Сегменты и последняя миля mesh (ретранслятор)

[dimka]

Есть mesh-сеть, состоящая из контроллера Keenetic Giga (KN-1011) и ретранслятора по WiFi Keenetic Air (KN-1611)
Прошивки на обоих 3.8.0 (но, как понимаю, что и на 3.7 будет аналогично)

Есть сегмент сети, допустим, TEST
предполагается, что в него будут входить как беспроводные устройства, так и проводные клиенты

Проблема
Возможно ли реализовать, чтобы устройство, подключенное к физическому порту ретранслятора, входило в сегмент TEST, но при этом ретранслятор по-прежнему оставался базовой мэш-станцией для сегмента домашней сети.

Т.е. если еще проще объяснять - на ретрансляторе не хватает назначения физических портов сегментам, отличным от домашней сети.

В настройках ретранслятора сегмент виден (и то только после включения в сегменте WiFi), но настройка портов и VLAN при этом неактивна, т.е. принадлежность портов передается с контроллера в неизменном виде на ретранслятор

• Пробовал назначать физический порт в контроллере на сегмент TEST (предполагая, что эти настройки пойдут и на ретранслятор), но на ретрансляторе устройство по-прежнему остается как подключенное проводом в сегменте Домашней сети.
• Пробовал назначать фиксированный IP из диапазона сегмента TEST и настраивать маршрут. Контроллер игнорирует статический IP из списка устройств (в своих настройках) и все равно выдает ему по dhcp адрес из сегмента домашней сети.
• Пробовал прописывать в настройках самого устройства ip из диапазона сегмента TEST (с маршрутом на контроллере и без), результат - потеря связи с устройством.

Задача - именно развести все устройства по изолированным сегментам. Понимаю, что скорее всего можно устроить полный коммунизм через no isolate-private, чтобы все виделось ото всюду, но тогда смысл сегментов полностью теряется.

Это вообще реализуемо? 

 

 

 

[81Runner]

21 час назад, mrGhotius сказал:

Хм...а конфигурацию сохраняете командой system configuration save ?

да, так. но видимо ретранслятор получает конфиг от контроллера при загрузке, а как на контроллере это закрепить в качестве конфига для ретранслятора я ХЗ.

 

21 час назад, mrGhotius сказал:

Так оставьте порт в нетегированом vlan1 и добавьте в vlan2 с тегом. Или сделайте отдельную сеть управления для точек, у вас же коммутаторы не в "Домашней/Гостевой" "сидят".

делал и таким образом. но фишка в том что кинетик на vlan1 не ставит тэги и трафик этого влана дальше за коммутаторы не уходит.  а порты коммутаторов куда воткнуты кинетики находятся в режиме trunk, тк иначе vlan2 не будет ходить. 

и при чём трафик vlan2 ходит нормально, ретранслятор его отрабатывает ставит тэги всё норм, но из mesh пропадает тк его родной vlan1 не ходит,

тк ретрансляторы не ставят на него теги. 

поддержка написала типа ставьте на коммутаторах куда подключены кинетики режим порта access, но как тогда вторую сеть передавать?

у нас типа такой схемы реализовано, только вместо микротиков мы кинетики купили 🤦‍♂️ и управляемых коммутаторов SW больше и WIFI точек побольше

 

[81Runner]

вобщем потихоньку начинаю разбираться что к чему. тех под кинетика дали некоторые объяснения. mesh использует у них связку STP/LLDP для своей работы. "нужно прозрачное прохождение BPDU/LLDP между узлами wi-fi системы. общая рекомендация гласит отключить все разновидности STP на коммутаторах".

так же для работы mesh кинетики используют vlan1 как служебную "транспортную" сеть, и не умеют ставить на ней тэги при работе mesh.

на других сегментах/сетях контроллера(у меня это vlan4 и vlan5) тэги ставятся прекрасно и переносятся на ретрансляторы тоже. соответственно на L2 коммутаторах нужно настраивать порты в которые воткнуты кинетики как trunk для vlan-ов рабочих сетей, и как access для транспортного vlan1 mesh-сети, типа native vlan получается.

пока не понял можно ли поменять этот vlan1  на другой ID, но скорее всего нет. тк это какой-то костыль зашитый в логику. "Для работы WiFi-системы (взаимодействие между контроллером и захваченными ретрансляторами) нужен Bridge0/Vlan1 (основной сегмент локальной сети) без тега"

и видимо мне светит перетрести все наши коммутаторы на предмет смены vlan1 - тк у нас он используется для local_net.

как проверю всё это в работе, напишу что получилось.

 

и вобще конечно странно, что нужно всю локалку переделывать под работу кинетиков, и что нельзя никак классическим образом настроить этот mesh-vlan1  сделав его тегированным. хотя если через cli делать, то и на контроллере его можно сделать например тегированным vlan1000 и на ретрансляторах через cli тоже vlan1000-tag и всё прекрасно работает и видит друг друга, но всё это до ближайшей перезагрузки.  никакие save не помогают, настройки упорно возвращаются к vlan1 без тэга. где-то оно в логике работы в коде OS похоже зашито.

 

Изменено 10 часов назад пользователем 81Runner

[mrGhotius]

11 часов назад, 81Runner сказал:

делал и таким образом. но фишка в том что кинетик на vlan1 не ставит тэги и трафик этого влана дальше за коммутаторы не уходит.  а порты коммутаторов куда воткнуты кинетики находятся в режиме trunk, тк иначе vlan2 не будет ходить. 

Ну так и передавайте vlan1 между коммутаторами в trunk'е, а на порту, куда подключен ретранслятор, тег снимайте.

 

11 часов назад, 81Runner сказал:

поддержка написала типа ставьте на коммутаторах куда подключены кинетики режим порта access, но как тогда вторую сеть передавать?

С тегом.

Изменено 31 минута назад пользователем mrGhotius