Изоляция портов на Mikrotik CRS

[Trueno]

Доброго времени суток! Имеется в наличии свеженький CRS112.

 

Используется для разруливания vlan по классической схеме - на один порт приходят 3 tagged vlan, на остальные порты выдаются untagged эти же 3 vlan.

Но как сделать так, чтобы, допустим, между untagged портами с одним и тем же vlan-id не было связи?

Так же стоит вопрос, как обезопасить сеть от всяческих ARP-флудов и прочего говна, которое периодически прёт из этих untagged-портов?

Недавний пример - завис роутер в отделе охранников, какой-то древний асус, лежал весь vlan, пока не выявили "врага" методом тыка.

Чтобы если снова какая-то гадость заведется, она не пёрла на другой порт этого же vlan?

Увеличить количество vlan на данный момент нет возможности.

 

VLANы разруливаются с помощью оснастки свитча (не софт-бридж).

Edited March 21, 2018 by Trueno

[DRiVen]

А поискать?

[Trueno]

Это я читал. Но пока что не получилось. Значит будем курить мануалы дальше)

[Trueno]

Так, с изоляцией разобрался.

В 21.03.2018 в 20:47, Trueno сказал:

Так же стоит вопрос, как обезопасить сеть от всяческих ARP-флудов и прочего говна, которое периодически прёт из этих untagged-портов?

 

Вцелом хотелось бы ещё поработать вот над этим.

На "сервере" с помощью Torch определил, что кроме полезного трафика, есть куча ненужного ipv6 и, вероятно, multicast.

ipv6 порезал с помощью ACL, а вот как порезать им multicast, я не нашел.

В "софтовом" микротике, в бридже можно было выбрать packet type = multicast.

Здесь, вероятно, возможности работы с мультом пошире и погибче,но я пока ещё не додумался.

 

Вообще, была идея в ACL сделать так:

0 Разрешить ipv4

1 Разрешить arp

2 Запретить всё.

 

Но мультикаст в  его ipv4 виде всё равно будет ведь проникать.

Edited April 11, 2018 by Trueno