orcina Posted October 15, 2014 Posted October 15, 2014 Доброго времени суток Вопрос к знатокам микротика Сейчас у меня имеется PC с ROS 6.20 на котором развернут PPPoE сервер + прикручен к радиус Все пользователи авторизуются по радиус, dhcp сервер для клиентов также на отдельном сервере Сейчас сетка построена следующим образом Создан бридж Local_bridge, в него добавлены: список vlan 1-100 (каждый авторизированный пользователь находится в своем вилане); физический интерфейс смотрящий в сторону локалки - ether1 (интерфейс в сторону свичей доступа) Физический интерфейс смотрящий в сторону радиуса - ether2 (интерфейс в сторону радиуса) PPPoE сервер Подсеть для менеджемнт vlan 10.0.0.0/24 Подсеть для пользователей 192.168.0.0/16 конфигурация выглядит примерно так: /interface bridge add mtu=1500 name=local_bridge /interface vlan add interface=ether1 l2mtu=1586 name=vlan1 vlan-id=1 add interface=ether1 l2mtu=1586 name=vlan4 vlan-id=4 add interface=ether1 l2mtu=1586 name=vlan5 vlan-id=5 add interface=ether1 l2mtu=1586 name=vlan6 vlan-id=6 add interface=ether1 l2mtu=1586 name=vlan7 vlan-id=7 ... /interface bridge port add bridge=local_bridge interface=ether1 (интерфейс в сторону свичей доступа) add bridge=local_bridge interface=ether2 (интерфейс в сторону радиуса) add bridge=local_bridge interface=vlan10 add bridge=local_bridge interface=vlan11 add bridge=local_bridge interface=vlan12 add bridge=local_bridge interface=vlan13 ... /interface pppoe-server server add disabled=no interface=local_bridge keepalive-timeout=15 max-mru=1460 \ max-mtu=1440 mrru=1600 one-session-per-host=yes service-name=service2 /ip address add address=10.0.0.1/24 interface=vlan1 network=10.0.0.0 На сколько подобная конфигурация верна? верно ли собран бридж для работы пользователей и локальных ресурсов? ПЫсЫ: сильно не пинать Вставить ник Quote
Saab95 Posted October 16, 2014 Posted October 16, 2014 Нет не верно. Если добавляете все вланы в бридж, то нужно заблокировать трафик между ними, создав правило на бридже, где in и out bridge = ваш бридж, а то мусорный трафик разлетится по всей сети. Другой вариант создавать отдельный PPPoE сервер на каждый влан, ведь вланы вы все равно создаете и добавляете в бридж, а тут в бридж ничего добавлять не придется. И вообще не понятно, зачем вы каждого пользователя добавляете в бридж, если используется PPPoE? у них внутрисетевой трафик ходит напрямую? Так не правильно, пусть все через PPPoE идет. Либо делайте IPoE, раздав в каждый влан по 1 IP адресу. Определять кто есть кто по радиусу сможете по имени интерфейса, который будет = названию влана. Вставить ник Quote
orcina Posted October 16, 2014 Author Posted October 16, 2014 спс за советы. но все пользователи авторизуются через радиус. как их принудительно авторизовывать каждый раз на отдельном PPPoE сервере честно говоря я не знаю... Saab95 а вот идея с фильтрацией трафика между виланами вполне ничего. Правильно ли я понял что это разруливается одним правилом bridge - filter + chain=forward/bridges in/out=мой бридж/action=drop Вставить ник Quote
Saab95 Posted October 16, 2014 Posted October 16, 2014 спс за советы. но все пользователи авторизуются через радиус. как их принудительно авторизовывать каждый раз на отдельном PPPoE сервере честно говоря я не знаю... Saab95 а вот идея с фильтрацией трафика между виланами вполне ничего. Правильно ли я понял что это разруливается одним правилом bridge - filter + chain=forward/bridges in/out=мой бридж/action=drop Да фильтр правильно. Вам не надо указывать PPPoE отдельный, если повесите его на каждый влан, роутер сам определит на какой поступил запрос и направит его на радиус сервер. Вставить ник Quote
orcina Posted October 17, 2014 Author Posted October 17, 2014 Saab95 спасибо за советы.) жить стало проще) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.