Вопрос по сегментам

[Pchib]

Товарищи, помогите, пожалуйста, с сегментами разобраться.
Понятно, но как-то не до конца.
Стандартный кейс: нужно добавить еще 1 сегмент для умного дома и, в будущем, еще 1 для видеонаблюдения.
Путем проб и ошибок я пришел к такой конфигурации (для умного дома).
Все работает, но есть у меня сомнение правильно ли это настроено.
Больше всего меня смущает, что я не понимаю смысла в настройке "Входит в сегмент с VLAN".
Изначально я думал, что нужно взять порты на Кинетике и отнести каждый к своему сегменту, каждый порт входит в свой сегмент, а для других сегментов он не входит в этот  сегмент.
Но оказывается, что в таком варианте устройства из сегмента Умный дом не выходят в интернет (
Что-то не так делаю?
На картинке настройки, как работает.

В 4-й порт подключен ZigBee Hub.

Изменено 13 февраля пользователем Pchib

[bigpu]

14 минут назад, Pchib сказал:

Но оказывается, что в таком варианте устройства из сегмента Умный дом не выходят в интернет

Спойлер

 

Для сегмента IoT назначен 4-ый порт, как видно, выход в интернет на нем работает.

[mrGhotius]

16 минут назад, Pchib сказал:

Больше всего меня смущает, что я не понимаю смысла в настройке "Входит в сегмент с VLAN".

Это значит, что тег не снимается, а передается дальше.

У вас MESH?

 

[Pchib]

Только что, bigpu сказал:

Для сегмента IoT назначен 4-ый порт, как видно, выход в интернет на нем работает.

Ну да, так и планировалось.  Значит все правильно

Я просто был уверен, что нужно выставлять только входит в сегмент или не входит. А входит в сегмент с VLAN  как-то не до конца понятно, что происходит. )

[Pchib]

Только что, mrGhotius сказал:

У вас MESH?

Нет, просто еще 1 сегмент, где Wi_Fi устройства умного дома + в порт подключен Zigbee hub, отнесенный мной по логике в этому же сегменту.

[bigpu]

Только что, Pchib сказал:

Ну да, так и планировалось.  Значит все правильно

Домашняя сеть только у вас с VLAN зачем-то, а у сегмента Умный дом как раз "VLAN ID Не используется"

[Pchib]

Т.е., если я делаю еще 1 сегмент для видеонаблюдения, с камерами и регистратором, подключенным к 3-му порту, то для просмотра их через интернет правильная будет такая конфигурация?

 

[Pchib]

2 минуты назад, bigpu сказал:

Домашняя сеть только у вас с VLAN зачем-то, а у сегмента Умный дом как раз "VLAN ID Не используется"

А по другому не получается.
Роутер сам так проставляет VLAN, я руками ничего не правлю.

[bigpu]

1 минуту назад, Pchib сказал:

Т.е., если я делаю еще 1 сегмент для видеонаблюдения, с камерами и регистратором, подключенным к 3-му порту, то для просмотра их через интернет правильная будет такая конфигурация?

вы мои скрины видели, читали описание?

[bigpu]

Только что, Pchib сказал:

Роутер сам так проставляет VLAN, я руками ничего не правлю.

У Домашней сети по-умолчанию нет VLAN в морде, он идет на доп сегментах:

Спойлер

 

[Pchib]

1 минуту назад, bigpu сказал:

вы мои скрины видели, читали описание?

скрины где?

[bigpu]

2 минуты назад, Pchib сказал:

скрины где?

под спойлером "показать контент" 😂

[Pchib]

1 минуту назад, bigpu сказал:

под спойлером "показать контент" 😂

С запозданием  ответы )

5 минут назад, bigpu сказал:

У Домашней сети по-умолчанию нет VLAN в морде, он идет на доп сегментах:

Как только на другом сегменте порту назначаешь "Входит в сегмент с VLAN|", то у домашней сети сразу появляется назначение VLANa
Вот на другом роутере для теста проверил.
Добавил Сегмент 3 и сразу для всех создались VLAN
Правда, почему для дополнительных сегментов на первом кинетике не создались VLAN не понимаю. Руками я их точно не проприсывал, только конфигурацией портов.

[Pchib]

4 минуты назад, Pchib сказал:

Правда, почему для дополнительных сегментов на первом кинетике не создались VLAN не понимаю. Руками я их точно не проприсывал, только конфигурацией портов.

Пропадает, как только указываю, что 1-й порт не входит в выбранный сегмент

Изменено 13 февраля пользователем Pchib

[bigpu]

4 минуты назад, Pchib сказал:

Вот на другом роутере для теста проверил.

вы сегменты настраиваете на роутере-контроллере или ретрансляторе?

[mrGhotius]

5 минут назад, Pchib сказал:

Вот на другом роутере для теста проверил.

А этот другой роутер кудо-то подключен?

[Pchib]

1 минуту назад, bigpu сказал:

вы сегменты настраиваете на роутере-контроллере или ретрансляторе?

У меня 1 роутер в каждой локации. Они не связаны.

1 минуту назад, mrGhotius сказал:

А этот другой роутер кудо-то подключен?

К интернету. Это роутер из другой локациию. На нем не настроено никаких сегментов, поэтому взял для чистоты эксперимента.

[vasek00]

1 час назад, Pchib сказал:

Больше всего меня смущает, что я не понимаю смысла в настройке "Входит в сегмент с VLAN".
Изначально я думал, что нужно взять порты на Кинетике и отнести каждый к своему сегменту, каждый порт входит в свой сегмент, а для других сегментов он не входит в этот  сегмент.
Но оказывается, что в таком варианте устройства из сегмента Умный дом не выходят в интернет (

1. Home сегмент

Спойлер

interface Bridge0
    rename Home
    description HomeLan
    inherit GigabitEthernet0/Vlan1
    include AccessPoint
    include AccessPoint_5G

Где в GigabitEthernet0/Vlan1 входят LAN 
interface GigabitEthernet0/1 (rename 2), interface GigabitEthernet0/2 (rename 3), interface GigabitEthernet0/3 (rename 4)

DHCP
ip dhcp pool _WEBADMIN_HOME
    range 192.168.13.160 192.168.13.190
    default-router 192.168.13.96
    dns-server 192.168.13.96
    lease 86400
    bind Home
    enable

 

2. Умный сегмент

Спойлер

interface Bridge1
    description HomeSmart
    include GigabitEthernet0/Vlan3
    include Smart

Где GigabitEthernet0/Vlan3 это LAN порт

interface GigabitEthernet0/4
    rename 5
    switchport mode access
    switchport mode trunk
    switchport access vlan 1
    switchport trunk vlan 3
    up

DHCP для данного сегмента
ip dhcp pool _WEBADMIN_BRIDGE1
    range 192.168.15.70 192.168.15.90
    default-router 192.168.15.96
    dns-server 192.168.13.96
    lease 86400
    bind Bridge1
    enable

На данном LAN порту - vlan3 и vlan1, vlan3 для связи с дургим роутером, т.е. умный сегмент не на одном роутере.

3. NAT

Спойлер

ip nat Home
ip nat Bridge1

4. Все клиенты зарег (умные в умном)

Спойлер

1.
ip hotspot
    policy Home deny
    policy Bridge1 deny
...
    host 1c:90:xx:xx:xx:0f permit
...
    host 1c:90:xx:xx:xx:b9 permit
...

2.
known host Roxima-wlan0 1c:90:хх:хх:хх:0f
...
known host Roxima-wlan9 1c:90:хх:хх:хх:b9
...

3.
ip dhcp host 1c:90:хх:хх:хх:0f 192.168.15.5
...
ip dhcp host 1c:90:хх:хх:хх:хх:b9 192.168.15.11
...

 

По барабану где умные устройства, хоть в политике по умолчанию или в созданной (где другой канал интернета)

Спойлер

И кому как нужно

Спойлер

 

Изменено 13 февраля пользователем vasek00

[Pchib]

6 часов назад, vasek00 сказал:

1. Home сегмент

Спасибо.
Понятно, что через CLI можно почти все настроить.
Меня больше интересовал вопрос,правильно ли  я сконфигурировал сегменты штатным интерфейсом. Судя по всему правильно.
Или есть какие-то подводные камни в таком варианте?

[KeenTaur]

15 часов назад, Pchib сказал:

Т.е., если я делаю еще 1 сегмент для видеонаблюдения, с камерами и регистратором, подключенным к 3-му порту, то для просмотра их через интернет правильная будет такая конфигурация?

 

Рекомендую все же немного почитать про VLAN и тегирование, чтобы делать не методом тыка, а хотя бы научного тыка

Давайте посмотрим на этот ваш скриншот. На данный момент, он же актуален? На мой вкус, в настройках сегментов "Умный дом" и "Видеонаблюдение" я все-таки явно задал бы номера VLAN для них.

Правильно ли вы настроили работу портов с сегментами зависит от того, что и как у вас к этим портам подключено. Умеют ли там устройства работать с тегированными VLAN, настроены ли они на работу с тегами? Предлагаю пойти "от портов"

Порт 4. К нему у вас подключены устройства Умного дома. Насколько необходимо вам передавать через Порт 4 сегмент "Домашняя сеть" в тегированном виде (T)? У вас к там ZigBee Hub. Я не очень в курсе, что это за зверь (ну контроллер для умного дома). Ему самому или устройствам к нему присоединенным нужен Доманшний сегмент? "Нет" - вычеркиваем Домашний сегмент (выбрать "прочерк") на порту 4.

Порт 3. К нему у вас подключены устройства видеонаблюдения. Видеорегистратор? Тот же вопрос про сегмент "Домашняя сеть": надо ли вам передавать через Порт 3 Домашнюю сеть в тегированном виде (T)? Вероятно, Порт 3 также можно исключить из домашнего сегмента (выбрать "прочерк").

Порты 2 и 1. Вы передаете через них сегмент "Гостевая сеть" в тегированном виде. У вас есть на этих портах устройства, которые должны находиться в гостевом сегменте? "Нет" - вычеркиваем.

Про тегированные VLAN вспоминаем, если через один порт надо будет передать несколько сегментов. При этом, непосредственно к порту будут подключены устройства, умеющие работать с тегированными VLAN. Например, IP-телефон, ретранслятор, коммутатор (в том числе, программные), IPMI.

Далее. Доступ с устройств в различных сегментах в интернет, доступность их из интернета и других сегментов зависит от множества факторов. Предположим, vlan'ы мы настроили. Впереди еще ip-адресация, маршрутизация, межсетевой экран...

[KeenTaur]

18 часов назад, Pchib сказал:

Больше всего меня смущает, что я не понимаю смысла в настройке "Входит в сегмент с VLAN".

А, да! надо было пояснить этот момент. "Входит в сегмент с VLAN" как раз и означает, что через этот порт Ethernet-кадры указанного сегмента передаются с тегом, в котором указан номер VLAN, за счет чего такие кадры имеют немного больший размер, чем нетегированные. Устройство, подключенное к этому порту и желающее работать в сегменте с VLAN, должно уметь понимать тегированные VLAN и должно быть настроено на работу с нужным VLAN.

Просто "Входит в сегмент" - Ethernet-кадры, относящиеся к данному сегменту, передаются без дополнительного  тега с номером VLAN.

Изменено 14 февраля пользователем KeenTaur

[Pchib]

1 час назад, KeenTaur сказал:

Давайте посмотрим на этот ваш скриншот. На данный момент, он же актуален?

Спасибо большое за развернутый ответ!
Я попробую еще раз поиграться с настройками на тестовом роутере, но когда я настраивал в прошлый раз эта конфигурация единственная, которая оказалась рабочей.  Отпишу по факту.

По сути мне надо + 2 изолированных сегмента (умный дом и видеонаблюдение), устройства из которых должны уметь выходить в интернет.

Настройки для сегментов с доступом по WiFi расписаны, а вот с портами как-то подробностей не хватает .

Вот статья, где настройка расписывается. Если исходить из нее, то надо просто одни порты подключить к одному сегменту, другие к другому и будет 2 ЛВС и обе с выходом в интернет. Но это так не работает. И приходтся эксперементировать с VLAN/

[Pchib]

1 час назад, KeenTaur сказал:

Предположим, vlan'ы мы настроили. Впереди еще ip-адресация, маршрутизация, межсетевой экран...

Или надо настроить порты вот так, а потом настраивать МСЭ?

Спойлер

 

Изменено 14 февраля пользователем Pchib

[KeenTaur]

6 минут назад, Pchib сказал:

Или надо настроить порты вот так, а потом настраивать МСЭ?

Да, на данный момент по вашему описанию я бы сделал именно так. При этом, imho, сейчас у вас не должно было ничего измениться с точки зрения доступа устройств в интернет.

Умный дом. Датчики подключены по wifi, который соответствует сегменту "Умный дом".  ZigBee Hub подключен к порту 4 маршрутизатора. VLAN, допустим, Z. Адресация, пусть будет, 192.168.z.0/24, адрес роутера в этом сегменте (=шлюза для устройств в этой подсети), например, 192.168.z.1. Использовать NAT. (номер vlan и цифирьки в адресации могут и не совпадать, но так мне, например, удобнее)

Видеонаблюдение. wifi ip-камеры подключены по wifi, который соответствует сегменту "Видеонаблюдение".  Видеорегистратор подключен к порту 3 маршрутизатора. VLAN, к примеру, X. Адресация, допустим, 192.168.x.0/24, адрес роутера в этом сегменте (=шлюза для устройств в этой подсети), допустим, 192.168.x.1 Использовать NAT.

К портам 1 и 2, предположим, подключены компьютер и телевизор, входящие в сегмент "Домашняя сеть".

Если захочется из Домашнего сегмента смотреть записи с регистратора, значит для Домашнего сегмента настраиваем фаервол.

 

PS статья наверняка правильная, скорее всего, что-то упустили при настройке.

[Pchib]

7 минут назад, KeenTaur сказал:

Да, на данный момент по вашему описанию я бы сделал именно так. При этом, imho, сейчас у вас не должно было ничего измениться с точки зрения доступа устройств в интернет.

Спасибо. Т.е. без настройки МСЭ должен быть доступ из всех сегментов к интернету?
Еще раз проверю. Я изначально так делал, но не было доступа к интернету из сегментов, насколько я помню. Но  еще раз проверю.
 

[Pchib]

31 минуту назад, KeenTaur сказал:

Да, на данный момент по вашему описанию я бы сделал именно так. При этом, imho, сейчас у вас не должно было ничего измениться с точки зрения доступа устройств в интернет.

Спасибо огромное!!! Действительно, заработало все как надо!

Странно, что изначально не получилось так (есть подозрение, что надо было либо перегрузиться, либо устройство к порту переподключить)

[KeenTaur]

48 минут назад, Pchib сказал:

Спасибо. Т.е. без настройки МСЭ должен быть доступ из всех сегментов к интернету?

Для "типового" подключения - да. Важно не забыть для сегмента разрешить Использовать NAT и правильно указать шлюз.

26 минут назад, Pchib сказал:

Действительно, заработало все как надо!

Как говориться: "Вот и славно, трам-пам-пам!". Пожалуйста!