Auteur Sujet: Switch Mikrotik CRS-305 (pour HSGMII, Cos 6) devant n'importe quel routeur/fw (Lu 7304 fois)

Jimbo-77 · « **Réponse #24 le:** 18 mai 2023 à 11:44:32 »

Petit question : Ayant un CRS305 et le RB5009 derrière, au niveau bridge et filter rule, quelle est la meilleure solution ? La mettre sur le CRS ou la laisser sur le routeur ?

fttmeh · « **Réponse #25 le:** 30 mai 2023 à 14:48:24 »

Citation de: Jimbo-77 le 18 mai 2023 à 11:44:32

Petit question : Ayant un CRS305 et le RB5009 derrière, au niveau bridge et filter rule, quelle est la meilleure solution ? La mettre sur le CRS ou la laisser sur le routeur ?

Moi je laisserai sur le routeur, pour préparer le jour où tu envisages de sortir le CRS305.

Jimbo-77 · « **Réponse #26 le:** 30 mai 2023 à 16:59:40 »

Citation de: fttmeh le 30 mai 2023 à 14:48:24

Moi je laisserai sur le routeur, pour préparer le jour où tu envisages de sortir le CRS305.

Merci pour le conseil, mais vu j'ai terminé ma conf ce week-end. Cf ce post https://lafibre.info/remplacer-livebox/need-help-conf-crs305-gt-rb5009-vlantrunk/ pour le résumé de la bataille et en l'occurence, la règle s'est retrouvé sur le switch.
Bon après, je ne pense pas que ce soit le truc le plus compliqué à modifier.

fttmeh · « **Réponse #27 le:** 14 juin 2024 à 23:45:39 »

Nouvelle version (v 7.15), nouvelle méthode. On peut désormais modifier la COS et le DSCP avec un switch chip de façon plus simple. Ci-dessous un exemple de configuration. Le port "Router" a le SFP+ de la fibre connecté.

Source : https://help.mikrotik.com/docs/pages/viewpage.action?pageId=189497483

Code: [Sélectionner]

/interface ethernet switch
set 0 qos-hw-offloading=yes
/interface ethernet switch qos profile
add dscp=48 name=orange-requirements pcp=6
/interface ethernet switch rule
add comment="Orange arp - CoS to 6" mac-protocol=arp new-qos-profile=orange-requirements ports=Router switch=switch1 vlan-id=832
add comment="Orange DHCPv4 - CoS to 6" dst-port=67 mac-protocol=ip new-qos-profile=orange-requirements ports=Router protocol=udp switch=switch1 vlan-id=832
add comment="Orange DHCPv6 - CoS to 6" dst-port=547 mac-protocol=ipv6 new-qos-profile=orange-requirements ports=Router protocol=udp switch=switch1 vlan-id=832

zoc · « **Réponse #28 le:** 16 juin 2024 à 07:29:14 »

Merci de l’avoir fait.

De mon côté j’envisageais aussi de faire ce changement mais plus tard, je suis à peu près certain qu’il y a des bugs cachés dans cette nouvelle fonctionnalité, comme à chaque fois que chez Mikrotik ils déploient un nouveau firmware….

fttmeh · « **Réponse #29 le:** 16 juin 2024 à 11:12:25 »

@zoc : tu as déjà eu des problèmes avec la nouvelle version ?

J’ai mis en prod chez moi et tout fonctionne comme avant, je n’ai pas fait des captures de paquets pour confirmer que tout est OK.

zoc · « **Réponse #30 le:** 16 juin 2024 à 18:29:26 »

Non, mais vu le nombre de bugs introduits en 7.15 et fixés en 7.15.1 je préfère être prudent.

zoc · « **Réponse #31 le:** 17 juin 2024 à 14:38:58 »

D'ailleurs je suis un peu surpris que le routeur accepte la première switch rule, le protocole arp n'ayant pas de champ dscp... J'imagine que le switch ignore le paramètre et n'applique que le pcp...

fttmeh · « **Réponse #32 le:** 17 juin 2024 à 16:51:25 »

J'ai fait une capture de packets et cela semble OK :

arp - OK (pas de DSCP, c'est normal)
dhcpv4 - OK
dhcpv6 - OK

zoc · « **Réponse #33 le:** 17 juin 2024 à 18:46:25 »

Bon, c'est en place aussi chez moi (de toute façon l'ancienne méthode est officiellement dépréciée). Petite différences cependant chez moi:

J'ai rajouté traffic-class=6 à la policy afin que le switch lui aussi priorise la transmission des paquets concernés
J'ai configuré le tx-manager à offline sur les ports du switch que je n'utilise pas (conseillé dans la doc.)

J'ai fait un release/renew de mes baux v4/v6 et ça semble fonctionner.

fttmeh · « **Réponse #34 le:** 17 juin 2024 à 23:01:11 »

Après lecture du manuel, il me semble qu'avec la nouvelle configuration, le switch va écrasser les valeurs PCP/DSCP de paquets arrivants ("The port is considered untrusted. Both headers are ignored, and the port's profile is forced to all ingress packets. This is the default setting."). Cela ne m'arrange pas car je modifie pour IPv6 le PCP/DSCP des certaines paquets (ICMPv6 types 133, 135, 136) avec des mangle rules.

Voici la conf mise à jour :

Code: [Sélectionner]

/interface ethernet switch
set 0 qos-hw-offloading=yes

/interface ethernet switch qos port
set Router trust-l2=keep trust-l3=keep
set ONT trust-l2=keep trust-l3=keep

/interface ethernet switch qos profile
add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 \
    traffic-class=6

/interface ethernet switch qos port
set sfp-sfpplus2 tx-manager=offline
set sfp-sfpplus3 tx-manager=offline

/interface ethernet switch l3hw-settings
set icmp-reply-on-error=no

/interface ethernet switch rule
add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=\
    orange-prio-bng ports=Router switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67 mac-protocol=ip \
    new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=547 mac-protocol=ipv6 \
    new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832

zoc · « **Réponse #35 le:** 18 juin 2024 à 20:14:13 »

Citation de: fttmeh le 17 juin 2024 à 23:01:11

il me semble qu'avec la nouvelle configuration, le switch va écrasser les valeurs PCP/DSCP de paquets arrivants

Bon point, c'est également ma compréhension de la documentation.

De mon coté je marque tout ICMPv6 (et pas uniquement certains types) destiné à fe80::ba0:bab en priorité 6 avec une switch rule, donc je ne suis pas impacté, même si en pratique ce n'est pas tout à faire ce qui est recommandé par @levieuxatorange.

Après peut-être qu'en mettant trust-l2 et trust-l3 à keep ? Je ne sais pas comment sont traitées les switch rules dans ce cas (si c'est appliqué avant ou apres les paramètres du port), la documentation ne parle que du comportement du mapping de la QoS.