• 746

[研究所] MikroTik RouterOS 學習 (持續更新)

gfx worte:
我可能丟太多資訊給您...(恕刪)


來報告一下進度:

目前的設定還沒執行gfx友人的設定
先來把Bridge-Lan的protocol mode改為none
這時候進到bridge port看竟然發現 H出現 Hw亮了!
看status 竟然Hw打勾了
而且更神奇的是 Hw Group自行分組了
目前Bridge還是原始單一個的 尚未進行根據switch chip的分組
可是status的Hw group 自行按照port 分成switch 1 和switch 2了
OMG
真是太好玩了





另外可惜的一點是…
按照gfx最新提供的友人設定方式 搭配上protocol mode改為none
舊的無vlan ssid可以順利上網了 但新的vlan ssid還是無法上網
且 無vlan ssid這個 竟然變成使用設定要給vlan ssid使用的ip
看來這塊還要繼續努力
來研究一下wiki資料
east09 worte:
來報告一下進度:目前...(恕刪)
不是vlan的方式不行,而是您沒照規矩來


Hardware Offload打勾後,ethernet變成RTL8367管理。
Bridge-Lan裡的vlan表 與vlan-filtering是屬CPU,當然會沒作用

請關閉Hardware Offload後驗證。
gfx worte:
不是vlan的方式不...(恕刪)


您好:
確認關閉後再測試,另外也關閉protocol mode
目前的結果是
新的DHCP有作用,但是還是作用在原本可行的ssid上
有設置vlan的ssid沒有配發到
且都無法上網 OTZ

看到gfx提供的方式及wiki
我現在有在試著參考有關vlan-filtering方面下去寫看看
嘗試中!
east09 worte:
您好:確認關閉後再測...(恕刪)

您把vlan100的interface從Bridge-Lan再改回ether2 ,

然後將Bridge-Lan的 vlan表,將vlan-ids=100這規則直接關掉。
(不需要經過 關閉vlan-filtering再設定的動作,直接關掉這規則)
您看會如何?

還有無法上網應該只有vlan100吧,lan(Lan-Dhcp)應該沒影響
gfx worte:
您把vlan100的interface...(恕刪)


您好:
這樣子可以上網了 Lan 和 原有無vlan ssid都可以
但是vlan ssid這部份還是不行
只是DHCP變成vlan的在派發ip 不是原有的

另外發現 設備接上vlan ssid的時候
log有顯示assigned ip 出去 但是設備端一直沒有收到
只是他發的ip 是和上段所言 都變成同一個新的dhcp了
這樣也失去分兩個網段的用意 OTZ

不過似乎vlan-filtering的確是解決的方向
有點意外這樣子的問題竟然佔了這麼多頁 QQ 真不好意思
各位先進:

感謝大家的協助與指導,特別是gfx大,
昨日夜間意外發現有個設備端的問題,
而影響了整個網路的運作,
目前正處理該設備運作的方向執行中,
已經在某些狀況下可正常運作Vlan 及配發ip了
還不敢說全面可行,還在測試
設定的方向是以vlan-filtering的方式執行
感謝各位的指導,讓我了解很多


另外想請教的部份是
在某些正常運作的情況下
我發現兩個子網域是可以互連的,即便他們是不同Vlan
這個部份要阻擋應該是使用Firewall的方式即可? Drop即可?
好像之前的討論串有… XD
east09 worte:
各位先進:感謝大家的...(恕刪)



來源in-interface=lan 也可以用src-address=192.168.9.0/24 替代;

但 目的dst-address=192.168.100.0/24 不能用out-interface=vlan100替代,
是因chain=prerouting的關係。這是linux防火牆對鏈(chain)的定義,您無法打破。
gfx worte:
來源in-interface...(恕刪)


因為RB4011後方還會有接switch
阿…是不是這樣子後方自己就可以互通 不會經過router?
使得這條規則失效?
east09 worte:
因為RB4011後方...(恕刪)
不同網段的ip可以透過防火牆(layer3)過濾;
(因遞封包一定會向Router路由表做下個跳躍的查尋,
所以不管是Router上或是Switch上的一定都管理的到)

但同網段就不是layer3的管轄,是更低階的layer2。
而layer2的過濾不能用ip方式,
需透過bridge橋接器filter進行,而且只能用mac-address。



但需注意的是封包需經過Router,Router才能介入。
若是傳輸是發生在同台Switch上,流量沒進Router,這filter是無效的。
gfx worte:
不同網段的ip可以透...(恕刪)
但需注意的是封包需經過Router,Router才能介入。
若是傳輸是發生在同台Switch上,流量沒進Router,這filter是無效的。


感謝~
這的確又是另外一個思考要怎麼處理的問題了
  • 746
評分
複製連結
請輸入您要前往的頁數(1 ~ 746)