Jump to content
В 26.09.2020 в 21:45, Qlobus сказал:

То есть если абонент пропишет себе ip adress с того же пула, он будет получать интернет? 

 

если поставит мак соседа и ип соседа (статикой или дхцп) - да, будет получать интернет.

Share this post


Link to post
Share on other sites

В 15.10.2020 в 15:15, VolanD666 сказал:

Запихайте клиента каждого в свой влан, в чем проблема? Не поможет вм тут arp reply-only.

Ну некоторое свичи не управляемые... 

Share this post


Link to post
Share on other sites

Ну в таком случае, как вы можете рулить процессом, если некоторыми частями вы совсем не рулите?

У вас клиент, воткнутый в этот неуправляемый свич можем большой сегмент положить и вы даже про это не узнаете и не узнаете кто это сделал.

Share this post


Link to post
Share on other sites

В 15.10.2020 в 15:15, VolanD666 сказал:

Запихайте клиента каждого в свой влан, в чем проблема? Не поможет вм тут arp reply-only.

Saab95 говорит есть надежда 

 

В 17.10.2020 в 03:54, VolanD666 сказал:

Ну в таком случае, как вы можете рулить процессом, если некоторыми частями вы совсем не рулите?

У вас клиент, воткнутый в этот неуправляемый свич можем большой сегмент положить и вы даже про это не узнаете и не узнаете кто это сделал.

Тогда остаться на pppoe? 

Share this post


Link to post
Share on other sites

14 часов назад, Qlobus сказал:

Saab95 говорит есть надежда 

 

Тогда остаться на pppoe? 

Вы частично сетью не рулите, в чем надежда? Вы конечно можете городить костыли в виде pppoe и прочего. но правильное решение- это поставить управляемые свичи.

Share this post


Link to post
Share on other sites

8 часов назад, VolanD666 сказал:

Вы частично сетью не рулите, в чем надежда? Вы конечно можете городить костыли в виде pppoe и прочего. но правильное решение- это поставить управляемые свичи.

Да на счёт управляемые свичи согласен конечно.

Я всё таки проверю arp reply-only

 

Share this post


Link to post
Share on other sites

25 минут назад, Qlobus сказал:

@VolanD666 А что если создать bridge и порт посадит на этот bridge и ставит там галочку dhcp snooping. Это поможет?

DHCP снупинг работает только при поступлении трафика на порт. Если этот порт отмечен как Untrusted, то запросы с предложениями IP настроек на нем будут блокироваться. В вашем же случае такие запросы не будут долетать до этого порта, т.к. зловредная машина может быть вообще на соседнем порту неуправляемого коммутатора.

Еще раз, самое правильное решение- это поставить управляемые коммутаторы (с поддержкой нужных технологий) по всей сети. В чем проблема? Пол года прошло, вам денег не дают или вы не знаете как? :)

Share this post


Link to post
Share on other sites

В 13.09.2018 в 11:06, Saab95 сказал:

Заводите на микротике по влану для каждого абонента, начинать лучше с номера 2, а не городить схемы вида влан 1459 и т.п. То есть если у вас 10 мини узлов, куда подключаются абоненты, то пусть на каждом будет адресация со 2 влана и пошло вверх.

/interface vlan
add arp=reply-only interface=bridge_vlan name=vlan_2 vlan-id=2
add arp=reply-only interface=bridge_vlan name=vlan_3 vlan-id=3

/ip address
add address=10.10.30.1/32 network=10.10.30.2 interface=vlan_2
add address=10.10.30.1/32 network=10.10.30.3 interface=vlan_3

/ip pool
add name=dhcp_pool_2 ranges=10.10.30.2
add name=dhcp_pool_3 ranges=10.10.30.3

/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool_2 disabled=no interface=vlan_2 lease-time=5m name=dhcp_2
add add-arp=yes address-pool=dhcp_pool_3 disabled=no interface=vlan_3 lease-time=5m name=dhcp_3

/ip dhcp-server network
add address=10.10.30.0/24 dns-server=8.8.8.8,8.8.7.7 gateway=10.10.30.1

 

На каждый влан вешается 1 IP адрес поштучно без подсетей, через OSPF адреса анонсируются по сети, в настройках area следует указать redistribute connected. В таком случае можно выдавать любые адреса абонентам, хотите белые, хотите серые и т.п. Время аренды 5 минут - всегда можно абоненту адрес поменять на роутере, и он через 5 минут его примет. Аналогично в плюсах защита от подмены мака - т.к. арп работает по статике, абонент не может поставить себе IP вручную, а если поменяет роутер или компьютер, то не сможет получить адрес, пока время аренды старого 5 минут не закончится.

 

Если хотите выдавать адреса по радиусу, тогда в скриптах выдачи и окончания аренды следует указать нужные команды, радиус будет принимать решение что выдать по имени интерфейса и адреса роутера, с которого пришел запрос. Единственный минус в том, что если роутер перезапустить, то выданные адреса с роутера уже не удалятся, и нужно в планировщике создать скрипт на удаление всех IP адресов и прочего при старте роутера. И только после включать DHCP сервера для абонентов (или запросы через радиус), что бы они смогли адреса получить.

 

Если же у вас радио и хотите уйти от PPPoE - то делать этого не следует, если можно поднять соединение на CPE. На микротике можно указать MTU = 1500 для PPPoE и никакой пакетной нагрузки увеличиваться не будет.

 

Поделитесь пожалуйста скриптом

Share this post


Link to post
Share on other sites

В 05.06.2022 в 20:49, deltatelecom сказал:

Значит и не было ни какого скрипта...

Забудьте о vlan per user на микротике, если планируете 1000+ подключений.

при 3к вланов CCR1036 ребутится до 40 минут и с такой же скоростью поднимается .

Это не юзабельный детсад.

 

хотите нормальный vpu , используйте accel.

Есть деньги, поставьте MX80.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.