Фильтрация по MAC на портах

Тема в разделе "Коммутация", создана пользователем Pavel Glazin, 3 апр 2017.

  1. Pavel Glazin

    Pavel Glazin Новый участник

    Приветствую!
    Помогите пожалуйста разобраться с вопросами фильтрации по MAC.
    ___________________________________________________________
    Дано:
    оборудование mikrotik rb951ui-2hnd со следующей конфигурацией:
    eth1 - trunk с cisco
    eth2-4 - tag vlan для телефонов + untag для пк
    eth5 - untag vlan
    wlan1 - содержит 2 ssid в разных vlan'ах
    ___________________________________________________________
    Проблема:
    самостоятельная установка пользователями личного сетевого оборудования
    ___________________________________________________________
    Задача:
    - в идеале ограничить количество MAC адресов подключенных к каждому порту маршрутизатора (по аналогии с port-security в cisco).
    - если нет, то создать правило разрешающее трафик конкретным MAC адресам и запрещающее всем остальным, не ограничивая при этом пользователей wi-fi
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Bridge Filter
    и функции чипа коммутации
     
    Последнее редактирование модератором: 6 фев 2019
  3. Bogdanov Ivan

    Bogdanov Ivan Новый участник

    Может подскажите. CRS125-24G-1S. Настроены вланы. Задача на access портах настроить mac access per port.
    Через ACL не получиться т.к. 125 не поддерживает. Через bridge filter тоже не выходит. Как ещё можно сделать?
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

  5. Bogdanov Ivan

    Bogdanov Ivan Новый участник

    https://wiki.mikrotik.com/wiki/Manual:CRS1xx/2xx_series_switches#Port_Isolation.2FLeakage
    CRS125 не поддерживает Access Control List, о чем я выше написал. И команда /interface ethernet switch acl add action=drop src-mac-addr-state=sa-not-found src-ports=ether6,ether7 table=egress выдаст message failure: policy rules are not supported on this switch chip. Через bridge filter пробовал, но это тоже не работает /interface bridge filter add action=drop chain=input in-interface=ether3 src-mac-address=!D0:BF:9C:9B:77:77/FF:FF:FF:FF:FF:FF
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    input отработает только если трафик предназначен для роутера. По идее надо forward
     
  7. vasilisij

    vasilisij Новый участник

    Приветствую!
    Помогите, пожалуйста, с фильтрацией по MAC на CRS354-48G-4S+2Q+. Как разрешить доступ в сеть только определенным MAC-адресам на опредеренном порту???
     
  8. Bogdanov Ivan

    Bogdanov Ivan Новый участник

  9. vasilisij

    vasilisij Новый участник

    Пробовал уже... не получается... VLAN как-то влияет(это порт доступа)?

    Даже IP не получаю...
     
    Последнее редактирование: 29 июн 2020
  10. Bogdanov Ivan

    Bogdanov Ivan Новый участник

    unknown-unicast-flood=no попробуйте не отключать
     
  11. vasilisij

    vasilisij Новый участник

    Пробовал... ничего...
     
  12. Bogdanov Ivan

    Bogdanov Ivan Новый участник

    Покажите вывод команд
     
  13. vasilisij

    vasilisij Новый участник

    /interface bridge
    add comment=MAIN_BRIDGE name=bridge vlan-filtering=yes
    /interface ethernet
    set [ find default-name=sfp-sfpplus1 ] comment="TRUNK to K39SW01"
    set [ find default-name=sfp-sfpplus2 ] comment="TRUNK to K39SW102"
    /interface vlan
    add interface=bridge name=MGMT vlan-id=99
    /interface list
    add name=neighbors
    /interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=MikroTik
    /ip hotspot profile
    set [ find default=yes ] html-directory=flash/hotspot
    /interface bridge host
    add bridge=bridge interface=ether1 mac-address=00:26:55:AD:13:E9
    /interface bridge port
    add bridge=bridge interface=ether1 learn=no pvid=17
    add bridge=bridge interface=ether2 pvid=17
    add bridge=bridge interface=ether3 pvid=17
    ....

    add bridge=bridge interface=ether49 pvid=99
    /ip neighbor discovery-settings
    set discover-interface-list=neighbors
    /interface bridge vlan
    add bridge=bridge comment=MGMT tagged=\
    bridge,sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether48 \
    untagged=ether49 vlan-ids=99
    add bridge=bridge comment=STAFF tagged=\
    sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether48 untagged="ether1\
    ,ether2,ether3,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,eth\
    er12,ether13,ether14,ether15,ether16,ether17,ether18,ether19,ether20,ether21\
    ,ether22,ether23,ether24,ether25,ether26,ether27,ether28,ether29,ether31,eth\
    er32,ether33,ether34,ether35,ether36,ether37,ether38,ether39,ether40,ether41\
    ,ether42,ether43,ether44,ether45,ether46,ether47" vlan-ids=17
    add bridge=bridge comment=WIRELESS tagged=\
    sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether48 vlan-ids=123
    add bridge=bridge comment=GUEST_PJT tagged=\
    sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether48 vlan-ids=124
    add bridge=bridge comment=VIOP tagged=\
    sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether48 vlan-ids=20
    /interface ethernet switch rule
    add ports=ether1 src-mac-address=00:26:55:AD:13:E9/FF:FF:FF:FF:FF:FF switch=\
    switch1
    add new-dst-ports="" ports=ether1 switch=switch1
    /interface list member
    add interface=ether49 list=neighbors
    add interface=MGMT list=neighbors
    /ip address
    add address=192.168.99.101/24 interface=MGMT network=192.168.99.0
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set www disabled=yes
    set ssh disabled=yes
    set api disabled=yes
    set api-ssl disabled=yes
    ....

    /tool mac-server
    set allowed-interface-list=neighbors
    /tool mac-server mac-winbox
    set allowed-interface-list=neighbors
    /tool mac-server ping
    set enabled=no
     
  14. Bogdanov Ivan

    Bogdanov Ivan Новый участник

    Если честно, то на беглый взгляд не вижу ошибок, у меня на CRS326 работает, тоже Vlan-ы, а на CRS125 так и не получилось завести. Может коллеги подскажут.
     
  15. vasilisij

    vasilisij Новый участник

    Коллеги!!!! Выручайте!!!!