Jump to content
Калькуляторы

Вопрос по микротику

Всем доброго времени суток!

 

имеем роутер RB1100

на нем висит юзеров штук 50.. адреса юзерам раздает дхцп, настроен радиус, юзеры ходят в инет по ппп

собсно проблема вот в чем.

если юзер не платит за инет, то естессно у нас все это билинг решает, но, некоторые юзеры продолжают пользоваться между собой локалкой

можно как то заблокировать им выдачу ип адресов для их маков? или еще как то забанить?

Share this post


Link to post
Share on other sites

Они сами могут себе прописать адреса руками. Только управляемое оборудование на доступе вас спасет, или влан на юзверя с агрегацией на л3 оборудовании.

Edited by Gunner

Share this post


Link to post
Share on other sites

Gunner

да, с этим все ясно естественно.

рассчитано на тех юзеров, которые не шарят как прописывать вручную..

просто облом лазить по чердакам и отключать от портов)

в планах, конечно л3 коммутаторы.

Share this post


Link to post
Share on other sites

Да это даже не самое страшное.

Необходимо найдётся хитрозадый юзверь, подымет свой DHCP и будет продавать твой инет своим(твоим же) клиентам за 1/5 стоимости.

L3 необязательно, достаточно L2.

Share this post


Link to post
Share on other sites

а почему на микротике не резать отключенных фаирволом?

Share this post


Link to post
Share on other sites

а почему на микротике не резать отключенных фаирволом?

Ключевое слово локалка.

Share this post


Link to post
Share on other sites

когда они включены в один тупой коммутатор, микротик уже ничего сделать не может)

ээхх..

Share this post


Link to post
Share on other sites

В свое время все ресурсы типа форума чата и dc хаба и контры вынес в другую сеть, маршрутизация только через шлюз. На шлюзе клиенту тупо блокировали мак. Да в варик он погамать мог, но все самое вкусное ему обламывалось.

Share this post


Link to post
Share on other sites

а почему на микротике не резать отключенных фаирволом?

Ключевое слово локалка.

выдать каждому неплательщику ip из сетки /30 и их зарезать фаирволом....

Share this post


Link to post
Share on other sites

В свое время все ресурсы типа форума чата и dc хаба и контры вынес в другую сеть, маршрутизация только через шлюз. На шлюзе клиенту тупо блокировали мак. Да в варик он погамать мог, но все самое вкусное ему обламывалось.

Межклиентский трафик то не блокируется.

Ну и кто помешает одному NAT-ить остальных.

Что в инет, что к локальным ресурсам.

Share this post


Link to post
Share on other sites

Контролировать пользователей можно только в том случае, если они подключены

в управляемое оборудование, как минимум с поддержкой либо Port Security, либо VLAN.

В противном случае у них всегда будет возможность позаимствовать IP- и MAC-адрес соседа.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this