NiTr0 Опубликовано 28 сентября, 2020 · Жалоба В 26.09.2020 в 21:45, Qlobus сказал: То есть если абонент пропишет себе ip adress с того же пула, он будет получать интернет? если поставит мак соседа и ип соседа (статикой или дхцп) - да, будет получать интернет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 15 октября, 2020 · Жалоба Запихайте клиента каждого в свой влан, в чем проблема? Не поможет вм тут arp reply-only. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Qlobus Опубликовано 16 октября, 2020 · Жалоба В 15.10.2020 в 15:15, VolanD666 сказал: Запихайте клиента каждого в свой влан, в чем проблема? Не поможет вм тут arp reply-only. Ну некоторое свичи не управляемые... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 16 октября, 2020 · Жалоба Ну в таком случае, как вы можете рулить процессом, если некоторыми частями вы совсем не рулите? У вас клиент, воткнутый в этот неуправляемый свич можем большой сегмент положить и вы даже про это не узнаете и не узнаете кто это сделал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Qlobus Опубликовано 20 октября, 2020 · Жалоба В 15.10.2020 в 15:15, VolanD666 сказал: Запихайте клиента каждого в свой влан, в чем проблема? Не поможет вм тут arp reply-only. Saab95 говорит есть надежда В 17.10.2020 в 03:54, VolanD666 сказал: Ну в таком случае, как вы можете рулить процессом, если некоторыми частями вы совсем не рулите? У вас клиент, воткнутый в этот неуправляемый свич можем большой сегмент положить и вы даже про это не узнаете и не узнаете кто это сделал. Тогда остаться на pppoe? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 21 октября, 2020 · Жалоба 14 часов назад, Qlobus сказал: Saab95 говорит есть надежда Тогда остаться на pppoe? Вы частично сетью не рулите, в чем надежда? Вы конечно можете городить костыли в виде pppoe и прочего. но правильное решение- это поставить управляемые свичи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Qlobus Опубликовано 21 октября, 2020 · Жалоба 8 часов назад, VolanD666 сказал: Вы частично сетью не рулите, в чем надежда? Вы конечно можете городить костыли в виде pppoe и прочего. но правильное решение- это поставить управляемые свичи. Да на счёт управляемые свичи согласен конечно. Я всё таки проверю arp reply-only Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Qlobus Опубликовано 16 июля, 2021 · Жалоба @VolanD666 А что если создать bridge и порт посадит на этот bridge и ставит там галочку dhcp snooping. Это поможет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 16 июля, 2021 · Жалоба 25 минут назад, Qlobus сказал: @VolanD666 А что если создать bridge и порт посадит на этот bridge и ставит там галочку dhcp snooping. Это поможет? DHCP снупинг работает только при поступлении трафика на порт. Если этот порт отмечен как Untrusted, то запросы с предложениями IP настроек на нем будут блокироваться. В вашем же случае такие запросы не будут долетать до этого порта, т.к. зловредная машина может быть вообще на соседнем порту неуправляемого коммутатора. Еще раз, самое правильное решение- это поставить управляемые коммутаторы (с поддержкой нужных технологий) по всей сети. В чем проблема? Пол года прошло, вам денег не дают или вы не знаете как? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Utelecom Опубликовано 18 мая, 2022 · Жалоба В 13.09.2018 в 11:06, Saab95 сказал: Заводите на микротике по влану для каждого абонента, начинать лучше с номера 2, а не городить схемы вида влан 1459 и т.п. То есть если у вас 10 мини узлов, куда подключаются абоненты, то пусть на каждом будет адресация со 2 влана и пошло вверх. /interface vlan add arp=reply-only interface=bridge_vlan name=vlan_2 vlan-id=2 add arp=reply-only interface=bridge_vlan name=vlan_3 vlan-id=3 /ip address add address=10.10.30.1/32 network=10.10.30.2 interface=vlan_2 add address=10.10.30.1/32 network=10.10.30.3 interface=vlan_3 /ip pool add name=dhcp_pool_2 ranges=10.10.30.2 add name=dhcp_pool_3 ranges=10.10.30.3 /ip dhcp-server add add-arp=yes address-pool=dhcp_pool_2 disabled=no interface=vlan_2 lease-time=5m name=dhcp_2 add add-arp=yes address-pool=dhcp_pool_3 disabled=no interface=vlan_3 lease-time=5m name=dhcp_3 /ip dhcp-server network add address=10.10.30.0/24 dns-server=8.8.8.8,8.8.7.7 gateway=10.10.30.1 На каждый влан вешается 1 IP адрес поштучно без подсетей, через OSPF адреса анонсируются по сети, в настройках area следует указать redistribute connected. В таком случае можно выдавать любые адреса абонентам, хотите белые, хотите серые и т.п. Время аренды 5 минут - всегда можно абоненту адрес поменять на роутере, и он через 5 минут его примет. Аналогично в плюсах защита от подмены мака - т.к. арп работает по статике, абонент не может поставить себе IP вручную, а если поменяет роутер или компьютер, то не сможет получить адрес, пока время аренды старого 5 минут не закончится. Если хотите выдавать адреса по радиусу, тогда в скриптах выдачи и окончания аренды следует указать нужные команды, радиус будет принимать решение что выдать по имени интерфейса и адреса роутера, с которого пришел запрос. Единственный минус в том, что если роутер перезапустить, то выданные адреса с роутера уже не удалятся, и нужно в планировщике создать скрипт на удаление всех IP адресов и прочего при старте роутера. И только после включать DHCP сервера для абонентов (или запросы через радиус), что бы они смогли адреса получить. Если же у вас радио и хотите уйти от PPPoE - то делать этого не следует, если можно поднять соединение на CPE. На микротике можно указать MTU = 1500 для PPPoE и никакой пакетной нагрузки увеличиваться не будет. Поделитесь пожалуйста скриптом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Utelecom Опубликовано 5 июня, 2022 · Жалоба Значит и не было ни какого скрипта... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AKim Опубликовано 27 июня, 2022 · Жалоба В 05.06.2022 в 20:49, deltatelecom сказал: Значит и не было ни какого скрипта... Забудьте о vlan per user на микротике, если планируете 1000+ подключений. при 3к вланов CCR1036 ребутится до 40 минут и с такой же скоростью поднимается . Это не юзабельный детсад. хотите нормальный vpu , используйте accel. Есть деньги, поставьте MX80. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 августа, 2022 · Жалоба В 27.06.2022 в 03:09, AKim сказал: Забудьте о vlan per user на микротике, если планируете 1000+ подключений. при 3к вланов CCR1036 ребутится до 40 минут и с такой же скоростью поднимается . Это не юзабельный детсад. Не юзабельный детсад это тянуть все вланы в центр. Вланы нужно терминировать на окраине сети, установив по микротику перед OLT или группой коммутаторов, что бы на нем не заводить более 500-1000 вланов. Проблем не будет. RB4011 вполне нормально терминирует 1-2 гига трафика, стоит бюджетно, порт 10Г есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...