o para correr algo quiero velocidad. Ademas que seguramente en un futuro esta gente (trabajo en un instituto de investigación) quiera conectar los 2 edificios y salir por un solo ISP. (aprovechando los pelos libres del tendido de fibra que me coloqué pero es otra historia y no voy a ser yo el que reniegue con que su Internet esta "lenta"). Leyendo ya encontré que su problema seguramente es que no están segmentada la red y se genera el caos de broadcast.

Mi red la tengo "avanzada" en papel. Estuve copiando las reglas del firewall que tengo creadas en el hexS, el puerto WAN y demás pero no mucho mas que eso... ahora me voy a poner a leer lo de las VLAN. Mi problema era ese, decidir como arrancar a montar la infraestructura. Si me separo yo la red desde el router, o lo hago desde el switch.

En el CCR2004 tengo 1 cable dac en el puerto sfp1 al CRS312 donde tengo 8 puertos 10G de los cuales uso 3 a 10G (pudiendo quizás usar uno mas y hacer un link aggregation al servidor grande ya que tiene 2 nics 10G). Tengo un modulo sfp 1000BaseT que lo compre pensando en salir con el WAN por ahi pero puedo salir por el puerto de MGMT que seria mi ether1 no? y dividir con otro segmento sobre el router en el puerto sfp+2 x ej.

Tengo espacio en el CRS312 para hacer las vlan ahi y no convertir el HexS en SwitchOS para usarlo como 2do switch administrable ( pocas bocas pero puedo ampliar la vlan con un switch de capa2 abajo segun lei no?)

Mi problema es que los demás usuarios de la red solo usan Internet, algún cliente de escritorio remoto (2 pc en particular... una que tendría en mi subred pero no necesito el power de los 10G y la otra que tiene reglas en el firewall y sale por puertos específicos (manda alarmas de los freezers) en su propia subred).

Podría poner otra boca del HexS con otro switch común con la impresora compartida en la red con su ip fija junto con la parte de los AP (no necesito el power de la cableada y tengo en mente pedir un mikrotik como ultimo gasto y armar la parte inalambrica sobre algun modelo bbb (bueno bonito y barato).

Actualmente todo se ve en la red. Por eso la idea de ir segmentando y ajustando tuercas. Hacerlo bien desde el principio e ir aprendiendo de este mundo intrincado de las redes. También implementar VPN y ni hablar del post tuyo sobre llevarte la red a todos lados ! me voló la cabeza leer ese post jaja.

Tengo un switch cisco catalyst 2975GS que vino de una donación pero ya tiene su EOL y solo lo podria usar como switch de capa2 (aunque sea administrable pero no puedo entrar a la consola por ser obsoleto) para futuros usuarios "comunes" de internet...

Gracias nuevamente Pokoyo por tu tiempo. Ahora busco el post sobre "bridge vlan filtering" y veo como viene el mundo de CAPsMAN.

Saludos!

Yo empezaría por dibujar lo que ya tienes conectado en papel, y revisamos la config que ya tienes hecha, asegurándonos que la base desde la que partes es buena.

Hecho esto, lo siguiente es dibujar lo que te queda, y pensar en su segmentación. De normal te diría que lo conectases todo al switch, y con un único dac te lo lleves al router, especialmente por no andar comprando más NICs sfp+ 10G, que baratos no son. Pero me da que el tema va a ir tan jodidamente sobrado que, si ya tienes un módulo más y un switch, quizá te interese colgar ese segundo switch del router y conectar en él todo lo que no necesite conexión con tu red troncal de datos. Ahí podrían ir elementos comunes como impresoras, equipos que sólo requieran navegación web, la conexión del AP Wifi, etc. Pero, antes de definirlo en metal, hagámoslo primero en papel.

No sé qué salida tendrás a internet (velocidad), pero sospecho que el router va a estar de vacaciones, y que el trabajo “duro” se lo llevará el switch (como debe ser). Tienes equipo para enrutar miles de dispositivos.

Lo dicho, ves dibujando lo que tienes, lo que quieres o tienes en la cabeza y de dónde partimos, y vemos qué material podemos aprovechar (por supuesto el catalyst, aunque sea como un mero switch no administrable) y vemos la manera de montar lo mejor que podamos ese setup. El músculo desde luego ya lo tienes, te queda ponerlo a trabajar.

Saludos!

Buenas @pokoyo! Este seria el diagrama de lo que tengo en la cabeza.

Actualmente esta todo conectado al HexS que hace de router y abajo tiene un tplink de 16bocas. Los equipos de 10G estan sobre mi escritorio y los tengo aislados. Actualmente en el edificio conviven 3 grupos, los cuales el mio (vlan100 es el que tiene mas usuarios, (yo que hago todo ssh a servidores linux y solo disponibilizo una pc windows con samba que puede ver uno de los servidores de resultados( que tambien acceden x escritorio remoto) y luego 4 usuarias que usan internet y el servidor web que se ve en la red interna y por la IP fija que tenemos) A veces con lan y otras con lan wifi ).
El segundo grupo (Vlan200 son 3 usuarios que navegan por internet y 1 pc tiene escritorio remoto para ver resultados, y hay una 3er usuaria(vlan300) que solo navega por internet pero el dia de mañana cuando se conecte el otro edificio (proyectado en una de las bocas del CCR2004 y los pelos de la fibra sobrantes) acceda a esa pc para ver resultados).
Me queda la Vlan400 que es una pc de un 3ro que monitorea los freezers y manda alarmas (tiene puertos fijos seteados en el firewall para que salga pero no se que tan confiable es ese 3ro).
El investigador1 es un colega que si bien a futuro tendria su propia Vlan... hoy por hoy le doy full acceso para que me apague algun posible incendio futuro.
Hoy por hoy al vernos todos con todos podemos imprimir sin ningun problema, al momento de crear las Vlans no se como se resuelve eso.
Los AP tplink actualmente los tengo como bridge si no me equivoco, uno en cada planta conectados por utp al switch tplink.

Todo esto esta puesto asi desde que empece a trabajar y alguien lo hizo. "A la que te criaste" como dirian en mi pueblo... yo lo que quiero es acomodar los petates y despreocuparme de que alguien me cifre mis cosas porque hace cualquier cosa en la red. Y ni hablar que alguien me diga "el internet esta lento" porque hago un backup de 10TB o porque uno de mis servidores termina su trabajo y me disponibiliza 2TB de datos.



Entonces bien, tengo para conectar:
1 DAC 1m del CCR2004 al CRS312. Aunque tengo un modulo sfp 1000BaseT que lo compre pensando que necesitaba eso para conectarme al modem del proveedor de ISP pero tengo el puerto de MGMT que seria ether1 no? Y uso ese DAC que si bien es 10G puedo conectar el HexS y segmentar a nivel de router.
1 NAS(NAS2) al CRS312 por cable DAC 3m.
2 x utp del hipervisor grande al CRS312
1 x utp del hipervisor chico al CRS312
1 sfp+ que viene de la fibra del otro edificio con el NAS1 y lo conecto a un modulo sfp+ del switch CRS312.

Eso es lo que seria 10G. tengo otros servidores que no necesitan de la red10G, por eso en el diagrama los puse en el catalyst. Quizas puedo usar el modulo sfp 1000BaseT que me sobra y ponerlo abajo del CRS312 sacrificando una boca 10G.

Esta muy errado mi diagrama? Yo lo que quiero es optimizar mi red de datos y que el resto no chille por algo y me digan aahh vos sos el chico de la red jaja (y ni hablar que la idea es ser remoto lo mas posible). El dia de mañana viene alguien que se dedique a las redes y yo le dejo todo documentado con las direcciones ip de cada subdominio, etc.

El router grande lo compre pensando en que a futuro se agregue el otro instituto o demas institutos y que tengan una conexion troncal 10G, abajo de sus redes y sus quilombos problema de ellos... Mi salida a internet queda intacta. (tenemos ip fija y creo que 200Mb pero si damos de baja el otro servicio, aumentariamos este (aunque ahora pienso que tener 2 ISP no seria mala idea).
Quizas a mi red de datos la solucionaba con el switch CRS312 pero yo sabia que mi jefe a futuro queria unir los 2 edificios asi que me adelanté y compre ese router (capaz me sobrepase un poco jeje).

Gracias nuevamente por tu tiempo!
Saludos!
Agu.

Pues yo empezaría por poner las 4 vlans en un excel. Define los rangos de IP's de cada una y piensa qué comunicación inter-vlan necesitas. Aclarado eso, seguimos con la conexión de los chismes:

Como vas sobradísimo de potencia, tanto en switch como en router, te diría que te va a dar lo mismo colgar todo del CRS que colocar el catalyst a la misma altura que el CRS, conectado al CCR. Si lo cuelgas todo del CRS, simplemente definirías todas las VLANS en en CCR, e irían en modo trunk a la interfaz que tengas para puentear ese equipo y el CRS. En el CRS implementarías brdige vlan filtering, pero sólo filtrando la tabla de vlans en el bridge (eso ya te diré cómo se hace, puedes ir documentándote si quieres aquí). Ese enlace no se va a usar para nada cuando transfieras historias entre tus equipos de la misma VLAN en red local en el switch, así que descuida que para mover una conexión de 200Mbps de WAN, tienes más que de sobra. Otra cosa buena de ese setup es que el CRS podría incluso comportarse como un switch de L3. Él sería el encargado de entregar la vlan o vlan's en modo acceso al catalyst y/o tplink, si esos equipos se van a comportar como un switches no gestionables. Y, si todo te cabe en el catalyst, manda el tp-link al trastero o resérvalo de backup.

Si por el contrario decides conectar los switches a la misma altura, habría que pensar qué VLAN entregas en modo acceso al catalyst y/o al otro switch, y obviamente hipotecar más interfaces SFP del router con módulos ethernet (el puerto de management déjalo para lo que es, no querrás tenerlo ocupado el día que por lo que sea pierdas el acceso al router... podrías usarlo, pero yo lo reservaría), e implementar bridge-vlan-filtering (tal y como lo tienes explicado en este post) en el router, y posterior filtrado únicamente en el CCR, si ese recibe más de una.

El hEX-S creo que te sobra. Yo le podría una config similar a la del CCR y lo guardaría por si en un momento dado ese equipo tiene algún problema (lo quitas y pinchas el hEX-S y todo seguiría funcionando como si tal cosa; salvo por los equipos que únicamente tengan enlace óptico con ese equipo).

Los AP's que tienes los conectaría a los switches que van en modo acceso si trabajan en su misma VLAN. O los cambiaría por un par de cAP-AC's de Mikrotik y entonces ya le puedes chutar todas las VLANs que quieras, usando CAPsMAN.

Por lo demás, decirte que te tomes tu tiempo para pensar cómo dejar eso lo mejor posible. Es trabajo hoy, pero tranquilidad para mucho tiempo.

Saludos!

Compi, un consejo que te doy, hoy que le eché un rato más tranquilo al tema. Si tenéis algo más de presupuesto, échale un vistazo al CRS326 de 24 puertos gigabit enracable. Sería un complemento ideal para el switch 10G que tienes, ya que ambos se pueden combinar y manejar únicamente desde el CRS312, usando la funcionalidad de port extension (más info aquí) . Es un switch de 24 bocas gigabit, enracable, y que sirve de port extender al 312.. y son $200. Lo digo porque de esa manera lo tengo claro: del router al CRS312 por DAC y de ahí con otro DAC SFP+ al CRS 326. Vendrías a tener en total 10 bocas 10G + 24 bocas gigabit, llegando con las VLANs a todos los equipos conectados, y teniendo un enlace troncal entre switches y router de 10G en todo el stack.

Lo digo porque el no poder manejar el catalyst con VLANs es un problema, y ese equipo tiene un consumo bestial (500W) al ser un switch PoE. Su consumo, unido a la falta de soporte, hace que me planteé cómo de recomendable es reusarlo en tu setup.

Saludos!

Buenas Buenas @pokoyo! aqui de vuelta al ruedo... fin de semana de locos. Ahí estoy mirando el CRS312 y ver como defino lo de la parte wireless (voy a hacerle el tiro al jefe a ver si suelta los últimos morlacos y dejamos todo chiche siguiendo tu consejo: trabajo hoy, tranquilidad por mucho tiempo). Asi que investigando lo de CAPsMAN. Este modelo -> Mikrotik Cap Lite Rbcapl-2nd va? o cual me recomiendas?

Mientras estoy definiendo el rango IP para las VLAN, y de como implementar bridge vlan filtering. Ademas voy a tomar tu consejo de dejar el hex S como router de backup.

Cada vez aparecen mas cosas! esto es fascinante! Gracias y mas gracias!

Para la parte wireless, te recomiendo uno de estos dos, ambos doble banda (el wAP, incluso lo puedes poner en exteriores)

• cAP ac [RBcAPGi-5acD2nD] / cAP XL ac [RBcAPGi-5acD2nD-XL]
• wAP ac [RBwAPG-5HacD2HnD]

Saludos!

pokoyo dijo:

Para la parte wireless, te recomiendo uno de estos dos, ambos doble banda (el wAP, incluso lo puedes poner en exteriores)

• cAP ac [RBcAPGi-5acD2nD] / cAP XL ac [RBcAPGi-5acD2nD-XL]
• wAP ac [RBwAPG-5HacD2HnD]

Saludos!

Haz clic para expandir...

Perdon la ignorancia y quizas la pregunta tonta... Pero yo tendría que poner un cAP por cada VLAN? pudiendo en cada una tener un acceso "privado" y otro "invitado"? o con un solo cAP puedo poner todas las vlan de forma wirless y un SSID invitado?

Actualmente el que consigo en mi pais es el cAP o la version lite... Ya le pregunte al proveedor si trae el cAP_ac

Saludos!

Puedes poner tantos SSIDs como VLANs tienes. Por eso no hay problema.

Saludos!

pokoyo dijo:

Puedes poner tantos SSIDs como VLANs tienes. Por eso no hay problema.

Saludos!

Haz clic para expandir...

Genial! Por lo pronto tengo autorizado comprar el CRS312, sumo un cable DAC y tengo todo el troncal de la hostia. Voy a ver si consigo el cAP ac, sino tendre que conformarme con el cAP y ahi monto todo lo wireless.

Esto es como el elefante; lento pero firme

El CRS312 era el que ya tenías, ¿no? Sospecho que te refieres al 324, el de 24 puertos gigabit.

SI quieres alternativa a los APs de mikrotik, mira los de ubiquiti, que son mejores incluso. La pega es que no puedes usar CAPsMAN con ellos. Y es una pena, porque te ahorra un montón de trabajo.

Saludos!

Si perdon mala mia. El CRS312 es el de 10g, y sumaria un CRS326-24G-2S+RM para usar el port extention y por el tema wireless si con un cAP me sirve para tener todas las vlan vamos a seguir con mikrotik y le sacaremos provecho al CAPsMAN. Ya pregunte a ver si me consiguen alguno de los que recomiendas.

pokoyo dijo:

Para la parte wireless, te recomiendo uno de estos dos, ambos doble banda (el wAP, incluso lo puedes poner en exteriores)

• cAP ac [RBcAPGi-5acD2nD] / cAP XL ac [RBcAPGi-5acD2nD-XL]
• wAP ac [RBwAPG-5HacD2HnD]

Saludos!

Haz clic para expandir...

Hola Pokoyo! el cAP XL ac no tienen stock por ningun lado... asi que voy a ir por el wAP que es el unico que consigo asi tengo 2.4 y 5Ghz. Ni bien me llegue el resto empiezo a configurar todo desde cero.

Eternamente agradecido por la predisposición y buena onda!

Saludos!

El wAP-AC es muy buen equipo igualmente, dale sin miedo. Además, lo tienes en blanco o en negro, como más te guste.

Saludos!

Buenas buenas! aqui reportando nuevamente. Ya con los equipos en mano, actualizados a la ultima version estable y los CRS puestos en modo switch (actualizado tambien su firmware).

Segun entiendo, mi esquema ahora quedaria asi:


Le hice un quickset al CCS2004... y paso siguiente seria hacer el link aggregation entre los CRS3xx como dice aqui no es cierto @pokoyo ?
Luego tendría que empezar a configurar las Vlans siguiendo tu manual-mikrotik-bridge-vlan-filtering asignando en el crs312 todos los puertos a la vlan10, y luego en el crs326 los puertos correspondientes para las demás vlans no? En el hipotético caso que yo quiera aumentar la cantidad de puertos para una determinada vlan conectaría en ese puerto un switch capa2 no administrable y listo verdad?
Y por ultimo hacer lo propio en el wAP ac para que me levante los SSID para cada vlan...

Lo que por ahí no me queda claro es lo de los servidores DHCP para cada vlan. Yo podría asignar ip fijas para ciertas MAC address para servidores que no quiero que cambien su ip a lo largo del tiempo no? y que todo lo demas sea DHCP dinamico.

Saludos!

arrucucu dijo:

Le hice un quickset al CCS2004... y paso siguiente seria hacer el link aggregation entre los CRS3xx como dice aqui no es cierto @pokoyo ?

Haz clic para expandir...

Correcto! Concretamente, algo así:

Siendo sfp-sfpplusX la interfaz que une ambos equpios. Y luego habría que meterle toda la config de las distintas VLANs, cuando tengas claro qué va a cada puerto.

arrucucu dijo:

Luego tendría que empezar a configurar las Vlans siguiendo tu manual-mikrotik-bridge-vlan-filtering asignando en el crs312 todos los puertos a la vlan10, y luego en el crs326 los puertos correspondientes para las demás vlans no? En el hipotético caso que yo quiera aumentar la cantidad de puertos para una determinada vlan conectaría en ese puerto un switch capa2 no administrable y listo verdad?

Haz clic para expandir...

El manejo de VLANs lo harías a nivel del CRS312. En el 326 sólo tienes que definir los access ports, definiendo el PVID = número de vlan X (te viene un ejemplo también en el enlace que me pasaste anteriormente). El equipo que configurarías como bridge-vlan-filtering sería el router, y los el CRS326 simplemente haría el filtrado de vlans (no necesitarías definir vlans en ese equipo, sólo filtrarlas). Si quieres hacemos un ejemplo práctico con un par de VLANs par que veas cómo se hacen, y el esto sería idéntico.
Y sí, en el hipotético caso que quisieras más puertos de una VLAN concreta, con pincharle un switch no administrable a un puerto donde se entregue esa vlan en modo acceso es suficiente. Aunque la idea con todo el aparaterío que te has montado es no tener que hacer eso.

arrucucu dijo:

Lo que por ahí no me queda claro es lo de los servidores DHCP para cada vlan. Yo podría asignar ip fijas para ciertas MAC address para servidores que no quiero que cambien su ip a lo largo del tiempo no? y que todo lo demas sea DHCP dinamico.

Haz clic para expandir...

Todo eso, en el router.


Cuando puedas, monta una tablita con todas las vlans, su descripción, su direccionamiento, dónde se van a entregar en modo acceso, y montamos un pequeño ejemplo con un par de ellas, tal que veas cómo se hace.

Saludos!

Hola @pokoyo! como va eso? bueno estuve leyendo y metiendo mano. El link aggregation ya esta. Creo que le agregue de mas la primer parte que muestra Controller Bridge and Port Extender que dice:

pokoyo dijo:

El manejo de VLANs lo harías a nivel del CRS312. En el 326 sólo tienes que definir los access ports, definiendo el PVID = número de vlan X (te viene un ejemplo también en el enlace que me pasaste anteriormente). El equipo que configurarías como bridge-vlan-filtering sería el router, y los el CRS326 simplemente haría el filtrado de vlans (no necesitarías definir vlans en ese equipo, sólo filtrarlas). Si quieres hacemos un ejemplo práctico con un par de VLANs par que veas cómo se hacen, y el esto sería idéntico.

Haz clic para expandir...

segun Using RouterOS to VLAN your network me arme la siguiente tabla... Lo que no se es como ponerle las direcciones ip a los dispositivos... hoy por hoy como no tengo nada configurado entro por winbox a traves de la mac... si quiero entrar por ip deberia de fijar una ip en cada puerto mgmt no? pero con el tema de la vlan de mgmt no quise hacerlo.
Esta tabla deberia de definirla en el CRS312 no? y el filtrado luego en el 326... y luego en el CCR2004 lo que seria la parte de firewall, dhcp, vpn, etc...

Esta bien esa tabla? estaba pensando en ponerle prefijos mas chicos para tener mas direcciones ip libres a futuro... pero como pense en una clase B de ip creo que no habría problemas no? o consume mucho recurso que pueda asignar 254 direcciones y solo haya 2 pc conectadas?

Saludos!

Hola Buenas! me he puesto a meter manos en los equipos y estoy en un callejon sin salida... me confundo con el tema de habilitar la vlan de MGMT y de dejar un puerto trunk en el port extender para el wAP y poder pasar las VLAN. Desabilite el puerto de mgmt para que no me saque cuando prendo la vlan y no hay caso...

por lo pronto voy configurando esto:

Switch CRS312:
# jan/02/1970 01:31:03 by RouterOS 7.1.3
# software id = xxxxx
#
# model = CRS312-4C+8XG
# serial number = xxxxxxxxxxxx
/interface bridge
add name=Bridge_PE
/interface ethernet
set [ find default-name=combo1 ] name=2CCR
set [ find default-name=combo4 ] name=2CRS326
set [ find default-name=combo2 ] name=2NAS_CEDIE
set [ find default-name=combo3 ] name=2NAS_UIT
set [ find default-name=ether9 ] name=ether_mgmt
/interface vlan
add interface=Bridge_PE name=MGMT_VLAN vlan-id=2
/interface list
add name=MGMT
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
/interface bridge port
add bridge=Bridge_PE interface=pe1-ether1
add bridge=Bridge_PE frame-types=admit-only-untagged-and-priority-tagged \
interface=pe1-ether2 pvid=10
add bridge=Bridge_PE frame-types=admit-only-untagged-and-priority-tagged \
interface=pe1-ether3 pvid=10
add bridge=Bridge_PE frame-types=admit-only-untagged-and-priority-tagged \
interface=pe1-ether4 pvid=10
add bridge=Bridge_PE frame-types=admit-only-untagged-and-priority-tagged \
interface=pe1-ether5 pvid=10
add bridge=Bridge_PE frame-types=admit-only-untagged-and-priority-tagged \
interface=pe1-ether6 pvid=10
add bridge=Bridge_PE frame-types=admit-only-untagged-and-priority-tagged \
interface=pe1-ether7 pvid=10
add bridge=Bridge_PE frame-types=admit-only-untagged-and-priority-tagged \
interface=pe1-ether8 pvid=10
add bridge=Bridge_PE interface=pe1-ether9
add bridge=Bridge_PE interface=pe1-ether10
add bridge=Bridge_PE interface=pe1-ether11
add bridge=Bridge_PE interface=pe1-ether12
add bridge=Bridge_PE interface=pe1-ether13
add bridge=Bridge_PE interface=pe1-ether14
add bridge=Bridge_PE interface=pe1-ether15
add bridge=Bridge_PE interface=pe1-ether16
add bridge=Bridge_PE interface=pe1-ether17
add bridge=Bridge_PE interface=pe1-ether18
add bridge=Bridge_PE interface=pe1-ether19
add bridge=Bridge_PE frame-types=admit-only-untagged-and-priority-tagged \
interface=pe1-ether20 pvid=20
add bridge=Bridge_PE interface=pe1-ether21
add bridge=Bridge_PE frame-types=admit-only-untagged-and-priority-tagged \
interface=pe1-ether22 pvid=30
add bridge=Bridge_PE frame-types=admit-only-untagged-and-priority-tagged \
interface=pe1-ether23 pvid=2
add bridge=Bridge_PE frame-types=admit-only-untagged-and-priority-tagged \
interface=pe1-ether24 pvid=40
add bridge=Bridge_PE frame-types=admit-only-vlan-tagged interface=\
pe1-sfpplus2
add bridge=Bridge_PE frame-types=admit-only-vlan-tagged interface=2CCR
add bridge=Bridge_PE interface=ether1 pvid=10
/interface bridge port-controller
set bridge=Bridge_PE cascade-ports=2CRS326 switch=switch1
/ip neighbor discovery-settings
set discover-interface-list=MGMT
/interface bridge vlan
add bridge=Bridge_PE tagged=Bridge_PE,2CCR,2CRS326,pe1-sfpplus1 untagged=\
pe1-ether2 vlan-ids=10
add bridge=Bridge_PE tagged=Bridge_PE,2CCR,2CRS326,pe1-sfpplus1 untagged=\
pe1-ether20 vlan-ids=20
add bridge=Bridge_PE tagged=Bridge_PE,2CCR,2CRS326,pe1-sfpplus1 untagged=\
pe1-ether22 vlan-ids=30
add bridge=Bridge_PE tagged=Bridge_PE,2CCR,2CRS326,pe1-sfpplus1 untagged=\
pe1-ether23 vlan-ids=2
add bridge=Bridge_PE tagged=Bridge_PE,2CCR,2CRS326,pe1-sfpplus1 untagged=\
pe1-ether24 vlan-ids=40
/interface list member
add interface=MGMT_VLAN list=MGMT
/ip address
add address=10.0.1.2/24 interface=MGMT_VLAN network=10.0.1.0
/ip route
add distance=1 gateway=10.0.1.1
/system identity
set name=xxx
/system routerboard settings
set boot-os=router-os
/system swos
set allow-from-ports=p1,p2,p3,p4,p5,p6,p7,p8,p9,p10,p11,p12 identity=\
xxx_uit static-ip-address=10.0.1.2
/tool mac-server
set allowed-interface-list=MGMT
/tool mac-server mac-winbox
set allowed-interface-list=MGMT

-------------------------------------------------------------------
En router CCS:

# jan/05/1970 02:25:49 by RouterOS 7.1.1
# software id = xxxxxxx
#
# model = CCR2004-1G-12S+2XS
# serial number = xxxxxxxxxxxx
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=sfp-sfpplus2 ] name=dac_sw312
set [ find default-name=ether1 ] name=eth_mgmt
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no name=eth_wan
/interface vlan
add interface=bridge1 name=FREEZER_VLAN vlan-id=40
add interface=bridge1 name=GENOMICA vlan-id=10
add interface=bridge1 name=MGMT_VLAN vlan-id=2
add interface=bridge1 name=MICROARRAY_VLAN vlan-id=30
add interface=bridge1 name=PROTEOMICA_VLAN vlan-id=20
/interface list
add name=WAN
add name=LAN
add name=MGMT
add name=VLAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=10.0.1.2-10.0.1.254
add name=vpn ranges=192.xx.xx.x-192.x.x.x
add name=GENOMICA_POOL ranges=10.0.10.2-10.0.10.254
add name=PROTEOMICA_POOL ranges=10.0.20.254-10.0.20.2
add name=ARRAY_POOL ranges=10.0.30.2-10.0.30.254
add name=FREEZER_POOL ranges=10.0.30.254-10.0.40.2
add name=MGMT_POOL ranges=10.0.0.10-10.0.0.254
/ip dhcp-server
add address-pool=dhcp interface=bridge1 name=dhcp1
add address-pool=GENOMICA_POOL interface=GENOMICA name=GENOMICA_DHCP
add address-pool=PROTEOMICA_POOL interface=PROTEOMICA_VLAN name=\
PROTEOMICA_DHCP
add address-pool=ARRAY_POOL interface=MICROARRAY_VLAN name=ARRAY_DHCP
add address-pool=FREEZER_POOL interface=FREEZER_VLAN name=FREEZER_DHCP
add address-pool=MGMT_POOL interface=MGMT_VLAN name=MGMT_DHCP
/port
set 0 name=serial0
set 1 name=serial1
/ppp profile
set *FFFFFFFE local-address=192.xx.xx.xx remote-address=vpn
/interface bridge port
add bridge=bridge1 interface=eth_mgmt
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=dac_sw312
add bridge=bridge1 interface=sfp-sfpplus3
add bridge=bridge1 interface=sfp-sfpplus4
add bridge=bridge1 interface=sfp-sfpplus5
add bridge=bridge1 interface=sfp-sfpplus6
add bridge=bridge1 interface=sfp-sfpplus7
add bridge=bridge1 interface=sfp-sfpplus8
add bridge=bridge1 interface=sfp-sfpplus9
add bridge=bridge1 interface=sfp-sfpplus10
add bridge=bridge1 interface=sfp-sfpplus11
add bridge=bridge1 interface=sfp-sfpplus12
add bridge=bridge1 interface=sfp28-1
add bridge=bridge1 interface=sfp28-2
/ip neighbor discovery-settings
set discover-interface-list=MGMT
/interface bridge vlan
add bridge=bridge1 tagged=bridge1 vlan-ids=10
add bridge=bridge1 tagged=bridge1 vlan-ids=20
add bridge=bridge1 tagged=bridge1 vlan-ids=30
add bridge=bridge1 tagged=bridge1 vlan-ids=40
add bridge=bridge1 tagged=bridge1 vlan-ids=2
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add interface=eth_wan list=WAN
add interface=bridge1 list=LAN
add interface=GENOMICA list=VLAN
add interface=PROTEOMICA_VLAN list=VLAN
add interface=MICROARRAY_VLAN list=VLAN
add interface=FREEZER_VLAN list=VLAN
add interface=MGMT_VLAN list=MGMT
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=190.1xx.xxx.xx/24 comment=defconf interface=eth_wan network=\
190.xx.xx.0
add address=10.0.1.1/24 interface=bridge1 network=10.0.1.0
add address=10.0.1.1/24 interface=MGMT_VLAN network=10.0.1.0 ###creo que esto esta mal
add address=10.0.10.1/24 interface=GENOMICA network=10.0.10.0
add address=10.0.20.1/24 interface=PROTEOMICA_VLAN network=10.0.20.0
add address=10.0.30.1/24 interface=MICROARRAY_VLAN network=10.0.30.0
add address=10.0.40.1/24 interface=FREEZER_VLAN network=10.0.40.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add disabled=yes interface=eth_wan
/ip dhcp-server network
add address=0.0.0.0/24 gateway=0.0.0.0 netmask=24
add address=10.0.0.0/24 dns-server=10.0.0.1 gateway=10.0.0.1
add address=10.0.10.0/24 dns-server=10.0.0.1 gateway=10.0.10.1
add address=10.0.20.0/24 dns-server=10.0.0.1 gateway=10.0.20.1
add address=10.0.30.0/24 dns-server=10.0.0.1 gateway=10.0.30.1
add address=10.0.40.0/24 dns-server=10.0.0.1 gateway=10.0.40.1
/ip dns
set allow-remote-requests=yes servers=190.xx.xx.xx,200.xx.xx.xx
/ip firewall filter
add action=accept chain=input comment="Allow estab & related" \
connection-state=established,related
add action=accept chain=input comment="allow VLAN" in-interface-list=VLAN
add action=accept chain=input comment="allow mgmt_vlan full access" \
in-interface=MGMT_VLAN
add action=drop chain=input comment=Drop
add action=accept chain=forward comment="Allow Estab & Related" \
connection-state=established,related
add action=accept chain=forward comment="VLAN Internet Access only" \
connection-state=new in-interface-list=VLAN out-interface-list=WAN
add action=drop chain=forward comment=Drop
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.xx.xx.0/24
add action=masquerade chain=srcnat comment="Default masquerade" \
out-interface-list=WAN
/ip route
add distance=1 gateway=190.xx.xx.x
/ppp secret
add name=vpn
/system identity
set name=xxx
/tool mac-server
set allowed-interface-list=MGMT
/tool mac-server mac-winbox
set allowed-interface-list=MGMT
------------------------------------------
en el wAP ya tengo configuradas los access port para las distintas vlans (solo puse la 10,20,30 y una invitados en 55) que deberia de crearla en el CRS312 y ponerle el dhcp server en el router como las demas no?

ya no se que mas tocar... no se si hice bien en poner las vlans en el port extention.

Algun centro? voy bien?

Saludos!