A parte la wan, io ho tutto su un unico bridge con vlan filtering attivo e tanti saluti.
Dopodichè

  • Il bridge è membro tagged di tutte le VLAN (in modo da poterci fare routing sopra)
  • Le varie porte trunk sono membri tagged delle rispettive VLAN.
  • Le porte untagged (ether7) hanno la VLAN configurata via PVID (da Bridge -> Interfaces)

Per assegnare gli IP ho semplicemente creato le VLAN come slave del bridge dal menu interfaces e via.

Questione raspberry... il mio è membro di due VLAN, lato linux ci sono le vlan configurate e c'è l'mdns repeater attivo (via avahi). Lato docker le vlan sono gestite con macvlan e funzionano

    edofullo non sopportano manco offload dello switching tra due host sulla stessa VLAN dello stesso switch (ma serio?) senza passare dalla CPU.

    Tanto se devi fare un minimo di QoS (per il voip e per evitare il bufferbloat) l'offload hardware è da disattivare totalmente comunque. La cpu dell'RB4011 è comunque più che sufficiente.
    Se ti serve uno switch, collegaci uno switch, lascia stare quelli nel router.

    edofullo (Switch tagga in hardware, Interface tagga sulla CPU e Bridge un misto delle due)

    Il Bridge è "misto" perchè in teoria se capisce che l'hardware ha le funzioni, usa quello, altrimenti fa fallback sulla gestione software. Ma questo succede praticamente solo sui CRS serie 3xx e qualche rara eccezione al di fuori di quella linea.

    Usa pure la gestione VLAN sulla CPU e così poi puoi farci quel che vuoi (Queue o altro).

          edofullo ma mi sembra una cosa un po' junky e la probabilità di chiudermi fuori nel cambiare le impostazioni di rete è altissima... e non ho un cavo microhdmi se succede 🤣

          L'unica alternativa per fare andare il mDNS è riuscire a fare andare qualche specie di multicast-forwarding tra VLAN_IoT e VLAN_Privilegiata, che mi sembra molto più junky e potenzialmente insicuro.

          Potresti configurare la porta fisica del Raspberry come "untagged" per la VLAN_Privilegiata(10) e "tagged" per la VLAN_IoT(30), a quel punto l'interfaccia eth0 del Raspberry si vede la VLAN10 anche senza alcuna configurare, e ti basta creare l'interfaccia alias eth0.30 per accedere alla VLAN_IoT

              • [cancellato]

              • Messaggio #6

              lore20 Potresti configurare la porta fisica del Raspberry come "untagged" per la VLAN_Privilegiata(10) e "tagged" per la VLAN_IoT(30)

              Personalmente sconsiglio questo approccio. Se trunk deve essere, che trunk sia, tutto tagged e passano i dubbi.

                  nanomad Sto provando con questa configurazione.

                  Qualcosa sembra andare ma sto anche cerando di non rompere la wifi per i miei quindi ho margina di manovra limitato.

                  Per qualche strano motivo il CAP non sembra essere in grado di contattare CAPSMAN sulla vlan.

                  LSan83 Tanto se devi fare un minimo di QoS

                  Il QoS non posso farlo comunque per colpa della PPPoE

                  lore20 L'unica alternativa per fare andare il mDNS è riuscire a fare andare qualche specie di multicast-forwarding tra VLAN_IoT e VLAN_Privilegiata

                  [cancellato] Se trunk deve essere, che trunk sia, tutto tagged e passano i dubbi.

                  Quindi dite di mettere il raspi nella privilegiata? Io avevo pensato che essendo l'unico host che accetta connessioni dall'esterno forse era meglio non metterlo nella VLAN che può vedere tutto il resto.

                            • [cancellato]

                            • Messaggio #8
                            • Modificato

                            edofullo No, io dico di non mischiare untagged e tagged 😉

                            Buona idea di isolare in "DMZ" ciò che è esposto all'esterno, non gli farei però vedere nulla di rete interna privilegiata, in modo che non possa essere usato come "testa di ponte".

                            Finché non attivi il filtro VLAN sul bridge di fatto mette i tag ma restano tutte switched comunque... Fa un po' di casino mikrotik con le VLAN.

                            edofullo QoS non posso farlo comunque per colpa della PPPoE

                            Perché?

                                  [cancellato] Fa un po' di casino mikrotik con le VLAN.

                                  Ho notato...

                                  [cancellato] Perché?

                                  È single core, appena disattivi il Fast Track riesce a tenere il gigabit a malapena con un core al 90% di utilizzo.
                                  Se abiliti anche una singola queue il thoughput massimo scende a 700 Mbps

                                        • [cancellato]

                                        • Messaggio #10

                                        edofullo È single core

                                        🤔

                                            • [cancellato]

                                            • Messaggio #12
                                            • Modificato

                                            edofullo No dico...da quando in qua l'RB4011 è single core? 🤔

                                            Mai utilizzato il fast track e satura il giga con pochi punti percentuali di uso CPU (senza queue s'intende)...

                                                • [cancellato]

                                                • Messaggio #13
                                                • Modificato

                                                edofullo Pensavo fossero più furbi e facessero cadere il carico delle queue su un altro core rispetto alla PPPoE.

                                                Provare a mettere un VRF in modo da fare due hop interni al router stesso? Magari così il carico lo distribuisce...

                                                Hai anche parecchio carico firewall... Non è che hai qualche regola sghemba?

                                                [cancellato] la PPPoE è single core sui vecchi kernel Linux, e tutt'ora su *BSD.

                                                      [cancellato] Penso sia la PPPoE che deve essere gestita su un singolo core, tu la usi?

                                                      Sicuro che il fast track sia disattivato? In genere viene attivato. Col fast track la CPU quasi manco la tocca, però non puoi fare QoS

                                                      [cancellato] Provare a mettere un VRF in modo da fare due hop interni al router stesso? Magari così il carico lo distribuisce...

                                                      Si potrebbe provare giusto per "studio", ma alla fine su FTTH se ne fa anche a meno.

                                                      Venisse "gratis" ben venga, ma dimezzare le prestazioni mah... comunque non è il problema di oggi.

                                                            • [cancellato]

                                                            • Messaggio #15

                                                            edofullo Penso sia la PPPoE che deve essere gestita su un singolo core,

                                                            [cancellato] a PPPoE è single core sui vecchi kernel Linux, e tutt'ora su *BSD.

                                                            Ah OK questo è un altro discorso me è sbagliato affermare che quel router è single core, tutto qui...

                                                            edofullo In genere viene attivato.

                                                            Su RB4011 non era presente nella conf default ed in ogni caso ti confermo che non l'ho mai utilizzato.

                                                            Vabeh parentesi chiusa, scusate 🤡

                                                                    [cancellato] Ah OK questo è un altro discorso me è sbagliato affermare che quel router è single core, tutto qui...

                                                                    Hai ragione, ho scritto male io, intendevo la PPPoE 😁

                                                                    Comunque col magico ROS 7 dovrebbero aver aggiornato il kernel al 5.4 e qualcosa, speriamo migliorino anche su questo fronte.

                                                                    • LSan83 ha risposto a questo messaggio

                                                                        edofullo però non puoi fare QoS

                                                                        Ni! Le queue in ingresso attaccate dirette ad un interfaccia vanno lo stesso! Ci potete tranquillamente fare QoS sull'upload di una FTTH

                                                                        Queue attiva a 250M

                                                                        Queue disattivata


                                                                          edofullo Comunque col magico ROS 7 dovrebbero aver aggiornato il kernel al 5.4 e qualcosa, speriamo migliorino anche su questo fronte.

                                                                          Sperem... Ma sarà lunga prima di vedere il 7.x in long-term.

                                                                            Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                            P.I. IT16712091004 - info@fibraclick.it

                                                                            ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile