|
Данную конкретную задачу решает config traffic_segmentation
Задаёте список портов, которые не должны видеть друг друга, и в качестве порта назначения ставите порт с микротиком.
То же самое делается и на 3526.
Но вот в дальнейшем настоятельно рекомендую отойти от "колхоза" и вместо 82 костылей сделать по влану на абонента. На 3200-28 включается vlan_trunk и все эти вланы прозрачно льются в роутер.
Почему такое решение лучше: при изоляции портов, хоть у абонентов и теряется возможность прямой связи, они всё ещё имеют возможность нагадить друг другу - поставив одинаковые мак-адреса. Зачастую это даже не злонамеренно - самый частый случай, когда абонент в своём домашнем роутере задействует функцию клонирования мака, а затем апгрейдит роутер, отдав старый соседу. Всё - маки одинаковы.
В случае вланов маки могут дублироваться, это никому не помешает, ситуация штатная.
А самая большая неприятность в "колхозе" - когда у юзера оказывается мак роутера. Интенсивный трафик с его стороны приводит к огромным потерям пакетов в сети.
Чтобы со всем этим бороться, "колхозники" увешивают свичи доступа блокирующими правилами. Но вместо борьбы со следствием лучше устранить причину - "колхоз".
Есть и более красивое решение с вланами, которое я применяю в своих сетях - на 3200-28 включается Q-in-Q и "внутренние" вланы с 3526 инкапсулируются во "внешние" вланы на 3200-28. Это позволяет обойти ограниченние на 4095 вланов и сделать их количество практически неограниченным. Но я не применяю микротик и не знаю, поддерживает ли он Q-in-Q. Решение с vlan_trunk сработает точно.
А для работы RA на ipv6 костыли типа opt82 не годятся в принципе, т.к. клиент сам назначает себе адрес…
|
Вход
Регистрация
FAQ
Поиск
