orcina Posted October 15, 2014 · Report post Доброго времени суток Вопрос к знатокам микротика Сейчас у меня имеется PC с ROS 6.20 на котором развернут PPPoE сервер + прикручен к радиус Все пользователи авторизуются по радиус, dhcp сервер для клиентов также на отдельном сервере Сейчас сетка построена следующим образом Создан бридж Local_bridge, в него добавлены: список vlan 1-100 (каждый авторизированный пользователь находится в своем вилане); физический интерфейс смотрящий в сторону локалки - ether1 (интерфейс в сторону свичей доступа) Физический интерфейс смотрящий в сторону радиуса - ether2 (интерфейс в сторону радиуса) PPPoE сервер Подсеть для менеджемнт vlan 10.0.0.0/24 Подсеть для пользователей 192.168.0.0/16 конфигурация выглядит примерно так: /interface bridge add mtu=1500 name=local_bridge /interface vlan add interface=ether1 l2mtu=1586 name=vlan1 vlan-id=1 add interface=ether1 l2mtu=1586 name=vlan4 vlan-id=4 add interface=ether1 l2mtu=1586 name=vlan5 vlan-id=5 add interface=ether1 l2mtu=1586 name=vlan6 vlan-id=6 add interface=ether1 l2mtu=1586 name=vlan7 vlan-id=7 ... /interface bridge port add bridge=local_bridge interface=ether1 (интерфейс в сторону свичей доступа) add bridge=local_bridge interface=ether2 (интерфейс в сторону радиуса) add bridge=local_bridge interface=vlan10 add bridge=local_bridge interface=vlan11 add bridge=local_bridge interface=vlan12 add bridge=local_bridge interface=vlan13 ... /interface pppoe-server server add disabled=no interface=local_bridge keepalive-timeout=15 max-mru=1460 \ max-mtu=1440 mrru=1600 one-session-per-host=yes service-name=service2 /ip address add address=10.0.0.1/24 interface=vlan1 network=10.0.0.0 На сколько подобная конфигурация верна? верно ли собран бридж для работы пользователей и локальных ресурсов? ПЫсЫ: сильно не пинать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 16, 2014 · Report post Нет не верно. Если добавляете все вланы в бридж, то нужно заблокировать трафик между ними, создав правило на бридже, где in и out bridge = ваш бридж, а то мусорный трафик разлетится по всей сети. Другой вариант создавать отдельный PPPoE сервер на каждый влан, ведь вланы вы все равно создаете и добавляете в бридж, а тут в бридж ничего добавлять не придется. И вообще не понятно, зачем вы каждого пользователя добавляете в бридж, если используется PPPoE? у них внутрисетевой трафик ходит напрямую? Так не правильно, пусть все через PPPoE идет. Либо делайте IPoE, раздав в каждый влан по 1 IP адресу. Определять кто есть кто по радиусу сможете по имени интерфейса, который будет = названию влана. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
orcina Posted October 16, 2014 · Report post спс за советы. но все пользователи авторизуются через радиус. как их принудительно авторизовывать каждый раз на отдельном PPPoE сервере честно говоря я не знаю... Saab95 а вот идея с фильтрацией трафика между виланами вполне ничего. Правильно ли я понял что это разруливается одним правилом bridge - filter + chain=forward/bridges in/out=мой бридж/action=drop Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 16, 2014 · Report post спс за советы. но все пользователи авторизуются через радиус. как их принудительно авторизовывать каждый раз на отдельном PPPoE сервере честно говоря я не знаю... Saab95 а вот идея с фильтрацией трафика между виланами вполне ничего. Правильно ли я понял что это разруливается одним правилом bridge - filter + chain=forward/bridges in/out=мой бридж/action=drop Да фильтр правильно. Вам не надо указывать PPPoE отдельный, если повесите его на каждый влан, роутер сам определит на какой поступил запрос и направит его на радиус сервер. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
orcina Posted October 17, 2014 · Report post Saab95 спасибо за советы.) жить стало проще) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...