Creación de VLANs en routers Mikrotik. Traducción del original de Butch Evans.

Esta entrada es una traducción del artículo “To tag or not to tag…that is the question!” de Butch Evans, publicado en su blog el 24 de febrero de 2010.

Hay una cuestión muy solicitada de cómo los routers Mikrotik tratan el tráfico de VLAN.

Déjenme empezar por el concepto más simple pero que es un buen fundamento para el resto del artículo:

Cuando se crea un interface VLAN, a todos los efectos el router se cree que tiene un nuevo interface físico.

Examinemos esta red:
vlan

Cuando el router tiene que dirigir tráfico, lo hace basado en la ip asignada a cada interface. Por ejemplo, en la imagen, todo el tráfico dirigido a la red 10.10.10.0/24 es dirigido al puerto ether1. Esto lo hace consultando su tabla de rutas.


Vamos a ver otro ejemplo:
vlan-tagged
De forma similar a la primera red, cuando el MT necesita comunicarse con la red 10.10.10.0/24, consulta su tabla de rutas. En este caso, el interface 10.10.10.1/24 es un interface VLAN que puede crearse con el siguiente código:

/interface vlan add name=vlan_1_e1 interface=ether1 vlan-id=1
/ip address add interface=vlan_1_e1 address=10.10.10.1/24

La primera línea crea un interface vlan con un nombre descriptivo apropiado, asocia la vlan al puerto FÍSICO ether1 y configura la vlan-id (el tag) como “1”.

La segunda línea añade una dirección ip al interface vlan.

Cualquier tráfico destinado a la red 10.10.10.0/24 abandonará el router por este interface y, ya que lo hace por un interface vlan, este tráfico va ha ser marcado con la vlan-id 1.

Así como vamos a ir examinando otros tipos de configuraciones posibles, pensar siempre que lo único que hace que un paquete abandone el router con el tag de la vlan o no, es simplemente esto: Cada vez que un paquete abandona el router POR UN INTERFAZ VLAN, será marcado con la vlan. No es más complicado que esto.


Vamos a considerar otra red:
vlan-iface2
Esta red trabaja de forma muy similar a las anteriores. Podemos configurarla con este fragmento:

/interface vlan
add name=vlan_1_e1 interface=ether1 vlan-id=1
add name=vlan_2_e1 interface=ether1 vlan-id=2
/ip address
add interface=vlan_1_e1 address=10.10.10.1/24
add interface=vlan_2_e1 address=10.10.11.1/24

En esta configuración, tenemos 2 vlans asociadas al interface físico ether1. El tráfico destinado a la red 10.10.10.0/24 abandonará el router por en interface vlan_1_e1 y será marcado con el vlan-id “1”. De la misma forma, el tráfico destinado a la red 10.10.11.0/24 abandonará el router por el interface vlan_2_e1 y será marcado con la vlan-id “2”. Si esto no queda claro, estudia la configuración de la imagen y debería quedarlo. Una nota adicional acerca de esta configuración es que cualquier dispositivo conectado al puerto FÍSICO ether1 debe ser configurado poder tratar el tag vlan para poder “ver” las direcciones 10.10.11.1 y 10.10.10.1.

Hasta este punto, hemos discutido vlans que son usadas como interfaces ENRUTADOS.

Vamos a ver ahora un par de escenarios con puentes (bridged). Recuérdese que un dispositivo con RouterOS que tiene interfaces configuradas como bridge es transparente a la red. Démos una mirada a la siguiente configuración:

/interface bridge
add name=bridge1
/interface bridge port
add interface=ether1 bridge=bridge1
add interface=ether2 bridge=bridge1
/ip address
add interface=bridge1 address=10.10.10.1/24

Con este código hemos creado un bridge y le hemos añadido los interfaces ether1 y ether2. Con esta configuración, cualquier tráfico que entre al router por el puerto ether1 será pasado al interface ether SIN TOCARSE. Esto significa que el tráfico entrante tageado, seguirá tageado en cualquier dirección. La ip que hemos añadido será alcanzable en la red pero SÓLO cuando los paquetes vayan SIN MARCAR. El router es transparente en la red pero si la red en la que está conectado tiene tráfico con tags de vlan, el router no será alcanzable en la red.

Vamos a asumir que la red del ejemplo usa vlan-id=1 para todos los paquetes. Si queremos manejar el router desde esta red, tenemos que crear un interface vlan con el bridge como interface maestro de esta forma:

/interface bridge
add name=bridge1
/interface bridge port
add interface=ether1 bridge=bridge1
add interface=ether2 bridge=bridge1
/interface vlan
add name=vlan_1_b1 interface=bridge1 vlan-id=1
/ip address
add interface=vlan_1_b1 address=10.10.10.1/24

Esta configuración causará que el router deje pasar sin tocar todo el tráfico a través del bridge, pero incluye al propio router en la vlan add name=vlan_1_b1 interface=bridge1 vlan-id=1, así que el router será manejable desde esa vlan.


Ahora veremos otro escenario común:
vlan-tag-untag
En esta situación, tenemos múltiples vlans que deben pasar a través del router. Podemos conseguirlo simplemente enlazando con un bridge ether1 y ether2, sin embargo, hay una solución más elegante si por alguna razón no deseas enlazar los dos puertos ethernet. Esta es la configuración (la explicación va seguida):

/interface bridge
add name=bridge_vlan1
add name=bridge_vlan2
/interface vlan
add name=vlan_1_e1 interface=ether1 vlan-id=1
add name=vlan_2_e1 interface=ether1 vlan-id=2
add name=vlan_1_e2 interface=ether2 vlan-id=1
add name=vlan_2_e2 interface=ether2 vlan-id=2
/interface bridge port
add interface=vlan_1_e1 bridge=bridge_vlan1
add interface=vlan_1_e2 bridge=bridge_vlan1
add interface=vlan_2_e1 bridge=bridge_vlan2
add interface=vlan_2_e2 bridge=bridge_vlan2

Para ser honesto, aunque es una configuración un poco más complicada es mi método preferido cuando hay más de una vlan que tiene que pasar a través del mismo router. La principal razón por la que prefiero este método es porque permite ver en la lista de interfaces cuanto tráfico está pasando por cada vlan.

Un inspección rápida del código debería permitir entender cómo funciona; Primero, creamos los bridges que dejan pasar el tráfico de cada vlan. Después, se crean los interfaces vlan en cada puerto ethernet físico. En la última sección, añadimos las vlan al bridge dejando pasar el tráfico CON EL TAG CORRECTO a través del router. Esto debería estar claro si aplicamos la primera premisa de que

cada vez que un paquete deja el router POR UN INTERFACE VLAN, queda marcado con esa vlan.
Examine con atención la imagen y será capaz de ver qué interface será usado para transportar el tráfico hacia dentro y hacia fuera del router.

Les ofrezco una última configuración bastante usada. Aquí está la imagen:
vlan-untag

En esta red, tenemos paquetes marcados que entran al router por ether1 (vlan-id=1) y paquetes sin marcar entrando por ether2. Los dispositivos en la red sin marcar no usarán marcas de vlan (de hecho nunca sabrán que hay una configuración de vlan implicada en la red). Todos los dispositivos de la parte izquierda del router Mikrotik usarán tags vlan. Aquí está el código de configuración:

/interface vlan
add name=vlan_1_e1 interface=ether1 vlan-id=1
/interface bridge
add name=bridge1
/interface bridge port
add interface=vlan_1_e1 bridge=bridge1
add interface=ether2 bridge=bridge1

Esta es una configuración bastante sencilla, pero requiere alguna explicación. Primero creamos un interface vlan en ether1, que estará conectado en la red marcada. Después, creamos un bridge para manejar el tráfico que pasa a través. El interface vlan se añade al bridge y al puerto físico ether2 que se añade a él. El puerto ether2 se conectará a la red sin marcar. Se deja como ejercicio a mis lectores determinar POR QUÉ esta configuración causa que salgan tanto paquetes marcados cómo sin marcar cuando salen del router.

Este es un artículo bastante largo que cubre mucha información. Por razones obvias, no podemos cubrir el 100% de las posibilidades de configuración de red existentes pero he intentado cubrir las más comunes. Espero que este artículo les sea de utilidad y profundicen más en otros de mi sitio web. Siéntase libre de añadir sus comentarios o circunstáncias especiales y cómo las ha solucionado. Si necesita hardware asegúrese de entrar en mi tienda en http://store.wispgear.net/.

Cita de Laplace

"Les questions les plus importantes de la vie ne sont en effet, pour la plupart, que des problèmes
de probabilité".

Pierre Simon Laplace (1749 - 1827)

Crear VLAN con switch CRS de Mikrotik

Crear una VLAN con switch Mikrotik serie CRS (A partir de RouterOS: v6.12)

La serie CRS lleva un chip dedicado a funciones de switch aunque según el propio manual:

Note: Multiple master-port configuration is designed as fast and simple port isolation solution, but it limits part of VLAN functionality supported by CRS switch-chip. For advanced configurations use one master-port within CRS switch chip for all ports, configure VLANs and isolate port groups with port isolation profile configuration.

Es decir que si usamos la típica configuración de crear un puerto master para uplink y los demás esclavos o haciendo bridges, perdemos “part of VLAN functionality”, sin especificar cuál.

Siguiendo la recomendación de la nota, la siguiente configuración primero

  • aisla los puertos 9 a 16 y después
  • crea una VLAN usando el 9 como trunk/uplink y el resto como access.

1. Aislar los puertos de la VLAN

El aislamiento de puertos se suele usar para VLAN privadas cuando:

  1. Uno o más puertos son compartidos por todos los usuarios para acceder a un gateway o un router.
  2. Puertos aislados para visitantes ocasionales. La comunicación es sólo a un puerto de uplink (con acceso a Internet por ejemplo).
  3. Comunicar entre si un grupo de usuarios de un departamento. La comunicación puede establecerse entre los miembros de la departamento y el puerto de uplink. El esquema habitual es compartir impresoras o algún dispositivo.

Los Cloud Router Switches de Mikrotik tienen varios perfiles de aislamiento predefinidos:

  1. Puertos de uplink: perfil de aislamiento 0.
  2. Puertos aislados (sin contacto con otros puertos pero tal vez con el de uplink): perfil de aislamiento 1.
  3. Departamentos del 0 al 30: perfil de aislamiento del 2 al 33.
/interface ethernet switch port
set ether9 isolation-leakage-profile-override=0

Configuramos el departamento. Le asignamos el perfil 2 (comunidad). Pueden verse entre ellos.

/interface ethernet switch port
set ether10 isolation-leakage-profile-override=2
set ether11 isolation-leakage-profile-override=2
set ether12 isolation-leakage-profile-override=2
set ether13 isolation-leakage-profile-override=2
set ether14 isolation-leakage-profile-override=2
set ether15 isolation-leakage-profile-override=2
set ether16 isolation-leakage-profile-override=2

/interface ethernet switch port-isolation
add port-profile=2 ports=ether9,ether10,ether11,ether12, ether13,ether14,ether15,ether16 type=dst

2. Crear la VLAN

Poner initial VLAN (PVID) al tráfico que llega (ingress) sin tag (puertos access)

/interface ethernet switch ingress-vlan-translation
add ports=ether10 customer-vid=0 new-customer-vid=171 sa-learning=yes
add ports=ether11 customer-vid=0 new-customer-vid=171 sa-learning=yes
add ports=ether12 customer-vid=0 new-customer-vid=171 sa-learning=yes
add ports=ether13 customer-vid=0 new-customer-vid=171 sa-learning=yes
add ports=ether14 customer-vid=0 new-customer-vid=171 sa-learning=yes
add ports=ether15 customer-vid=0 new-customer-vid=171 sa-learning=yes
add ports=ether16 customer-vid=0 new-customer-vid=171 sa-learning=yes

Trunkeamos el puerto 9 para la VLAN171. Los paquetes siempre salen (egress) tageados.

/interface ethernet switch egress-vlan-tag
add tagged-ports=ether9 vlan-id=171

Editamos tabla de pertenencia de puertos a VLANs (para que el tráfico sea válido)

/interface ethernet switch vlan
add ports=ether9,ether10,ether11,ether12,ether13,ether14,ether15,ether16 vlan-id=171 learn=yes

Deshabilitamos tráfico de VLANs desconocidas

/interface ethernet switch
set drop-if-invalid-or-src-port-not-member-of-vlan-on-ports=ether9,ether10,ether11,ether12,ether13,ether14,ether15,ether16

Fuentes:
Manual Mikrotik
mikrotik-routeros.com (Usa configuración tradicional)

Written with StackEdit.

La distribución exponencial

Puede ser usada para responder a:

  • ¿Cuanto tiempo debemos esperar antes de que entre un cliente en la tienda?
  • ¿Cuanto tiempo pasará antes de que la centralita reciba una nueva llamada?.

El tiempo de espera es la respuesta común a esas preguntas

Todo fenómeno que implique tiempo de espera desconocido puede ser modelado mediante la distribución exponencial siempre que la probabilidad de ocurrencia durante el intervalo sea proporcional a la longitud del intervalo.

La función de probabilidad (PDF - Probability Density Function) de una distribución exponencial es

f(x;λ)=λeλx

Donde x es exactamente el tiempo tiempo de espera, por ejemplo, 2 años o 10 segundos.

El parámetro λ se llama tasa o régimen (en. rate) en las mismas unidades de tiempo que el tiempo de espera.

La tasa λ es la inversa de la duración esperada μ.

E[X]=μ=1λ

Por ejemplo, si la tasa λ es de cinco eventos por minuto, entonces la duración esperada de cada evento será de μ=15=0.2 minutos por evento.

Observamos que la duración esperada (o esperanza o media) se mide siempre en tiempo. La tasa o ritmo se mide siempre en eventos.

La función de probabilidad acumulada es:

P(Xx)=1eλx

Por ejemplo, la probabilidad de recibir una llamada antes de 5 minutos es
P(X5)=1e5λ

Su complementario es

P(X>x)=1P(Xx)=1(1eλx)=eλx

Es decir, la probabilidad de recibir una llamada después de cinco minutos es

P(X>5)=e5λ

Como se ha dicho, el valor esperado es

E[X]=μ=1λ

y la varianza
V[X]=μ=1λ2

Ejemplo 1: Asumamos que en una cabina telefónica las llamadas duran una media de μ=10 minutos. Si alguien llega al teléfono justo antes que usted, calcular la probabilidad de tener que esperar:
La tasa será de

λ=1μ=110=1 llamadacada 10 minutos=0.1llamadasminuto

a) Menos de cinco minutos.
P(X5)=1e5110=0.39

b) Más de cinco minutos.
P(X>5)=e5110=0.61

c) Entre 5 y 10 minutos.
P(5X10)=1[P(X5)+P(X10)]=0.23

También podríamos haber integrado la PDF entre 5 y 10.
P(5X10)=105110e110xdx=ex10105=0.23


Written with StackEdit.