多VLAN+多PPPoE分布认证+集中RADIUS计费+缺点思考及处理
声明:
文章中没有配置命令没有脚本,买后不要后悔(也就是虚拟币而以)。
文章分四部分:拓扑、IP段规划、策略、对方案的后续思考。
如果感觉对你的思路有开阔请顶一下,如果感觉文章不好也请拍砖。
网络要求:
电信联通双线,内网需要VLAN,每个VLAN一个PPPoE-SRV,要求在RADIUS中可以方便设置所有VLAN中每个用户走电信或联通。
的范围。我交换机的vlan就要在电信和联通的vlan范围内。例如一个电信的用户他所在的vlan是101.这时候他只能用电信提供的账号。一天他改用联通的,我就要把这个端口划分到201.pppoe是2层协议。请教大神怎么搞,愿意附上论坛1000金币,拜托大师给个方案。 兰彻 发表于 2013-3-13 10:07 static/image/common/back.gif
大师,非常感谢您能回答我难题,看来要冲金币了。但是你的方法是不可行的,虽然我没有看,大玩家大大的思路 ...
假如我的ros有3个端口。端口一链接电信的pppoe链路,端口2链接联通的pppoe链路。端口3下联交换机。在交换机里划分vlan。用trunk口上联ros。交换机一端口一vlan。ros建立100-400的vlan,每个vlan下建立pppoeserver。例如有一个电信账号。账号是dx123,密码123.然后拨上我ros的pppoeserv了。难道radius可以把这个pppoe discovery请求转发的电信的pppoe链路上去?用户都是电信或者联通的。我这里只提供链路。 兰彻 发表于 2013-3-13 10:07 static/image/common/back.gif
大师,非常感谢您能回答我难题,看来要冲金币了。但是你的方法是不可行的,虽然我没有看,大玩家大大的思路 ...
那你看用QinQ是否可行。只在接口端控制用户的vlan。
你那个想法虽然好,但是远水不解近渴啊 glb323 发表于 2013-3-13 10:16 static/image/common/back.gif
那你看用QinQ是否可行。只在接口端控制用户的vlan。
你那个想法虽然好,但是远水不解近渴啊
电信用vlan我就要用vlan电信用qinq我就要用qinq。难题在于怎么转发pppoe discovery 折腾这么多,直接上FTTH得了。想要啥网有啥网。蜘蛛网都没有问题。 折腾这么多,直接上FTTH得了。想要啥网有啥网。蜘蛛网都没有问题。
同意这位仁兄的观点 如果是固定光纤2条,首先在firewall mangle里面规则一条对应电信内网PPPOE的地址池填写都src address 里面 在out interface选择电信那个网卡 在action里面 选择market routing 下面填写 电信,对应的网通也做一个 然后在NAT里面做两条对应pppoe地址的转发规则,还要做4个或者2个DNS规则,/ip fi natadd action=dst-nat chain=dstnatdst-port=53 protocol=udp connection-mark=电信 to-addresses=8.8.8.8 to-ports=53
/ip fi natadd action=dst-nat chain=dstnatdst-port=53 protocol=udp connection-mark=电信 to-addresses=8.8.8.8 to-ports=53 在后做路由 0.0.0.0/0写两条,选择刚刚在mangle里面的东西, 如果是PCC 很多不同的先思路也一样,楼主是不是这个意思? 3533155 发表于 2013-3-14 22:11 static/image/common/back.gif
如果是固定光纤2条,首先在firewall mangle里面规则一条对应电信内网PPPOE的地址池填写都src address 里面...
pppoe拨号是2层的。mangle是3层的,很想看,没有铜币。但是我知道这是没有希望的。只有在桥防火墙里想办法。 兰彻 发表于 2013-3-14 22:22 static/image/common/back.gif
pppoe拨号是2层的。mangle是3层的,很想看,没有铜币。但是我知道这是没有希望的。只有在桥防火墙里想办法 ...
没看懂楼主的意思,原来他是说转发公网的宽带帐号用一个vlan,我以为是PCC或者固定光纤的。如果能够做到一个vlan又可以通电信公网pppoe又可以通联通的公网PPPOE估计也只能用桥来控制后缀名。不过还没想到办法 如果是通过自己的认证系统,我说的方法是可以的。不管你下面还是vlan还是网卡,用户拨号只是地址池的关系。 3533155 发表于 2013-3-14 22:39 static/image/common/back.gif
如果是通过自己的认证系统,我说的方法是可以的。不管你下面还是vlan还是网卡,用户拨号只是地址池的关系。
2层和ip地址没有半毛关系,你去抓一下pppoe discovery包就明白,什么radius都不行。不管是不是·你·自己开发的radius
页:
[1]
2