碰到问题了：ROS无法限制用户上网(表达能力有限，第三次修改)

ivygg 发表于 2009-5-18 13:03:31

本帖最后由 ivygg 于 2009-5-19 07:05 编辑

看是偶语文没有学好，表达有问题，惭愧惭愧，再次请高手赐教。

网络拓扑如下，黑色部分为原来已有，蓝色为新增。要求原内网业务所有机器能跑，利用mac通过设置ROS只要PC1能上外网。

说明：三层交换为网关，做了vlan并开启了ip route（0.0.0.0/0指向ROS，172.20.0.0/16指向内部路由），mac为00:00:00:00:00:dd

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
偶现在的ROS设置是在fw里添加
/ip firewall filter

add action=accept chain=forward comment="" disabled=no src-mac-address=00:00:00:00:00:dd
add action=accept chain=forward comment="" disabled=no src-mac-address=00:00:00:00:00:aa
add action=drop chain=forward comment="" disabled=no src-address=172.20.1.0/24

这样PC1能上（蓝色部分不加上就无法上网），但PC2，PC3偶尔也能打开网页且QQ一类聊天工具能登录。
如果关闭三层交换的ip route，用ROS做网关并在ROS里加两条路由，就能达到偶要效果，考虑到设备稳定性最好不这么做。

xxxyyy888 发表于 2009-5-18 13:26:44

讲的不明不白,高手也无解

fillmore 发表于 2009-5-18 16:10:14

路过~~~~~~~~~

zhjchina 发表于 2009-5-18 16:59:37

在下理解能力差，就不能给你解答了

WGHBOY 发表于 2009-5-18 17:00:45

看不懂

zefa 发表于 2009-5-18 18:23:56

问题是在你的ROS能否看到下面PC的MAC地址，把ROS内网网卡设置为只读模式

小小鸟 发表于 2009-5-18 18:37:58

看他说明ROS应该是看不到下面PC的MAC地址。。。只有三层交换的能看到。。。

ivygg 发表于 2009-5-18 22:57:54

再次修改希望诸位能看懂了……:loveliness:

seignior 发表于 2009-5-19 00:27:02

你的所谓“三层交换机”，是指
这是一台有三层交换功能的交换机，但你依然当作普通二层交换机使用
还是
这是一台有三层交换功能的交换机，而且你开启了部分三层功能？(如果有，请说明)

ivygg 发表于 2009-5-19 06:40:20

回楼上，做了vlan并开启了ip route（0.0.0.0/0指向ROS，172.20.0.0/16指向内部路由）目前偶能进入操作的有三层交换和ROS。

samboy 发表于 2009-5-19 07:15:50

睇到乌蛇蛇

psussx 发表于 2009-5-21 08:12:37

不明白

LW2008 发表于 2009-5-22 00:05:48

楼主，把要实现的功能最后列个1.2.3，就清楚了!

47771885 发表于 2009-5-22 00:53:57

好像没看懂

hygod163 发表于 2009-5-22 03:13:55

三层转发后MAC就不能作为参考依据了，最好用IP地址进行限制，我也是表达白痴，不知道说明白没有，呵呵

页: [1]

自由的生活_软路由's Archiver

碰到问题了：ROS无法限制用户上网(表达能力有限，第三次修改)