Какие есть методы изоляции пользователей внутри Vlan (Mikrotik)?
Имеется в наличии несколько свитчей Mikrotik CSR3xxx. Подробно описывать архитектуру не буду, но допустим есть 1 роутер (mikrotik), к нему подключен свитч дистрибуции (mikrotik), к которому в свою очередь подключено еще несколько свитчей (mikrotik). Непосредственно к этим свитчам уже и подключаются клиенты. Все оборудование обрабатывает 5 вланов, чтобы изолировать одни группы клиентов от других. И вот тут возникает вопрос - как изолировать одного пользователя влана от остальных, при этом оставив их внутри одного внешнего влана? И в придачу к этому, без необходимости настройки клиентского оборудования.
Сейчас думаю в сторону QinQ, но есть проблемы с настройкой оборудования - тегированный фрейм проходит через порт и получает второй тег - тут все нормально, но для этого нужно вланы настраивать на клиенте. Завернуть нетегированный трафик в 2 влана на порту микротика пока не получилось.
Обычная сегментация по портам не поможет, так как клиенты будут видеть друг друга на свитче дистрибуции. Есть вариант с Private vlan, но не нашел мануалов по настройке для микротика. Какие еще есть варианты? Это уже вопрос скорее для общего развития, поскольку вланов на оборудовании далеко не 4к, можно просто сделать еще один влан, но очень хотелось бы оставить какую-никакую иерархию в сети
Это плохой сценарий, LAN на то и LAN, чтобы внутри неё хосты общались свободно (на уровне сети). Если все же надо ограничивать, то
1) QinQ, влан на порт, второй тег на агрегации, снимаете оба на маршрутизаторе
2) L2TP/PPPoE/IPoE на пользователя, на коммутаторе port-isolate
3) ACL по мак адресу, разрешите только бродкаст и шлюз
Простой
Средний
Средний
Простой
