如何限制用户建立局域网

qdlyq

我用的北方电信的一个百兆端口做宽带小区:方式是:电信的一个百兆端口,下面接华为的交换机,然后,用光端收发器和光纤到小区,做宽带小曲.放的是电信的PPPOE帐号和密码,由于北方电信的PPPOE不能捆绑用户,所以,很多用户自己做了局域网.我想在华为的交换机和到小区的光收发器之间加一个网桥防火墙,限制用户建立局域网,请问如何实现?能否以捆绑MAC的方式实现?如果实现?请高手帮忙,谢谢

zhjchina

捆绑mac？那客户可以克隆mac

xugr

没看太明白，是不让用户访问局域网，就用交换机VLAN就可以了。
如果是禁止用户用路由器分线，电信那里都做不到，而且用的是电信的BRAS,你怎么控制。

wlyc1

用802.1X认证，或者改用其它方式~应该可行

qdlyq

[img][/img]D:\Backup\我的文档\My Pictures\123.bmp

qdlyq

说明
目前有北方电信的PPPOE拨号服务器和自己配置的routreosPPPOE拨号服务器，用户分别可以通过LAN22用拨号的方式登陆北方电信的PPPOE拨号服务器;通过LAN21，用拨号的方式登陆自己配置的PPPOE拨号服务器。
自己配置的routerosPPPOE拨号服务器做了MAC地址跟PPPOE号码的捆绑，能做的一一对应。北方电信的PPPOE拨号服务器不能做了MAC地址跟PPPOE号码的捆绑，能做的一一对应，因此，有很多用户，自己用申请的一个号码通过路由器做局域网，影响了其他用户的速度,也影响了我们的收益。
现在，我想在两个PPPOE服务器的前面，加一个网桥。用户通过网桥以后，再通过拨号登陆拨号服务器后访问互联网。
要求：1：当用户的IP地址是：172。1。0。1------172。1。0。254  
                            172．1．1．1------172。1。1。254
        的时候，通过LAN1到WAN1  到北方电信的PPPOE拨号服务器   
        当用户的IP地址是其他的时候，通过LAN1到WAN2，到自己配置的routerosPPPOE拨号服务器
      2：由于北方电信的PPPOE拨号服务器没有做MAC地址跟PPPOE号码的捆绑，所以在网桥上对北方电信的用户进行IP地址跟MAC捆绑，只有通过认证的用户，才能登陆北方电信的PPPOE拨号服务器

jackzmeng

pppoe是基于二层的协议~~

你在网桥上面做基于ip的策略
没有任何作用

zhjchina

7# jackzmeng


楼上的兄弟言之有理，建议楼主多去学学基础知识

qdlyq

水平一般啊,请问能帮我设计一个限制MAC同过的网桥吗?一个WAN,一个LAN 就可以
可以限制MAC,可以是捆绑的通过,没有捆绑的限制  ,谢谢了啊

zooyo

这也不是解决的根本办法啊，你是想控制你下面的直接客户不能再NAT共享，对吧？想让他们多开几个账号。