Как запретить группе устройств общаться между собой?

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

Вот такой у меня ход мыслей:

Цель - создать группы устройств, которым будет запрещено общаться между собой.
это мне нужно для:
    1) уменьшения нагрузки на сетевое оборудование
    2) уменьшения количества широковещательного трафика
    3) предотрващения распространиения вирусов

я так понимаю что в решении этой проблемы мне как-то должны помочь VLAN-ы, но как я понял в одном влане устройства спокойно могут видеть друг друга.
я же хочу чтобы некоторые устройства друг друга не видели вообще а видели только интернет (и/или) нужные мне внутренние подсети.

подскажите правильно ли я рассуждаю и в каком направлении мне копать? ) как решить такую задачу в микротике?


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Мысли/идеи/предложения лишь мои:

1) VLAN'ы (в целом)
1.1) VLAN + Isolation
1.2) VLAN на/для каждого юзера (так иногда делают провайдеры)

2) сеть /24 дробить на сети /30 = 64 подсети = 64 адреса/юзера
2.1) если пере/на/за-мудрить, может и /32 маска пойдёт....

3) Ассорти: выделить отдельные серисы в отдельные сегменты, как в рамках и
L2-уровня, так и в рамках L3-уровня, то есть видео/охрана в отдельной IP-сети,
и в отдельном вилане, также и с другими сервисами (телефония, вифи-сеть(и),
менеджмент,бухи, админы и т.д.)
3.1) всё же доступы и сетевое окружение почему то многим надо, поэтому
для компов, которые/которых это не требуется, и стоит задача только выпускать
в Интернет, и не нужны доступы вообще никаких = проще делать только гостевую сетку,
пусть "плавают" вместе и без ничего важного-локального.

NB:
Короче вариаций масса, и вообще это комплексное решение, которое надо проверить,
уточнить, оттестировать, изолировать вот так резко - вряд ли получиться.
Да и введение виланов в организацию, это и подготовка и свитчей, и политики и документации.
Да и начальство/руководство должно быть понимающи- адекватное, а то скажут - делайте,
а через неделю/месяц: "...всё плохо, вернуть взад".
Так что 5 раз думаем, 3 раза согласовываем, 2 раза испытываем, и уже последний раз - начистовик.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить