[orcina]

Доброго времени суток

Вопрос к знатокам микротика

Сейчас у меня имеется PC с ROS 6.20 на котором развернут PPPoE сервер + прикручен к радиус

Все пользователи авторизуются по радиус, dhcp сервер для клиентов также на отдельном сервере

Сейчас сетка построена следующим образом

Создан бридж Local_bridge, в него добавлены:

список vlan 1-100 (каждый авторизированный пользователь находится в своем вилане);

физический интерфейс смотрящий в сторону локалки - ether1 (интерфейс в сторону свичей доступа)

Физический интерфейс смотрящий в сторону радиуса - ether2 (интерфейс в сторону радиуса)

PPPoE сервер

 

Подсеть для менеджемнт vlan 10.0.0.0/24

Подсеть для пользователей 192.168.0.0/16

 

конфигурация выглядит примерно так:

/interface bridge

add mtu=1500 name=local_bridge

 

/interface vlan

add interface=ether1 l2mtu=1586 name=vlan1 vlan-id=1

add interface=ether1 l2mtu=1586 name=vlan4 vlan-id=4

add interface=ether1 l2mtu=1586 name=vlan5 vlan-id=5

add interface=ether1 l2mtu=1586 name=vlan6 vlan-id=6

add interface=ether1 l2mtu=1586 name=vlan7 vlan-id=7

...

 

/interface bridge port

add bridge=local_bridge interface=ether1 (интерфейс в сторону свичей доступа)

add bridge=local_bridge interface=ether2 (интерфейс в сторону радиуса)

add bridge=local_bridge interface=vlan10

add bridge=local_bridge interface=vlan11

add bridge=local_bridge interface=vlan12

add bridge=local_bridge interface=vlan13

...

 

/interface pppoe-server server

add disabled=no interface=local_bridge keepalive-timeout=15 max-mru=1460 \

max-mtu=1440 mrru=1600 one-session-per-host=yes service-name=service2

 

/ip address

add address=10.0.0.1/24 interface=vlan1 network=10.0.0.0

 

На сколько подобная конфигурация верна? верно ли собран бридж для работы пользователей и локальных ресурсов?

 

ПЫсЫ: сильно не пинать

[Saab95]

Нет не верно. Если добавляете все вланы в бридж, то нужно заблокировать трафик между ними, создав правило на бридже, где in и out bridge = ваш бридж, а то мусорный трафик разлетится по всей сети.

Другой вариант создавать отдельный PPPoE сервер на каждый влан, ведь вланы вы все равно создаете и добавляете в бридж, а тут в бридж ничего добавлять не придется.

 

И вообще не понятно, зачем вы каждого пользователя добавляете в бридж, если используется PPPoE? у них внутрисетевой трафик ходит напрямую? Так не правильно, пусть все через PPPoE идет. Либо делайте IPoE, раздав в каждый влан по 1 IP адресу. Определять кто есть кто по радиусу сможете по имени интерфейса, который будет = названию влана.

[orcina]

спс за советы. но все пользователи авторизуются через радиус. как их принудительно авторизовывать каждый раз на отдельном PPPoE сервере честно говоря я не знаю...

Saab95 а вот идея с фильтрацией трафика между виланами вполне ничего. Правильно ли я понял что это разруливается одним правилом bridge - filter + chain=forward/bridges in/out=мой бридж/action=drop

[Saab95]

спс за советы. но все пользователи авторизуются через радиус. как их принудительно авторизовывать каждый раз на отдельном PPPoE сервере честно говоря я не знаю...

Saab95 а вот идея с фильтрацией трафика между виланами вполне ничего. Правильно ли я понял что это разруливается одним правилом bridge - filter + chain=forward/bridges in/out=мой бридж/action=drop

 

Да фильтр правильно.

 

Вам не надо указывать PPPoE отдельный, если повесите его на каждый влан, роутер сам определит на какой поступил запрос и направит его на радиус сервер.

[orcina]

Saab95 спасибо за советы.) жить стало проще)