Auteur Sujet: Switch Mikrotik CRS-305 (pour HSGMII, Cos 6) devant n'importe quel routeur/fw (Lu 6345 fois)

B3nJ1 · « **Réponse #12 le:** 16 mai 2023 à 08:56:06 »

Avec mon CRS309 (qui reçoit l'ONT Leox via un adatpateur S+RJ10) et un RB5009 (connecté en SFP+ sur le switch), j'ai bien ~2200Mbps en download. Le CPU se tourne les pouces.

J'ai activé l'offload hardware, il fait aussi du routage intervlan à 10Gbit/s sans charger le CPU.

nonosch · « **Réponse #13 le:** 16 mai 2023 à 11:35:49 »

Citation de: fttmeh le 16 mai 2023 à 08:36:51

Avec tes deux bridges, tu sépares bien le trafic LAN et WAN.

Tu peux faire un seul bridge, ensuite séparer le trafic LAN et WAN avec des VLANs, et pour améliorer la sécurité, isoler les ports WAN pour qu’ils ne puissent communiquer qu’entre eux (https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features).

Pour avoir une bonne performance, il te faut le CCR2004 pour le routage et le CRS pour avoir plus de 1 Gbps sur le lien WAN.

Ok

je vais voir ça selon tes indications
(bon ça risque de me prendre un peut/beaucoup de temps

mais instructif

)

nonosch · « **Réponse #14 le:** 16 mai 2023 à 12:19:12 »

Du coup la config serai :

Code: [Sélectionner]

/interface bridge
add admin-mac=18:FD:74:00:BB:35 auto-mac=no comment=defconf name=bridge
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether1
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus1 \
    pvid=100
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus2 \
    pvid=100
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus3
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus4
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus5
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus6
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus7
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus8
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes
/ip dhcp-client
add interface=bridge

et pour l'isolation des deux groupes de ports

Code: [Sélectionner]

/interface ethernet switch port-isolation
set 0 forwarding-override=sfp-sfpplus2
set 1 forwarding-override=sfp-sfpplus1
set 2 forwarding-override=\
    sfp-sfpplus4,sfp-sfpplus5,sfp-sfpplus6,sfp-sfpplus7,sfp-sfpplus8,ether1
set 3 forwarding-override=\
    sfp-sfpplus3,sfp-sfpplus5,sfp-sfpplus6,sfp-sfpplus7,sfp-sfpplus8,ether1
set 4 forwarding-override=\
    sfp-sfpplus3,sfp-sfpplus4,sfp-sfpplus6,sfp-sfpplus7,sfp-sfpplus8,ether1
set 5 forwarding-override=\
    sfp-sfpplus3,sfp-sfpplus4,sfp-sfpplus5,sfp-sfpplus7,sfp-sfpplus8,ether1
set 6 forwarding-override=\
    sfp-sfpplus3,sfp-sfpplus4,sfp-sfpplus5,sfp-sfpplus6,sfp-sfpplus8,ether1
set 7 forwarding-override=\
    sfp-sfpplus3,sfp-sfpplus4,sfp-sfpplus5,sfp-sfpplus6,sfp-sfpplus7,ether1
set 8 forwarding-override="sfp-sfpplus3,sfp-sfpplus4,sfp-sfpplus5,sfp-sfpplus6\
    ,sfp-sfpplus7,sfp-sfpplus8"

me reste plus qu'a tester

Edit : c'est ok pour les débits (juste l'upload dans les choux mais je devrai le récupérer dans plus de 24h ,pb connu avec l'ont FS chez Bouygues, si j'ai bien suivi )
et le cpu du CRS309 respire mieux du coup

Code: [Sélectionner]

  Server: LaFibre.info - Douai (id: 4010)
         ISP: Bouygues Telecom
Idle Latency:    14.98 ms   (jitter: 0.06ms, low: 14.95ms, high: 15.05ms)
    Download:  1908.15 Mbps (data used: 2.3 GB)
                 54.42 ms   (jitter: 42.07ms, low: 15.22ms, high: 337.23ms)
      Upload:   220.53 Mbps (data used: 197.8 MB)
                 33.63 ms   (jitter: 1.16ms, low: 17.01ms, high: 37.55ms)
 Packet Loss:     0.0%

Merci beaucoup pour ton aide

Jimbo-77 · « **Réponse #15 le:** 16 mai 2023 à 13:57:48 »

Je suis actuellement en train de voir pour mettre une configuration similaire avec un CRS305 qui porte l’interface wan avec un RB5009 derrière.
Le truc c’est que je galère avec le trunk entre les deux devices et donc la disponibilité du réseau lan sur le CRS.

Donc je serai preneur de vos conf respectives 😊

nonosch · « **Réponse #16 le:** 16 mai 2023 à 14:15:21 »

Mes conf sont dans les post précédent mais je suis chez Bouygues donc vlan 100 pour le Wan

Si je fais pas d'erreurs, dans ton cas il faut que tu mette en place un bridge avec l'adresse lan donnée par ton routeur (dans mon cas 192.168.6.0 )

puis que tu prenne 2 ports qui te serviront pour le lan 832 et que tu leurs donne le lan pour Orange et que tu mette en place la cos6 pour ces 2 ports comme indiqué dans la post original

puis il faut isoler les 2 ports pour la connection wan des autres ports avec les régles forwarding-override.

Le 2eme port du groupe wan relié au port wan du rb5009 et un de tes autres port relié à un port lan de ton rb5009

Jimbo-77 · « **Réponse #17 le:** 16 mai 2023 à 14:26:29 »

Citation de: nonosch le 16 mai 2023 à 14:15:21

Mes conf sont dans les post précédent mais je suis chez Bouygues donc vlan 100 pour le Wan

Si je fais pas d'erreurs, dans ton cas il faut que tu mette en place un bridge avec l'adresse lan donnée par ton routeur (dans mon cas 192.168.6.0 )

puis que tu prenne 2 ports qui te serviront pour le lan 832 et que tu leurs donne le lan pour Orange et que tu mette en place la cos6 pour ces 2 ports comme indiqué dans la post original

puis il faut isoler les 2 ports pour la connection wan des autres ports avec les régles forwarding-override.

Le 2eme port du groupe wan relié au port wan du rb5009 et un de tes autres port relié à un port lan de ton rb5009

Merci pour le feedback. Je vais regarder ça ce week-end.
Par contre, je galère déjà avec les interfaces, vlan, bridge, vlan interface, vlan bridge et là tu m'ajoutes les isolations de ports...

Je sens que ça va être joyeux

.

nonosch · « **Réponse #18 le:** 16 mai 2023 à 14:41:05 »

Ben perso je suis aussi en mode apprentissage

fttmeh · « **Réponse #19 le:** 16 mai 2023 à 21:07:33 »

Citation de: nonosch le 16 mai 2023 à 12:19:12

/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether1
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus1 \
pvid=100
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus2 \
pvid=100
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus3
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus4
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus5
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus6
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus7
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus8
et pour l'isolation des deux groupes de ports

Code: [Sélectionner]
/interface ethernet switch port-isolation set 0 forwarding-override=sfp-sfpplus2 set 1 forwarding-override=sfp-sfpplus1
Edit : c'est ok pour les débits (juste l'upload dans les choux mais je devrai le récupérer dans plus de 24h ,pb connu avec l'ont FS chez Bouygues, si j'ai bien suivi )
et le cpu du CRS309 respire mieux du coup

La conf a l'air bien. Tu pourrais renforcer la sécurité en activant le filtrage par VLAN (attention au moment de mettre en place la config de ne pas terminer déconnecté de ton switch - Safe Mode est recommandé). Mais, l'isolation de ports fait te protège déjà.

nonosch · « **Réponse #20 le:** 16 mai 2023 à 21:22:10 »

Je vais voir pour le vlan filtering (en safe mode) tranquillement

histoire d'aller un peu plus loin encore.

Merci pour tes indications et conseils (encore une fois mais il faut le dire

)

nonosch · « **Réponse #21 le:** 17 mai 2023 à 01:42:53 »

Bon d'après ce que j'ai pu comprendre :

Code: [Sélectionner]

/interface bridge
add admin-mac=18:FD:74:00:BB:35 auto-mac=no comment=defconf \
    ingress-filtering=no name=bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no speed=2.5Gbps
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
/system logging action
set 3 remote=192.168.6.52
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether1
add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged \
    ingress-filtering=no interface=sfp-sfpplus1 pvid=100
add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged \
    ingress-filtering=no interface=sfp-sfpplus2 pvid=100
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus3
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus4
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus5
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus6
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus7
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus8
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus1,sfp-sfpplus2 vlan-ids=100
add bridge=bridge untagged="sfp-sfpplus3,sfp-sfpplus4,sfp-sfpplus5,sfp-sfpplus\
    6,sfp-sfpplus7,sfp-sfpplus8,ether1" vlan-ids=1
/interface ovpn-server server
set auth=sha1,md5

Merci pour le rappel sur le "safe mode"

fttmeh · « **Réponse #22 le:** 17 mai 2023 à 09:33:51 »

La conf a l'air bien. Tu as bien un VLAN pour ton WAN (VLAN = 100) et pour ton réseau interne (VLAN = 1).

nonosch · « **Réponse #23 le:** 17 mai 2023 à 14:18:11 »

Tes bons conseils m'ont bien aidé