Red CapsMan + Caps hAP ac2 en oficinas

Genial, ya lo tienes. Para borrar cosas en CAPsMAN, irías al revés que para crearlas. Primero las sacarías de la lista de slave-configurations, en la regla de provisioning, luego borrarías la config, y por último datapath y seguridad. Y sí, en ese momento, reprovisionas y te quedarían las tres redes: la principal de empleados, y las dos virtuales de coworking e invitados.

Con respecto a la pregunta del backup que se pierde al reiniciar: si el equipo tiene una carpeta “flash” dentro de Files, significa que lleva ese tipo de almacenamiento y, todo lo que no esté dentro de la carpeta flash, no se persiste, y se borrará en un reinicio.

Saludos! Ya te queda muy poco! Cuándo llega el CRS?
Ahí la hemos chingado, iba a decir otra cosa, pero... señor lo siento pero vamos a contar con un CSS, el switch que me aconsejaste justo cuando me dijiste que por un poco mas si podían compraran el CRS. Pues ahí metí yo la pata, aún me lio con las denominaciones, vi una oferta a 167€ y me lié no me fijé y era un CSS no un CRS. Vamos que ya lo tienen mas que pedido, están esperando que llegue. SORRY es culpa mia.
He realizado copias de seguridad backup y src de todos los equipos, los 3 cap's y el ccr1009 y he exportado todos los certificados para guardarlos junto a las copias de seguridad. Creo que estamos muy muy avanzados y no quiero meter la pata a esta altura y romperlo todo.

Otra cosa al parecer mañana me entregan ya datos de usuario y contraseña para el pppoe de la segunda salida de internet, la cual tengo ahora mismo conectada al ONT a través del ETH2 del CCR y configurada como pppoe-out2 pero la tengo deshabilitada porque sino constantamente está el log diciendome que intenta conectar. Te pido por supuesto como favor si cuando la tenga operativa y conectada me puedes echar una mano para hacer eso que pensamos hace unos días, de darle salida a invitados y a coworking por esa red de internet.

Un saludo como tu dices "majete" gracias gracias y mil veces gracias. Nunca le había sacado tanto partido a estos "paratos" jijiji
 
Última edición:
Ahí la hemos chingado, iba a decir otra cosa, pero... señor lo siento pero vamos a contar con un CSS, el switch que me aconsejaste justo cuando me dijiste que por un poco mas si podían compraran el CRS. Pues ahí metí yo la pata, aún me lio con las denominaciones, vi una oferta a 167€ y me lié no me fijé y era un CSS no un CRS. Vamos que ya lo tienen mas que pedido, están esperando que llegue. SORRY es culpa mia.
He realizado copias de seguridad backup y src de todos los equipos, los 3 cap's y el ccr1009 y he exportado todos los certificados para guardarlos junto a las copias de seguridad. Creo que estamos muy muy avanzados y no quiero meter la pata a esta altura y romperlo todo.
ohhh qué pena. Bueno, igualmente es un switch gestionable, pero vas a comprobar tú mismo que las VLANs funcionan de otra manera en él, siendo algo más visual pero menos sencillo de entender su configuración. A ese no te vas a poder conectar vía winbox, sino que lo harás por navegador web, vía SwitchOS. No obstante, sigue siendo buen equipo, más que suficiente para lo que necesitas mover.

Otra cosa al parecer mañana me entregan ya datos de usuario y contraseña para el pppoe de la segunda salida de internet, la cual tengo ahora mismo conectada al ONT a través del ETH2 del CCR y configurada como pppoe-out2 pero la tengo deshabilitada porque sino constantamente está el log diciendome que intenta conectar. Te pido por supuesto como favor si cuando la tenga operativa y conectada me puedes echar una mano para hacer eso que pensamos hace unos días, de darle salida a invitados y a coworking por esa red de internet.
OK. Recuerda meter distancia=2 en la segunda interfaz del PPPoE, para que de momento esté simplemente como failover. Es un parámetro del cliente PPPoE.
1649315772270.png


Para hacer lo que pides de sacar todo el tráfico externos por la segunda WAN vamos a tener que prescindir de la regla de fasttrack (de momento simplemente deshabilítala y dale un reinicio al equipo), para que el tráfico empiece a pasar por el resto de elementos del router (fattrack lo que hace es que se salta todo, cuando la conexión ya está establecida). Una vez prescindamos del fasttrack, podemos empezar con la implementación de mangle, para hacer un ruteo condicional.

Y, como una cosa tiene que ver con la otra, voy a ir poniéndome las pilas con colas de prioridad, para ver cómo organizamos, al menos, ese tráfico externo, par que se reparta equitativamente.

Saludos!
 
pero vas a comprobar tú mismo que las VLANs funcionan de otra manera en él, siendo algo más visual pero menos sencillo de entender su configuración.
:) es "mea culpa" pero de todas formas ya te adelanto que para mi aún las Vlan "no son sencillas de entender" me voy a apuntar a algún curso a futuro porque esto me apasiona y me veo muy muy corto de conocimientos.

OK. Recuerda meter distancia=2 en la segunda interfaz del PPPoE, para que de momento esté simplemente como failover. Es un parámetro del cliente PPPoE.
Ya está hecho, de esto si había leído algo anteriormente, al tener el parámetro Default Distance = 1 en la conexión pppoe-out1 y el parámetros 2 en el mismo apartado del interface pppoe-out2 por defecto las rutas irán hacia la salida 1 mientras estén las dos operativas pero si cae la 1 entonces intentará sacar todo el tráfico 0.0.0.0 hacia la 2. Está explicado con mis palabras pero ese es el concepto que me quedé.
Para hacer lo que pides de sacar todo el tráfico externos por la segunda WAN vamos a tener que prescindir de la regla de fasttrack (de momento simplemente deshabilítala y dale un reinicio al equipo)
Entiendo que lo que hacemos es deshabilitar esta línea 0 que aparece al inicio del IP -> firewall -> Filter rules ¿? es eso verdad ¿?
deshabilitar fasttrack.png
 
:) es "mea culpa" pero de todas formas ya te adelanto que para mi aún las Vlan "no son sencillas de entender" me voy a apuntar a algún curso a futuro porque esto me apasiona y me veo muy muy corto de conocimientos.


Ya está hecho, de esto si había leído algo anteriormente, al tener el parámetro Default Distance = 1 en la conexión pppoe-out1 y el parámetros 2 en el mismo apartado del interface pppoe-out2 por defecto las rutas irán hacia la salida 1 mientras estén las dos operativas pero si cae la 1 entonces intentará sacar todo el tráfico 0.0.0.0 hacia la 2. Está explicado con mis palabras pero ese es el concepto que me quedé.

Entiendo que lo que hacemos es deshabilitar esta línea 0 que aparece al inicio del IP -> firewall -> Filter rules ¿? es eso verdad ¿?
Ver el adjunto 93864
Las VLANs es un concepto muy básico para segmentar distintas redes en un mismo medio. Básicamente, y por explicarlo en una línea, es meter una etiqueta a cada trama ethernet, para luego poder filtrarlas. Lo complejo no es el concepto, sino todo lo asociado a él. A mi lo que más me costó pillar fue el tema del ingress/egress, que es basicamente cómo se comporta el tráfico en un switch. Lo mejor que puedes hacer para aprender a usar vlans es bajar un nivel y verlas a nivel de switch, olvidándote de la parte de routing, que es lo que estamos haciendo en el CCR. Si coges un switch gestionable y configuras vlans en él, verás que sólo dos equipos de la misma vlan son capaces de hablar entre sí, incluso si tienen la misma subred. Ahí es donde te das cuenta que el tráfico entre equipos dentro de una misma vlan NO sube al router para nada. Esto también puedes chequearlo a nivel de router: una vez tengas el switch gestionable puesto, intenta impedir el tráfico entre dos clientes de la misma VLAN con una regla de firewall: te darás cuenta de que no sólo no puedes, sino que la regla ni recibe tráfico. La vlans son un concepto de L2, y sólo se consideran en L3 cuando tienes que comunicarlas entre sí.

La regla de fasttrack no es esa, es la que tiene la acción “fasttrack”. Esa, como su propio nombre indica, es una regla “dummy” (de mentira), para “contar” la cantidad de tráfico que le estás aliviando al router procesar. Una vez deahabilitada la regla real de fasttrack y reiniciado el router, verás que esa regla dummy desaparece, al igual que la que hay en Firewall -> Raw, que también son dummy. La real es esta:

1649330889069.png


Saludos!
 
Las VLANs es un concepto muy básico para segmentar distintas redes en un mismo medio. Básicamente, y por explicarlo en una línea, es meter una etiqueta a cada trama ethernet, para luego poder filtrarlas. Lo complejo no es el concepto, sino todo lo asociado a él. A mi lo que más me costó pillar fue el tema del ingress/egress, que es basicamente cómo se comporta el tráfico en un switch. Lo mejor que puedes hacer para aprender a usar vlans es bajar un nivel y verlas a nivel de switch, olvidándote de la parte de routing, que es lo que estamos haciendo en el CCR. Si coges un switch gestionable y configuras vlans en él, verás que sólo dos equipos de la misma vlan son capaces de hablar entre sí, incluso si tienen la misma subred. Ahí es donde te das cuenta que el tráfico entre equipos dentro de una misma vlan NO sube al router para nada. Esto también puedes chequearlo a nivel de router: una vez tengas el switch gestionable puesto, intenta impedir el tráfico entre dos clientes de la misma VLAN con una regla de firewall: te darás cuenta de que no sólo no puedes, sino que la regla ni recibe tráfico. La vlans son un concepto de L2, y sólo se consideran en L3 cuando tienes que comunicarlas entre sí.
Gracias sinceras por la explicación, me quedo con... primero que son un concepto a nivel de L2 o sea que puede ser manejado a nivel de dirección MAC independientemente del tema direcciones IP donde ya nos habríamos subido a nivel L3 ¿? y la parte en la que explicas que si bajo a nivel de switch gestionable (no de router) y configuro Vlan en él, solo dos equipos de la misma Vlan serán capaces de hablarse entre sí. Y que tráfico entre equipos de la misma Vlan no suben al router o sea que la comunicación es directa entre ellos igual que si tuvieran un cable físico de uno a otro.
Esto es la pera.
La regla de fasttrack no es esa, es la que tiene la acción “fasttrack”. Esa, como su propio nombre indica, es una regla “dummy” (de mentira), para “contar” la cantidad de tráfico que le estás aliviando al router procesar. Una vez deahabilitada la regla real de fasttrack y reiniciado el router, verás que esa regla dummy desaparece, al igual que la que hay en Firewall -> Raw, que también son dummy. La real es esta:
Manos a la cabeza, disculpa, otro despiste total juer solo tenía que mirar con un poco de detenimiento, pero lo cierto es que según a que horas, hay veces que las prisas me dejan ciego. Ya está deshabilitada y reiniciado el enrutador.
fasttrack deshabilitado.png


Por cierto me han traido el CSS lo tengo ahora mismo en mi taller para hacerle lo que haya que hacerle y pienso instalarlo el Sábado, físicamente y teniendo en cuenta el esquema que envié por aqui, ¿como debería de conectarlo? a parte de que tengamos que dejarle programado lo que sea.
Gracias
 
Gracias sinceras por la explicación, me quedo con... primero que son un concepto a nivel de L2 o sea que puede ser manejado a nivel de dirección MAC independientemente del tema direcciones IP donde ya nos habríamos subido a nivel L3 ¿? y la parte en la que explicas que si bajo a nivel de switch gestionable (no de router) y configuro Vlan en él, solo dos equipos de la misma Vlan serán capaces de hablarse entre sí. Y que tráfico entre equipos de la misma Vlan no suben al router o sea que la comunicación es directa entre ellos igual que si tuvieran un cable físico de uno a otro.
Esto es la pera.

Manos a la cabeza, disculpa, otro despiste total juer solo tenía que mirar con un poco de detenimiento, pero lo cierto es que según a que horas, hay veces que las prisas me dejan ciego. Ya está deshabilitada y reiniciado el enrutador.
Ver el adjunto 93903

Por cierto me han traido el CSS lo tengo ahora mismo en mi taller para hacerle lo que haya que hacerle y pienso instalarlo el Sábado, físicamente y teniendo en cuenta el esquema que envié por aqui, ¿como debería de conectarlo? a parte de que tengamos que dejarle programado lo que sea.
Gracias
Pues lo primero es echarlo a andar y familiarizarmos con la interfaz. Sospecho que tendrá la misma IP de administración por defecto que todos los mikrotik (192.168.88.1), así que configurando un equipo manual en dicho rango y pinchándole un cable, podrás acceder a él.

Al final compraste también el cable dac o lo dejaste para más tarde? Lo digo por configurar únicamente un puerto spf+ como trunk, o hacer como con el router y configurar también un ethernet como trunk port.

Saludos!
 
Te confirmo que viene con la 192.168.88.1 ahora mismo he entrado y como lo tengo en otra red (taller de casa) lo he puesto en la 192.168.50.151 he entrado y he actualizado el firmware y cambiado la password, nada mas.

foto1 switch.png

foto2 switch.png

vamos tal como viene. limpito limpito.
Al final compraste también el cable dac o lo dejaste para más tarde? Lo digo por configurar únicamente un puerto spf+ como trunk, o hacer como con el router y configurar también un ethernet como trunk port.
No, no tenemos ahora mismo el cable, por lo que me estas diciendo entiendo que ahora mismo debería de configurar un puesto ETH como trunk aunque dejemos también preparado si se puede el sfp-1 por ejemplo para el día que tengamos el puente pasivo de fibra.
Lo que tu me digas

foto3 switch.png

esto será para jugar a los barquitos NO ¿? :) lo siento, ya me pongo serio pero es que he metido la pata hasta el corvejón, ahora que me estaba acostumbrando a los menús de Mikrotik y a teclear en la terminal y ahora me vengo con esto. Ahiiiiiii
 
Juer yo con lo simplón que soy, solo con el port isolation ya le sacaría partido. Se me había venido a la cabeza que puedo aislar los puertos asi:

1-2-3-4 -> Seguridad, 192.168.108.x me quito un switch de los enanos conecto el 1 del switch al combo1 de ccr y los dos cables de la alarma y grabadora al 2 y 3 aún les queda el puerto 4 para un futuro.

5-6-7-8 -> wifis 192.168.99.x conecto el 5 al puerto eth3 del ccr que creo recordar que era base y los 3 cap a las bocas switch 6,7 y8

9-10-11-12-13-14-15-16-17 -> 192.168.105.x servidores conecto el 17 al eth5 del CCR y tengo 7 tomas para distintos servidores me quito otro switch pequeñito.

18-19-20-21-22-23-24 -> cowork 192.168.107.x conecto el puerto 24 al eth7 del CCR y aún tengo 6 tomas para parchear con las lan de las paredes de las oficinas que se alquilen. -> me quito de en medio el SMC de 24 bocas 10/100

y dejaría la boca eth6 del CCR conectada al linksys de 24 bocas 10/100/1000 solo para las tomas de pared de empleados.

ya se que no es esto lo que se busca, jajajaja pero así dejo medio vacío el armario sacando 3 switches que son mierdecilla. jijiji.

Nada nada solo es mi cabeza. he estado mirando los menús y me lío sobre todo en el de vlan y forwarding. pero bueno al menos lo he estado bicheando.
 
El port isolation vale para otra cosa, eso ni lo mires, que no lo vamos a tocar. Tus puertos ya van a estar aislados entre sí, sólo hablando con los equipos de su misma VLAN, salvo que el router permita la comunicación entre ellas. Así que por ahí, ya lo tienes cubierto. De la manera que lo describes en tu post previo sacrificaríamos muchísimos puertos. Date cuenta de que el enlace entre los dos equipos (CCR/CSS) va a ser un único puerto: el trunk. Ese puerto lleva todas las VLANs de golpe, y no tienes por qué complicarte más la vida. Y sí, vas a sacar dos o tres switches del rack, la idea es que nos quedemos con este y el grande 10/100/1000.

Antes de montar el equipo, lo primero que tienes que ver es cómo lo vas a conexionar, porque en función de eso haremos la tabla de vlans (pestañas VLAN / VLANs). Yo intentaría ver si "te cabe" toda la red interna en el CSS. Es decir: servidores + empleados + seguridad (AP's, opcionales, ahora te explico). Si eso te cabe, en uno de los puertos del CSS parcheas el otro switch con la VLAN de coworkers y dejas el 10/100/1000 para ese propósito.

Otra opción es hacer lo mismo, pero con los empleados. Es decir, todo lo demás al CSS, y la VLAN de empleados en modo acceso al switch grande.

Lo que tienes que tener en cuenta es que al switch grande sólo se le puede entregar tráfico sin tag, o tráfico con tag que sepan recoger equipos como los CAPs (por eso te decía antes que me da lo mismo que los CAP vayan a un switch que al otro; idelamente irían en uno PoE aparte).

El CSS, verás que tienes dos puertos SFP+ de 10G. Esos puertos son los que se llaman puertos para "cascada". Normalmente se usan para interconectar con otro switches o con el router principal, siendo las 24 bocas puertos usables que se entregan en modo acceso (listos para pinchar y usar en las distintas VLANs). Quiere decir, que si compraras dos switches más iguales, este iría cosido al router por uno de esos puertos, y encadenado al siguiente por el segundo, y así repetirías la película en el dos, y el tercero se quedaría únicamente con uno de esos puertos usados, o con el segundo puerto de vuelta al router, montando una redundancia.


Al router vamos a intentar llevar una única conexión, de tal manera que aproveches la capa 2 al máximo (recuerda que el tráfico inter-vlan no sube al router), y ese puerto sólo se utilice para intercomunicar VLANs entre sí o para salir a internet. Si tuviera un tráfico descomunal, la única VLAN que quizá merecería la pena que se quedase en el CCR sería la de servidores. Pero como tampoco creo que sea el caso, todo para abajo en un único cable, que le veas la gracia al switch, que para eso es capaz de mover 43Gbps de tráfico. ¿Ves ahora la idea del DAC de 10Gbps? Como únicamente vas a unir esos equipos por un único puerto, mejor que vaya sobrado de capacidad ese enlace.

Dicho todo esto, manos a la obra. Prefiero que dejemos esto cerrado y luego nos metemos con el tema doble WAN y colas de prioridad, que su miga tiene.

Lo primero que vamos a hacer es comunicar este equipo con el otro. Como de momento no tienes el DAC, considero puertos trunk ambos sfp+ (por si el día de mañana te animas y compras otro de estos) y el puerto ether1. Nos quedan 23 puertos de acceso, echa cábalas y dime qué te cabe y qué no.

En la pestaña System, tenemos que configurar el equipo para conectarlo al otro. Lo vas a configurar con los siguientes datos:
  • Address Acquisition: DHCP with fallback
  • Static IP Address: La que te parezca bien. El equipo cogerá una dirección por DHCP y, si no puede, esa que definas ahí será la de acceso al equipo en caso de emergencia.
  • Identity: le das un nombre que tenga sentido, algo que lo identifiques de un plumazo.
  • Allow from: si quieres, puedes definir la subred desde la que vas a permitir el acceso. En nuestro caso, si la defines, la subred sería la 192.168.99.0/28, pero te recomiendo no hagas eso aún, porque en ese caso la IP de fallback debería ir en ese rango también. Así que, de momento, lo dejamos como está, en blanco.
  • Allow from ports: aquí tienes que marcar desde qué puertos vas a querer llegar a la administración del switch. Te recomiendo minimizarlos a los tres puertos trunk (ether1, sfp+1, spf+2; primero y dos últimos) + un puerto cualquiera que dejes por ahí perdido por si un día te quedas sin acceso al chisme y tienes que desconectarlo del router y entrar por la IP de fallback. Por ejemplo, ether2, ether24, el que te parezca. Idealmente, sólo se debería llegar al switch desde tráfico taggeado de la VLAN 99, es decir, desde un puerto trunk.
  • Allow from VLAN: 99 (nuestra vlan 'base'). Este cambio no lo hagas aún, porque vas a perder el acceso al switch, lo haremos en último lugar.
  • Independent VLAN lookup: marcamos esa opción, al ir a trabajar con varias VLANs independientes en el switch.
  • DHCP and PPPoE Snooping (Trusted ports): importante, desde qué puertos te vas a tragar servidores PPP o DHCP. Obviamente, únicamente los tres puertos trunk (y lo reduciríamos luego a un único puerto, una vez tengas el setup finalizado; el puerto que te une con el router. Esto previene que ningún gilipollas se traiga un router de casa y te líe la marimorena conectando la parte LAN del router a una de las tomas jack de la pared, metiendo un segundo DHCP en juego, sobre un puerto en modo acceso (joderías a la VLAN correspondiente, donde dos servidores responderían a las peticiones DHCP de los clientes).
  • Usuario y contraseña: lo evidente, no le dejes con admin y sin contraseña.

Hecho esto, nos quedaría definir la tabla de VLANs. A este equipo han de llegar todas las VLANs que se van a manejar en la red, es decir; 99, 105, 106, 107, 108, 200; hasta la hora. Nos iríamos a la pestaña VLANs (plural) y configuraríamos, de momento, sólo los puertos trunk (luego configuraremos los de acceso, cuando tengas claro el conexionado que vas a hacer). En esa tabla añadirías las 6 VLANs, una por línea, y marcarías los puertos ether1, spf+1, spf+2 para cada línea. Los "barquitos" te quedarían iguales para las 6 VLANs, con esos tres marcados, y los demás desmarcados.
Hecho esto, deberías poder ir al menú system y definir la VLAN 99 como vlan de management en el campo "Allow from VLAN". Desde ese momento, el único acceso al switch va a ser vía la red base o admin, desde el CCR, y previa conexión del switch a este vía ether1 (CSS) -> ether6 (CCR)

Si hasta aquí has conseguido llegar sin morir en el intento, monta una cacho tabla o excel con la distribución de puertos, y empezamos a jugar a los barquitos, como tú dices ;)

Te dejo la guía de referencia de SwOS, donde puedes ver un ejemplo de configuración (y en lo que me estoy basando, porque esos equipos no los he tocado nunca): https://help.mikrotik.com/docs/page...2624G2S+seriesManual-VLANConfigurationExample

Saludos!
 
El port isolation vale para otra cosa, eso ni lo mires, que no lo vamos a tocar. Tus puertos ya van a estar aislados entre sí, sólo hablando con los equipos de su misma VLAN, salvo que el router permita la comunicación entre ellas. Así que por ahí, ya lo tienes cubierto. De la manera que lo describes en tu post previo sacrificaríamos muchísimos puertos. Date cuenta de que el enlace entre los dos equipos (CCR/CSS) va a ser un único puerto: el trunk. Ese puerto lleva todas las VLANs de golpe, y no tienes por qué complicarte más la vida. Y sí, vas a sacar dos o tres switches del rack, la idea es que nos quedemos con este y el grande 10/100/1000.

Antes de montar el equipo, lo primero que tienes que ver es cómo lo vas a conexionar, porque en función de eso haremos la tabla de vlans (pestañas VLAN / VLANs). Yo intentaría ver si "te cabe" toda la red interna en el CSS. Es decir: servidores + empleados + seguridad (AP's, opcionales, ahora te explico). Si eso te cabe, en uno de los puertos del CSS parcheas el otro switch con la VLAN de coworkers y dejas el 10/100/1000 para ese propósito.

Otra opción es hacer lo mismo, pero con los empleados. Es decir, todo lo demás al CSS, y la VLAN de empleados en modo acceso al switch grande.

Lo que tienes que tener en cuenta es que al switch grande sólo se le puede entregar tráfico sin tag, o tráfico con tag que sepan recoger equipos como los CAPs (por eso te decía antes que me da lo mismo que los CAP vayan a un switch que al otro; idelamente irían en uno PoE aparte).

El CSS, verás que tienes dos puertos SFP+ de 10G. Esos puertos son los que se llaman puertos para "cascada". Normalmente se usan para interconectar con otro switches o con el router principal, siendo las 24 bocas puertos usables que se entregan en modo acceso (listos para pinchar y usar en las distintas VLANs). Quiere decir, que si compraras dos switches más iguales, este iría cosido al router por uno de esos puertos, y encadenado al siguiente por el segundo, y así repetirías la película en el dos, y el tercero se quedaría únicamente con uno de esos puertos usados, o con el segundo puerto de vuelta al router, montando una redundancia.


Al router vamos a intentar llevar una única conexión, de tal manera que aproveches la capa 2 al máximo (recuerda que el tráfico inter-vlan no sube al router), y ese puerto sólo se utilice para intercomunicar VLANs entre sí o para salir a internet. Si tuviera un tráfico descomunal, la única VLAN que quizá merecería la pena que se quedase en el CCR sería la de servidores. Pero como tampoco creo que sea el caso, todo para abajo en un único cable, que le veas la gracia al switch, que para eso es capaz de mover 43Gbps de tráfico. ¿Ves ahora la idea del DAC de 10Gbps? Como únicamente vas a unir esos equipos por un único puerto, mejor que vaya sobrado de capacidad ese enlace.

Dicho todo esto, manos a la obra. Prefiero que dejemos esto cerrado y luego nos metemos con el tema doble WAN y colas de prioridad, que su miga tiene.

Lo primero que vamos a hacer es comunicar este equipo con el otro. Como de momento no tienes el DAC, considero puertos trunk ambos sfp+ (por si el día de mañana te animas y compras otro de estos) y el puerto ether1. Nos quedan 23 puertos de acceso, echa cábalas y dime qué te cabe y qué no.

En la pestaña System, tenemos que configurar el equipo para conectarlo al otro. Lo vas a configurar con los siguientes datos:
  • Address Acquisition: DHCP with fallback
  • Static IP Address: La que te parezca bien. El equipo cogerá una dirección por DHCP y, si no puede, esa que definas ahí será la de acceso al equipo en caso de emergencia.
  • Identity: le das un nombre que tenga sentido, algo que lo identifiques de un plumazo.
  • Allow from: si quieres, puedes definir la subred desde la que vas a permitir el acceso. En nuestro caso, si la defines, la subred sería la 192.168.99.0/28, pero te recomiendo no hagas eso aún, porque en ese caso la IP de fallback debería ir en ese rango también. Así que, de momento, lo dejamos como está, en blanco.
  • Allow from ports: aquí tienes que marcar desde qué puertos vas a querer llegar a la administración del switch. Te recomiendo minimizarlos a los tres puertos trunk (ether1, sfp+1, spf+2; primero y dos últimos) + un puerto cualquiera que dejes por ahí perdido por si un día te quedas sin acceso al chisme y tienes que desconectarlo del router y entrar por la IP de fallback. Por ejemplo, ether2, ether24, el que te parezca. Idealmente, sólo se debería llegar al switch desde tráfico taggeado de la VLAN 99, es decir, desde un puerto trunk.
  • Allow from VLAN: 99 (nuestra vlan 'base'). Este cambio no lo hagas aún, porque vas a perder el acceso al switch, lo haremos en último lugar.
  • Independent VLAN lookup: marcamos esa opción, al ir a trabajar con varias VLANs independientes en el switch.
  • DHCP and PPPoE Snooping (Trusted ports): importante, desde qué puertos te vas a tragar servidores PPP o DHCP. Obviamente, únicamente los tres puertos trunk (y lo reduciríamos luego a un único puerto, una vez tengas el setup finalizado; el puerto que te une con el router. Esto previene que ningún gilipollas se traiga un router de casa y te líe la marimorena conectando la parte LAN del router a una de las tomas jack de la pared, metiendo un segundo DHCP en juego, sobre un puerto en modo acceso (joderías a la VLAN correspondiente, donde dos servidores responderían a las peticiones DHCP de los clientes).
  • Usuario y contraseña: lo evidente, no le dejes con admin y sin contraseña.

Hecho esto, nos quedaría definir la tabla de VLANs. A este equipo han de llegar todas las VLANs que se van a manejar en la red, es decir; 99, 105, 106, 107, 108, 200; hasta la hora. Nos iríamos a la pestaña VLANs (plural) y configuraríamos, de momento, sólo los puertos trunk (luego configuraremos los de acceso, cuando tengas claro el conexionado que vas a hacer). En esa tabla añadirías las 6 VLANs, una por línea, y marcarías los puertos ether1, spf+1, spf+2 para cada línea. Los "barquitos" te quedarían iguales para las 6 VLANs, con esos tres marcados, y los demás desmarcados.
Hecho esto, deberías poder ir al menú system y definir la VLAN 99 como vlan de management en el campo "Allow from VLAN". Desde ese momento, el único acceso al switch va a ser vía la red base o admin, desde el CCR, y previa conexión del switch a este vía ether1 (CSS) -> ether6 (CCR)

Si hasta aquí has conseguido llegar sin morir en el intento, monta una cacho tabla o excel con la distribución de puertos, y empezamos a jugar a los barquitos, como tú dices ;)

Te dejo la guía de referencia de SwOS, donde puedes ver un ejemplo de configuración (y en lo que me estoy basando, porque esos equipos no los he tocado nunca): https://help.mikrotik.com/docs/page...2624G2S+seriesManual-VLANConfigurationExample

Saludos!
Pokoyo aún no me lo he leído, pero quería comentarte una cosa, TENEMOS ESTE OTRO EQUIPO a DISPOSICIÓN RB3011UiAS-RM solo son 10 bocas pero éste es router, solo es pregunta rápida por si ves bien sustituir el CSS por éste otro antes de meterme en faena.
Un Saludo
 
Sustituirle no, pero complementarle sí. Es decir, si tenéis ambos ya comprados y disponibles, lo podemos aprovechar como switch gestionable.

Saludos!
 
El port isolation vale para otra cosa, eso ni lo mires, que no lo vamos a tocar. Tus puertos ya van a estar aislados entre sí, sólo hablando con los equipos de su misma VLAN, salvo que el router permita la comunicación entre ellas. Así que por ahí, ya lo tienes cubierto. De la manera que lo describes en tu post previo sacrificaríamos muchísimos puertos. Date cuenta de que el enlace entre los dos equipos (CCR/CSS) va a ser un único puerto: el trunk. Ese puerto lleva todas las VLANs de golpe, y no tienes por qué complicarte más la vida. Y sí, vas a sacar dos o tres switches del rack, la idea es que nos quedemos con este y el grande 10/100/1000.
Gracías comprendido, y además por ahora tengo que descartar el RB3011 han decidido usarlo para otra delegación.
Hasta aquí entiendo lo que me dices, vamos a usar un solo puerto trunk para las comunicaciones entre CCR y CSS y todas las Vlan iran por esa conexión. Y si, quisiera sacar del armario los 2 switches pequeñitos y el de 24 puestos 10/100 y dejar solamente el CCR + CSS + Linksys
Antes de montar el equipo, lo primero que tienes que ver es cómo lo vas a conexionar, porque en función de eso haremos la tabla de vlans (pestañas VLAN / VLANs)
ahí ahí planificando primero antes de dar pasos a lo loco. Totalmente de acuerdo.
Yo intentaría ver si "te cabe" toda la red interna en el CSS. Es decir: servidores + empleados + seguridad (AP's, opcionales, ahora te explico). Si eso te cabe, en uno de los puertos del CSS parcheas el otro switch con la VLAN de coworkers y dejas el 10/100/1000 para ese propósito.
A ver esto es lo que no entiendo muy bien. Toda la red interna en el CSS no va a entrar si hablamos de conexiones físicas. al CSS no podríamos conectar 2tomas de seguridad+4servidores+21 tomas de empleados, etc, etc. Te comento que lo normal es que en la red "fisica" de cooworker solo haya 3 ó como mucho 4 despachos derivados. En esta parte me he perdido.
Si por parchear el otro switch estamos hablando de dejar el linksys ahora mismo vacío, conectado solamente a una boca del CCR y el día que algún despacho se vaya a alquilar, en ese momento parcheo desde el panel de parcheo directo a ese switch linksys ¿? esta parte si la puedo entender.
Otra opción es hacer lo mismo, pero con los empleados. Es decir, todo lo demás al CSS, y la VLAN de empleados en modo acceso al switch grande.
Ahora si, eso si lo veo mas factible, te comento que normalmente vamos a tener aquí en la red de empleados siempre mas bocas usadas que en la de coworkers para entenderme yo, siempre vamos a conectar mas cables desde el panel de parcheo hacía la red de empleados que hacia la de coworkers. Entonces si entendería que usaramos en Linksys 10/100/1000 para todas esas tomas de pared de los empleados.

Lo que tienes que tener en cuenta es que al switch grande sólo se le puede entregar tráfico sin tag, o tráfico con tag que sepan recoger equipos como los CAPs (por eso te decía antes que me da lo mismo que los CAP vayan a un switch que al otro; idelamente irían en uno PoE aparte).
OK cuento entonces que los CAP podemos dejarlos conectados al CCR ó al CSS porque los Cap's si distinguien la Vlan id que tienen que recoger. ¿? Si tu no ves inconveniente y teniendo en cuenta que el CSS sería mas "flexible" casi que lo conectaría ahí, salvo que tu me digas que es conveniente dejarlo en el LINKSYS. Y del switch poe, ahora mismo tengo que esperar, no dispongo del mismo y esto tardará un poquito mas.

El CSS, verás que tienes dos puertos SFP+ de 10G. Esos puertos son los que se llaman puertos para "cascada". Normalmente se usan para interconectar con otro switches o con el router principal, siendo las 24 bocas puertos usables que se entregan en modo acceso (listos para pinchar y usar en las distintas VLANs). Quiere decir, que si compraras dos switches más iguales, este iría cosido al router por uno de esos puertos, y encadenado al siguiente por el segundo, y así repetirías la película en el dos, y el tercero se quedaría únicamente con uno de esos puertos usados, o con el segundo puerto de vuelta al router, montando una redundancia.
El cable está pedido y lo tendremos en breve supongo, pero ahora mismo no cuento con él, hemos comentado un par de veces que si podemos dejar hecho el enlace trunk entre CRS y CSS por eth pero teniendo en cuenta dejar configurado sfp10 en CCR y sfp10 en CRS para cuando llegue el cable de fibra.

Al router vamos a intentar llevar una única conexión, de tal manera que aproveches la capa 2 al máximo (recuerda que el tráfico inter-vlan no sube al router), y ese puerto sólo se utilice para intercomunicar VLANs entre sí o para salir a internet. Si tuviera un tráfico descomunal, la única VLAN que quizá merecería la pena que se quedase en el CCR sería la de servidores. Pero como tampoco creo que sea el caso, todo para abajo en un único cable, que le veas la gracia al switch, que para eso es capaz de mover 43Gbps de tráfico. ¿Ves ahora la idea del DAC de 10Gbps? Como únicamente vas a unir esos equipos por un único puerto, mejor que vaya sobrado de capacidad ese enlace.
Ok creo que lo he entendido todo, y sobre todo la importancia del cable de fibra entre el puerto sfp+10 del CCR y uno de los sfp+ del CSS ya te digo que lo mismo no es un tráfico en un cable ethernet de 1Gbps que de 10Gbps pero tengo que resolver ahora con lo que tengo, sin dejar pensado que eso se va a pedir.
Lo primero que vamos a hacer es comunicar este equipo con el otro. Como de momento no tienes el DAC, considero puertos trunk ambos sfp+ (por si el día de mañana te animas y compras otro de estos) y el puerto ether1. Nos quedan 23 puertos de acceso, echa cábalas y dime qué te cabe y qué no.
Pues mira, ya con esto que me dices, voy a hacerme un esquemilla y te lo paso, entendiendo que todo lo que podamos subir al CSS, mejor.

tenemos que configurar el equipo para conectarlo al otro. Lo vas a configurar con los siguientes datos:
voy haciendo estos pasos, pero no me llevo el CSS allí hasta que no tenga claro las redes Vlan que vamos a volcar sobre el mismo y como conexionarlo todo.
Muchas gracias, esto vuelve a tocar otras cervezas sino, malo....
 
A ver otra cuestión referida al reparto. Esta es definitiva, resulta que estaba equivocado, en principio vamos a tener mas coworker que empleados.

12 tomas de pared serán de coworker y 7 de empleados, el tema es que hablando con la dirección del centro para planificar bien como hacemos las conexiones, estos me comentan:
A.- Las tomas de empleado difícilmente se van a cambiar (los despachos de empleados con sus tomas, dificilmente van a pasar a ser despachos de cowork)
B.- Lo que si será mas habitual es que 4 tomas que normalmente serían de cowork, tienen que tener flexibilidad para que puedan funcionar esporádicamente como empleados (esto es la pera pero se de que va, cuando lleguen los becarios de la empresa, si una sala de cowork no está alquilada los meten ahí y requeriran que esas tomas se comporten como empleados.

Habiendo visto esto, y entendiendo además que me interesa tener mas control sobre los cowork (son personas ajenas a la organización) he pensado que el grueso de cowork lo meto en CSS.

De esta forma en CSS metería Seguridad (2 tomas) + Server (5 tomas) + Cowork (12 tomas) + Cap (3 tomas) + eth1 para el trunk serían 23 tomas ETH usadas en el CSS, queda una libre y las dos sfp+ que están reservadas una para la conexión al sfp+ del CCR y otra para una compra a futuro de otro CCS

En el Linksys dejamos las 7 tomas siempre fijas de empleados.

El tema es que pensando en lo que me comentas que el tráfico Vlan no sube al router, me pongo a pensar que entonces me vendría muy bien por velocidad que la red empleados y server estuvieran juntas en el CSS sino, todos los empleados de las oficinas que usan mucho la red server (estación nas y servidores) siempre los voy a obligar a dar saltos desde el linksys pasando por el CCR y hasta la red server por el troncal eth1... puede ser eso un cuello de botella ¿? como lo ves ¿?

dime si voy bien para ir planteando el planito o cambio algo porque no tenga el concepto bien pillado. (para mi el principal concepto es que en el CSS voy a poder coger una toma en particular y cambiarla de una VLAN 107 a una VLAN 106 y así automáticamente esa toma cambiaria de red cowork a red empleado. Es correcto ¿? gracias tio.
 
Última edición:
Bueno pues para que tengamos el mapa mental de como podemos hacerlo Envío 2 imagenes la primera.
COMO ESTÁ AHORA MISMO
RED fisica antes.jpg

Y en segundo lugar el planteamiento "A" dejando solamente la red de empleados (la que menos cambios tendría de las dos redes mas grandes) en Linksys y subiendo todo lo demás al CSS
RED fisica despues_A.jpg

Yo espero tu contestación a ver como ves el planteamiento, antes de empezar.
Un saludo a todos y @pokoyo como siempre nunca me cansaré de agradecerte lo que haces.
 
Todo lo que sea susceptible de cambio, ha de ir en el CSS. Si los empleados no cambian, los empleados al linksys. Pero no directo al router, sino a través del CSS. Es decir, siempre que puedas, Router -> un cable -> CSS (A, B, C , D... et vlans) -> VLAN 107 modo acceso -> Linksys (TODO red de empleados).

Te digo cómo lo haría yo en el CSS

PuertoVLANModoFinalidad
sfpplus199, 105, 106, 107, 108, 200TRUNKFuturo enlace router
sfpplus299, 105, 106, 107, 108, 200TRUNKFuturo enlace otro CSS
ether199, 105, 106, 107, 108, 200TRUNKActual enlace trunk CRS
Futuro puerto libre, cuando venga el DAC. Mgmnt?
ether299TrunkFuturo puerto switch PoE
ether3, ether4108AccesoSeguridad
ether5 - ether9105AccesoServidores
ether10 - ether21107AccesoCoworking
ether22106, 99 (trunk)HíbridoEmpleados (enlace al switch Linksys)
ether231 (Vlan por defecto)AccesoLibre
ether2499AccesoPuerto de management, para configurar el switch

De esta manera aprovechas al máximo los puertos del CSS, teniendo aún algún margen de maniobra con algún puerto libre. El día que compres el switch PoE, con conectarlo a ether2 lo tienes andando. Quitas los inyectores y te llevas los cables del panel de parcheo a ese switch pequeñito, que puede ser incluso NO gestionable, tipo esto, y andando.

El linksys no estará muy ocupado, así que tienes dos opciones cuando te pidan mover una toma a emplados: la lógica y la física. Si usas la lógica, con cambiar el PVID del puerto a la VLAN que quieras, ya la entregarías en modo acceso (muy cómodo, se puede hace en remoto). La física: desconectas el cable de parcheo del CSS y lo llevas del patch pannel al linksys, que tendrá puertos de sobra.

Cuando ether1 se quede libre, puedes entregar en él la vlan 99 en modo acceso, y así tendrías otro puerto libre en el router, donde ya no necesitarías hacer eso en ningún puerto (se lo pones más difícil a cualquiera que le de por conectar un cable al router). De momento lo hago en ether24, tal que cuando actives el management desde esa VLAN en la pestaña System, no te quedes sin acceso a este equipo. Pero, podrías moverlo a futuro a ether1 y dejar 23 y 24 libres.

Y mi recomendación, a futuro: llevaos el linksys a un sitio donde haga más falta, y montar otro CSS/CRS. Y así no vuelves a tocar un cable de parcheo. En empresa, switches gestionables, siempre (mikrotik, o de la marca que sea, pero con soporte para VLANs).

¿Qué, cómo lo ves?

Saludos!
 
Última edición:
Y, teniendo esta tabla, es super sencillo costruir la tabla de VLANs (pestaña con el mismo nombre) del CSS. Simplemente nos fijamos en la columna VLAN de nuestra tabla anterior, y ponemos cada VLAN en una fila. Y vamos marcando los puertos involucrados en dicha VLAN (no importa si son de acceso, trunk o híbridos), y nos sale esta otra tabla (la de los barquitos)

VLANMarcadoDesmarcado
99sfpplus1, sfpplus2, ether1, ether2, ether22, ether24todo lo demás
105sfpplus1, sfpplus2, ether1, ether5, ether6, ether7, ether8, ether9todo lo demás
106sfpplus1, sfpplus2, ether1, ether22todo lo demás
107sfpplus1, sfpplus2, ether1, ether10, ether11, ether12, ether13, ether14, ether15, ether16, ether17, ether18, ether19, ether20, ether21todo lo demás
108sfpplus1, sfpplus2, ether1, ether3, ether4todo lo demás
200 ?sfpplus1, sfpplus2, ether1todo lo demás

Como verás, ni si quiera nos haría falta declarar la VLAN 200, puesto que es una VLAN que sólo existe a nivel inalámbrico, y que sólo el AP va a entregar en modo acceso. A tu elección te dejo si meterla o no en la tabla de VLANs, simplemente, omite esa última línea de esta tabla. Además, como las VLANs que necesita el AP las recibe por un túnel, tampoco hace ninguna falta declararlas aquí en modo acceso, necesitando declararlas únicamente en el bridge del CCR, donde implementamos vlan filtering. Yo, de hecho, ni la metería, y así te aseguras que nadie te va a pinchar un cable con esa VLAN en el CSS.

Teniendo lo anterior, nos queda la pestaña VLAN del CSS. Ahí declararemos en qué modo va cada puerto. Nos saldría esta otra tabla (ignora el "tick" de "force VLAN ID")

PuertoVLAN ModeVLAN ReceiveDefault VLAN ID (PVID)
Port1StrictOnly tagged1
Port2StrictOnly tagged1
Port3StrictOnly untagged108
Port4StrictOnly untagged108
Port5StrictOnly untagged105
Port6StrictOnly untagged105
Port7StrictOnly untagged105
Port8StrictOnly untagged105
Port9StrictOnly untagged105
Port10StrictOnly untagged107
Port11StrictOnly untagged107
Port12StrictOnly untagged107
Port13StrictOnly untagged107
Port14StrictOnly untagged107
Port15StrictOnly untagged107
Port16StrictOnly untagged107
Port17StrictOnly untagged107
Port18StrictOnly untagged107
Port19StrictOnly untagged107
Port20StrictOnly untagged107
Port21StrictOnly untagged107
Port22StrictAny106
Port23OptionalAny1
Port24StrictOnly untagged99
Port Sfpplus1StrictOnly tagged1
Port Sfpplus2StrictOnly tagged1

Significado:
Strict + Only tagged + VLAN por defecto = Trunk
Strict + Only untagged + PVID concreto = Acceso
Strict + Any + PVID Concreto = Híbrido, con acceso sobre la VLAN del PVID
Optional + Any + VLAN por defecto = No trabaja con VLANs (config por defecto)

Y, con esto y un bizcocho, te vas a System y, ahora sí, le cascas la vlan 99 como vlan de administración. A partir de ese momento, sólo llegarás a la administración del switch desde ese puerto o desde los puertos trunk (para que luego el switch sea también administrable desde arriba, desde el CCR).

Saludos!
 
Gracias nuevamente por el curro y el interés que le has echado al tema.

Se va a hacer la configuración punto por punto como indicas aquí. Lo único es que por motivos que no vienen al caso, el sistema nuevo está ya en funcionamiento prestando servicios por VPN a la red de servidores antes de incorporar el CSS y lo reconozco soy un "cagao" y las pruebas en casita y con casera :) por lo que me he preparado unas pruebas previas a hacer el cambio, ya no me puedo permitir irme a lo loco y ponerme a cambiar nada dejando tirados a los usuarios.
Asi que os presento mi equipo de pruebas.
lab mikrotik pruebas.jpg

Voy a replicar (hasta donde pueda) la configuración del CCR que tenemos hasta ahora en éste RB3011 y una vez que esté funcionando, configuraré el CSS exactamente con lo que me ha indicado @pokoyo luego pruebo todo el tema y si todo funciona OK entonces y solo entonces, un Sábado tarde/noche que sería cuando menos afectación tienen los usuarios, me voy para allá a la sala donde está el verdadero CCR y hago el cambio.
Un saludo a todos. Y mi mas sincero agradecimiento a @pokoyo por la labor que realiza en este foro.
 
Pues la primera en la frente como vulgarmente se dice.
Este RB3011 UiAS-RM no hay manera de que entregue direcciones IP. Lo reseteo y no entrega nada en 192.168.88.x Winbox solamente lo encuentra al rato (1 minuto mas o menos) y por la MAC.
Consigo entrar, voy importando poco a poco la programación salvando diferencias cambio de sfp-sfp1 por sfp1 combo por eth10 etc... pero nada de nada, funciona, conecta incluso a internet por pppoe-out1 con la conexión a una ont que tengo y me consta que tiene incluso internet porque hace pines al exterior, pero no hay forma de que entregue una IP local en ninguna de las redes configuradas ni en ninguna de las bocas. No se que le pasa. He probado a upgradear a la V7.2 y nada, no se algo estaré haciendo mal.
 
Puede que ese equipo no tenga script de auto-configuración (suele pasar con los equipos enrracables). En ese caso, has de modificar el export del CCR y cargarlo en el 3011.

No obstante, como la config del switch no es compleja, yo la haría del tirón, y a unas malas la pruebas insitu antes de instalar el equipo de forma final.

Decías que tenías una RBxxx por ahí perdida de backup, con ese también puedes probar el vlan filtering si quieres y hacerle todas las pruebas de marras al CSS.

La config del CSS hazla desde el puerto 23 que queda libre, para que no te falle el último paso donde pones la vlan 99 en modo admin. Sino, es posible que justo en el último paso, pierdas conexión con el switch. Una vez insitu, la administración de ese equipo se haría vía el CCR, o desde puerto 24, donde la vlan base se entrega en modo acceso.

Saludos!
 
Avances en la configuración del switch gestionable CSS326 conectado a un RB3011 (haciendo de CCR1009)
Primero "a"fotillos de las 3 pantallitas del CSS que se han configurado y en el orden que se hizo.
SYSTEM
CRS326_system.png


VLANs (no se ha incluido la Vlan 200 tal y como indicaste)
CRS326_vlans.png


VLAN
CRS326_vlan.png

Vale, hasta aquí todo OK es cierto como dijo @pokoyo que switchos es muy visual en cuanto a configuración (cuidado que otra cosa es saber lo hace cada opción y como planificas el despliegue de la red, el reparto de puertos, etc... a eso no le quito ni pizca de merito al trabajo del compi pokoyo)

Pues el tema no ha sido para nada con el CSS326, siguiendo las indicaciones de pokoyo la configuración estaba hecha en un rato.

La "mandanga" al menos para mi que me considero un ladrillo en entender estos equipos, estaba en que para hacer las pruebas quería configurar el RB3011 como si fuera el CCR1009 para interconectarlos CSS326<->RB3011 y ver así como se comportaban las bocas del CSS326, si entregaban las redes Vlan correspondientes, y hacer una práctica para cambiar de red Vlan 107 a 106 alguna boca del mismo. (flexibilidad para que un puesto físico de un despacho pueda ser empleado (Vlan106) ó coworker (Vlan107) esto era importante para nosotros.

Exporté en un .rsc la configuración actual del CCR1009 y una vez abierto en un editor de textos, fui paso a paso introduciendo la configuración en el terminal del RB3011 (vamos que no penséis que hice un import file y listo) quería ir viendo como según iba añadiendo "líneas" de configuración iba viendo en los menús de Winbox como aparecían los cambios.

Todo muy despacio, todo intentando entender una vez mas como está configurado el CCR1009. Iba haciéndolo por apartados:
/caps-man channel y todas sus líneas, /interface bridge y todas sus líneas, etc... teniendo en cuenta las diferencias físicas entre un CCR1009 y un RB3011 y me estoy refiriendo al puerto combo1-ETH que hay en el CCR1009 y que actualmente se usa para la red Vlan108 (seguridad) y que repliqué en el ETH10 del RB3011 así como el puerto sfp-sfpplus1 del CCR1009 y el sfp1 del RB3011 puerto que se usará para interconectar mediante DAC el router con el switch.

Bueno pues compis que lo tuve que hacer todo hasta 3 veces, estuve todo el domingo liado porque el RB3011 no funcionaba ni para atrás con la configuración que replicaba del CCR1009 ningún puerto entregaba direcciones IP era como si el DHCP server estuviera muerto ni se conectaban entre si el CSS y el RB3011 solo conseguía conectarme al RB3011 por la MAC y según en que bocas del mismo, metía las líneas de configuración mirando si es que daba errores al introducirlas !NO! no había errores, todo se iba replicando bien, pero el RB3011 no funcionaba.

Como soy un poco "cabezota" y después de mirar todas las pantallas del Winbox en el RB3011 y comparándolas con las del CCR1009 lo único que encontraba era una direferencia y mira que ya la había comentado antes, pero......
es esta:->
icono switch.png


Claro claro la mayor parte de los routerboard llevan "switch chips", en particular el RB3011 lleva 2 según Mikrotik QCA8337 para (ether1-ether5) y QCA8337 para (ether6-ether10) que generalmente tienen una opción para cambiar VLAN a nivel de hardware.

RB3011_switch.png


hasta aquí vale, pero es que el CCR1009 no lleva switch chip vamos que según nuevamente la información oficial de Mikrotik dice:

No switch-chip - the device now features only fully independent Ethernet ports each with a direct connection to the CPU, allowing to overcome previous shared 1Gbit limitation from switch-chip ports and utilize full potential of CPU processing power on those ports.

bueno pues sin saber muy bien lo que estaba haciendo, sinceramente, para que voy a mentir, probé a poner esto en el apartado switch -> port habiendo leído un poco en el manual de Mikrotik.
RB3011_switch_port.png

Y vualáaaaa todo comenzó a funcionar. el RB3011 ya entregaba las direcciones IP de las redes Vlan servers, empleados, coworkers y seguridad en los puertos indicados, así me que lancé y conecté nuevamente el puerto eth1 del css326 al eth6 del rb3011 como teníamos previsto, pero el css no funcionaba correctamente, luego hilando un poco pensé que era el puerto eth4 del rb3011 el que al igual que en el ccr1009 tenía entendido que habíamos dejado de trunk pasando todas las vlan por el mismo.
Otra vez vualaaaa efectivamente al conectar ya por fin el eth1 del css326 al eth4 del rb3011 todo ha empezado a funcionar. las diferentes bocas del css entregan las direcciones ip de las redes correspondientes (99 por ningún lado eso si) si hago cambios de asignación de vlan en cualquier puerto del css, automáticamente se entrega en ese puerto la red indicada. RESUMIENDO UNA PASADA. Lo que para otros puede parecer muy muy simple, para mi es un mundo de posibilidades.

Bueno pues ahora viene el feedback, lo único que no he podido testear es si en la boca ether22 del CSS326 (106, 99 (trunk) Empleados (enlace al switch Linksys) y que actualmente en la configuración de pruebas está a conectado un switch normal no gestionable se entregará la red 99 según la config que hemos metido, este puerto es "Strict + Any + PVID Concreto = Híbrido, con acceso sobre la VLAN del PVID" o sea es TRUNK para el 99 y virtual para la indicada que es la V106 y ciertamente en cualquiera de los puertos del switch accesorio entrega direcciones de la red V106 pero no tengo dispositivo para forzar que trabaje en la V99 y comprobar así el tema, entiendo que los CAPac como están "forzados" a currar en esa V99 funcionarán.

Un Saludo a todos, sorry por el chorizo que os he escrito pero a lo mejor algún día le viene bien a alguien. @pokoyo ERES UNA MAQUINA. :)
 
Arriba