请教 2层bridge防火墙 如何阻止回应拨号691错误

wasps

我以前做过一个网络，他是内网两台pppoeserver,要求不用输入服务名，各走各的不能报691。后来我就是这么给解决的，这个跟你那一个道理。前两天比较忙时间。

wasps

我以前做过一个网络，他是内网两台pppoeserver,要求不用输入服务名，各走各的不能报691。后来我就是这么给解决的，这个跟你那一个道理。前两天比较忙时间。

qiznstar

经测试有效，配合认证可以完美收集用户的MAC，局域网只有ROS的pppoe-dicovery，可以二层桥上面屏蔽掉除ROS外其他所有的pppoe-discovery。
然后利用认证，将联通账号录入后台，因为不能管制密码，所以可将这个账号设置为任意密码。
用户在第一次拔号时，认证收集MAC，区别这个用户并用API加入到桥里面映射，然后认证将这个用户踢下线，用户再拔的时候就自动跑联通了。
用户更换电脑时，认证收集到MAC地址和以前的记录不一样，则区别这个用户并用API把MAC修改到桥里面映射。然后认证再把这个用户踢下线，用户再拔的时候又就自动跑联通了完成了修改过程。
这是私有的用户和公有的用户过渡方案，不需要服务名。并可以管制账号，但管理不了密码，也无看查看联通的用户是否在线。

qiznstar

免密码也是个问题，容易被人恶意修改，不免密码也是个问题，认证后台的密码又不能和联通的密码同步。。
看来只能采取提取过MAC的，不允许再拔了，如果换过电脑，要管理员清除里面登记的MAC了。

htqt

不知道改光纤到户，在MA5680T上好不好解决

lgflin

记号路过！！！！

3533155

兰彻 发表于 2013-3-12 23:56

                               
登录/注册后可看大图

我这里有2个bras接入我的链路，以前通过划分vlan来解决，这样的方法是在是太麻烦了。例如vlan1下的用户是 ...

我应该理解你的意思了，你是租用电信的光路，光路例如包含vlan1000到2000 同时也租用了联通光路，vlan2001到4000 现在你就想通过一个一个ROS做桥，桥下面连接你的核心交换机，一条链路而已，帐号还是用电信联通的公网帐号，是吧，下面核心交换机一个端口又想做电信又想做联通的公网，你的ROS就是想做到区分这两种帐号对应的vlan号，让他们同电信或者移动。我曾经问过网大的人，说可以通过桥 和帐号的@163.gd和@139.gd那样来做，这个确实值得研究。

兰彻

3533155 发表于 2013-3-16 12:56

                               
登录/注册后可看大图

我应该理解你的意思了，你是租用电信的光路，光路例如包含vlan1000到2000 同时也租用了联通光路，vlan200 ...

有vlan的情况下基本无解

兰彻

qiznstar 发表于 2013-3-15 18:01

                               
登录/注册后可看大图

经测试有效，配合认证可以完美收集用户的MAC，局域网只有ROS的pppoe-dicovery，可以二层桥上面屏蔽掉除ROS外 ...

大师能看下你的具体的策略吗？不知道你的环境有没有vlan。没有vlan的情况我已经解决了，有vlan好像基本无解了

兰彻

qiznstar 发表于 2013-3-15 18:01

                               
登录/注册后可看大图

经测试有效，配合认证可以完美收集用户的MAC，局域网只有ROS的pppoe-dicovery，可以二层桥上面屏蔽掉除ROS外 ...

大师其实只要管pppoe discovery就行了。然后用命令吧用户踢下线，第2次就不会拨号到自己搭建的pppoe serv上来。大师能看下你的桥防火墙设置吗？谢谢了

3533155

兰彻 发表于 2013-3-16 14:16

                               
登录/注册后可看大图

有vlan的情况下基本无解

要研究一下，这个研究出来确实能给现在网络省不少钱。

wswsysl

这个标记一下

jike106397

楼上正解。

飞天猴子

我也碰到同样的需求，求助！