Приветствую! Помогите пожалуйста разобраться с вопросами фильтрации по MAC. ___________________________________________________________ Дано: оборудование mikrotik rb951ui-2hnd со следующей конфигурацией: eth1 - trunk с cisco eth2-4 - tag vlan для телефонов + untag для пк eth5 - untag vlan wlan1 - содержит 2 ssid в разных vlan'ах ___________________________________________________________ Проблема: самостоятельная установка пользователями личного сетевого оборудования ___________________________________________________________ Задача: - в идеале ограничить количество MAC адресов подключенных к каждому порту маршрутизатора (по аналогии с port-security в cisco). - если нет, то создать правило разрешающее трафик конкретным MAC адресам и запрещающее всем остальным, не ограничивая при этом пользователей wi-fi
Может подскажите. CRS125-24G-1S. Настроены вланы. Задача на access портах настроить mac access per port. Через ACL не получиться т.к. 125 не поддерживает. Через bridge filter тоже не выходит. Как ещё можно сделать?
https://wiki.mikrotik.com/wiki/Manual:CRS1xx/2xx_series_switches#Port_Isolation.2FLeakage CRS125 не поддерживает Access Control List, о чем я выше написал. И команда /interface ethernet switch acl add action=drop src-mac-addr-state=sa-not-found src-ports=ether6,ether7 table=egress выдаст message failure: policy rules are not supported on this switch chip. Через bridge filter пробовал, но это тоже не работает /interface bridge filter add action=drop chain=input in-interface=ether3 src-mac-address=!D0:BF:9C:9B:77:77/FF:FF:FF:FF:FF:FF
Приветствую! Помогите, пожалуйста, с фильтрацией по MAC на CRS354-48G-4S+2Q+. Как разрешить доступ в сеть только определенным MAC-адресам на опредеренном порту???
/interface bridge add comment=MAIN_BRIDGE name=bridge vlan-filtering=yes /interface ethernet set [ find default-name=sfp-sfpplus1 ] comment="TRUNK to K39SW01" set [ find default-name=sfp-sfpplus2 ] comment="TRUNK to K39SW102" /interface vlan add interface=bridge name=MGMT vlan-id=99 /interface list add name=neighbors /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /interface bridge host add bridge=bridge interface=ether1 mac-address=00:26:55:AD:13:E9 /interface bridge port add bridge=bridge interface=ether1 learn=no pvid=17 add bridge=bridge interface=ether2 pvid=17 add bridge=bridge interface=ether3 pvid=17 .... add bridge=bridge interface=ether49 pvid=99 /ip neighbor discovery-settings set discover-interface-list=neighbors /interface bridge vlan add bridge=bridge comment=MGMT tagged=\ bridge,sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether48 \ untagged=ether49 vlan-ids=99 add bridge=bridge comment=STAFF tagged=\ sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether48 untagged="ether1\ ,ether2,ether3,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,eth\ er12,ether13,ether14,ether15,ether16,ether17,ether18,ether19,ether20,ether21\ ,ether22,ether23,ether24,ether25,ether26,ether27,ether28,ether29,ether31,eth\ er32,ether33,ether34,ether35,ether36,ether37,ether38,ether39,ether40,ether41\ ,ether42,ether43,ether44,ether45,ether46,ether47" vlan-ids=17 add bridge=bridge comment=WIRELESS tagged=\ sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether48 vlan-ids=123 add bridge=bridge comment=GUEST_PJT tagged=\ sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether48 vlan-ids=124 add bridge=bridge comment=VIOP tagged=\ sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether48 vlan-ids=20 /interface ethernet switch rule add ports=ether1 src-mac-address=00:26:55:AD:13:E9/FF:FF:FF:FF:FF:FF switch=\ switch1 add new-dst-ports="" ports=ether1 switch=switch1 /interface list member add interface=ether49 list=neighbors add interface=MGMT list=neighbors /ip address add address=192.168.99.101/24 interface=MGMT network=192.168.99.0 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes .... /tool mac-server set allowed-interface-list=neighbors /tool mac-server mac-winbox set allowed-interface-list=neighbors /tool mac-server ping set enabled=no
Если честно, то на беглый взгляд не вижу ошибок, у меня на CRS326 работает, тоже Vlan-ы, а на CRS125 так и не получилось завести. Может коллеги подскажут.