多VLAN+多PPPoE分布认证+集中RADIUS计费+缺点思考及处理

rosabc · 发表于 2013-3-13 06:39:00

多VLAN+多PPPoE分布认证+集中RADIUS计费+缺点思考及处理

声明：
文章中没有配置命令没有脚本，买后不要后悔(也就是虚拟币而以)。
文章分四部分：拓扑、IP段规划、策略、对方案的后续思考。
如果感觉对你的思路有开阔请顶一下，如果感觉文章不好也请拍砖。

网络要求：

电信联通双线，内网需要VLAN，每个VLAN一个PPPoE-SRV，要求在RADIUS中可以方便设置所有VLAN中每个用户走电信或联通。

购买主题 已有 11 人购买 本主题需向作者支付 50 铜板 才能浏览

wld2005 · 发表于 2013-3-13 07:48:20

有点意思学习一下

sealin · 发表于 2013-3-13 09:29:58

其实不贵，就是得充值，哈哈，拍个砖，管理员给来个折扣吧

9939781 · 发表于 2013-3-13 09:31:50

兰彻 · 发表于 2013-3-13 10:07:39

大师，非常感谢您能回答我难题，看来要冲金币了。但是你的方法是不可行的，虽然我没有看，大玩家大大的思路才是正确的。首先pppoe是2层协议根本不管ip什么的。除非radius能够中继转发pppoe discovery。我打个比方吧。电信的bras在vlan100-200的范围，联通的bras在200-400
的范围。我交换机的vlan就要在电信和联通的vlan范围内。例如一个电信的用户他所在的vlan是101.这时候他只能用电信提供的账号。一天他改用联通的，我就要把这个端口划分到201.pppoe是2层协议。请教大神怎么搞，愿意附上论坛1000金币，拜托大师给个方案。

兰彻 · 发表于 2013-3-13 10:15:15

兰彻发表于 2013-3-13 10:07

登录/注册后可看大图

大师，非常感谢您能回答我难题，看来要冲金币了。但是你的方法是不可行的，虽然我没有看，大玩家大大的思路 ...

假如我的ros有3个端口。端口一链接电信的pppoe链路，端口2链接联通的pppoe链路。端口3下联交换机。在交换机里划分vlan。用trunk口上联ros。交换机一端口一vlan。ros建立100-400的vlan，每个vlan下建立pppoeserver。例如有一个电信账号。账号是dx123，密码123.然后拨上我ros的pppoeserv了。难道radius可以把这个pppoe discovery请求转发的电信的pppoe链路上去？用户都是电信或者联通的。我这里只提供链路。

glb323 · 发表于 2013-3-13 10:16:12

兰彻发表于 2013-3-13 10:07

登录/注册后可看大图

大师，非常感谢您能回答我难题，看来要冲金币了。但是你的方法是不可行的，虽然我没有看，大玩家大大的思路 ...

那你看用QinQ是否可行。只在接口端控制用户的vlan。
你那个想法虽然好，但是远水不解近渴啊

兰彻 · 发表于 2013-3-13 10:32:47

glb323 发表于 2013-3-13 10:16

登录/注册后可看大图

那你看用QinQ是否可行。只在接口端控制用户的vlan。
你那个想法虽然好，但是远水不解近渴啊

电信用vlan我就要用vlan电信用qinq我就要用qinq。难题在于怎么转发pppoe discovery

qq593455313 · 发表于 2013-3-14 11:19:14

折腾这么多，直接上FTTH得了。想要啥网有啥网。蜘蛛网都没有问题。

ynqjwsm · 发表于 2013-3-14 17:00:38

折腾这么多，直接上FTTH得了。想要啥网有啥网。蜘蛛网都没有问题。
同意这位仁兄的观点

3533155 · 发表于 2013-3-14 22:11:03

如果是固定光纤2条，首先在firewall mangle里面规则一条对应电信内网PPPOE的地址池填写都src address 里面在out interface选择电信那个网卡在action里面选择market routing 下面填写电信，对应的网通也做一个然后在NAT里面做两条对应pppoe地址的转发规则，还要做4个或者2个DNS规则，/ip fi nat add action=dst-nat chain=dstnat dst-port=53 protocol=udp connection-mark=电信 to-addresses=8.8.8.8 to-ports=53
/ip fi nat add action=dst-nat chain=dstnat dst-port=53 protocol=udp connection-mark=电信 to-addresses=8.8.8.8 to-ports=53 在后做路由 0.0.0.0/0写两条，选择刚刚在mangle里面的东西，如果是PCC 很多不同的先思路也一样，楼主是不是这个意思？

兰彻 · 发表于 2013-3-14 22:22:49

3533155 发表于 2013-3-14 22:11

登录/注册后可看大图

如果是固定光纤2条，首先在firewall mangle里面规则一条对应电信内网PPPOE的地址池填写都src address 里面 ...

pppoe拨号是2层的。mangle是3层的，很想看，没有铜币。但是我知道这是没有希望的。只有在桥防火墙里想办法。

3533155 · 发表于 2013-3-14 22:35:00

兰彻发表于 2013-3-14 22:22

登录/注册后可看大图

pppoe拨号是2层的。mangle是3层的，很想看，没有铜币。但是我知道这是没有希望的。只有在桥防火墙里想办法 ...

没看懂楼主的意思，原来他是说转发公网的宽带帐号用一个vlan，我以为是PCC或者固定光纤的。如果能够做到一个vlan又可以通电信公网pppoe又可以通联通的公网PPPOE估计也只能用桥来控制后缀名。不过还没想到办法

3533155 · 发表于 2013-3-14 22:39:18

如果是通过自己的认证系统，我说的方法是可以的。不管你下面还是vlan还是网卡，用户拨号只是地址池的关系。

兰彻 · 发表于 2013-3-14 22:48:23

3533155 发表于 2013-3-14 22:39

登录/注册后可看大图

如果是通过自己的认证系统，我说的方法是可以的。不管你下面还是vlan还是网卡，用户拨号只是地址池的关系。

2层和ip地址没有半毛关系，你去抓一下pppoe discovery包就明白，什么radius都不行。不管是不是·你·自己开发的radius

rosabc rosabc 当前离线积分 57 IP卡狗仔卡	发表于 2013-3-13 06:39:00 \| 显示全部楼层 \|阅读模式多VLAN+多PPPoE分布认证+集中RADIUS计费+缺点思考及处理声明：文章中没有配置命令没有脚本，买后不要后悔(也就是虚拟币而以)。文章分四部分：拓扑、IP段规划、策略、对方案的后续思考。如果感觉对你的思路有开阔请顶一下，如果感觉文章不好也请拍砖。网络要求：电信联通双线，内网需要VLAN，每个VLAN一个PPPoE-SRV，要求在RADIUS中可以方便设置所有VLAN中每个用户走电信或联通。购买主题已有 11 人购买本主题需向作者支付 50 铜板才能浏览
rosabc rosabc 当前离线积分 57 IP卡狗仔卡	routeros
	回复使用道具举报提升卡置顶卡沉默卡喧嚣卡变色卡显身卡

[限速] 多VLAN+多PPPoE分布认证+集中RADIUS计费+缺点思考及处理

点评

账号		自动登录	找回密码
密码			注册