client isolation

[ahmadvb]

سلام
شرح شبکه :
یک شبکه داریم شامل:
* - شش دکل که از یک نقطه به صورت بی سیم دیتا می گیرند.
* - روی هر دکل : یک رادیوی گیرنده و میانگین 10 رادیوی فرستنده.
* - رادیو ها هم شامل آنتن باکس های میکروتیک و تجهیزات UBQuity M5 , M2 می باشد.
* - پایین هر دکل یک سوییچ کار تقسیم شبکه را انجام می دهد.
* - کاربران از اتصالات PPPOE و هم HotSpot استفاده می کنند.
* - با توجه به اینکه درون شبکه یک DHCP Server درحال اجرا است هر کاربر در زمان روشن کردن گیرنده خود یک IP اتوماتیک بر روی سیستم خود خواهد داشت.

مسئله :
ما می خواهیم از دسترسی کاربران به سیستم های یکدیگر (مثل File and Printer Sharing و هر نوع ارتباط دیگر) جلوگیری کنیم.

* - در حال حاضر با بستن پورت های خاصی روی روتر تا حدی این نتیجه حاصل شده است ولی در نقاط فاصله دار گاهی کار نمی کند یا وقتی ارتباط یک دکل با روتر قطع می شود کاربران آن دکل تا وقتی هنوز IP های خود را در اختیار دارند می توانند این کار را انجام دهند
* - درون رادیو ها گزینه ای به نام Client Isolation وجود دارد که باعث می شود کاربران آن رادیو به هم دسترسی نداشته باشند ولی کاربران یک رادیو به کاربران رادیوی دیگر قابلیت دسترسی دارند.

ما به سوییچ های مدریرتی ای (Management) نیاز داریم که در پایین هر دکل قرار گرفته و این خاصیت را داشته باشند که بتوان آن را طوری تنظیم کرد که یکی از پورت های آن قابلیت دسترسی به سایر پورت ها را داشته باشد ولی سایر پورت ها قابلیت دسترسی به یکدیگر را نداشته باشند.
نکته اینکه من نمی خواهم ازVLAN و Trunk استفاده کنم بلکه می خواهم در واقع Port Isolation داشته باشم.

سوال :
آیا سوییچ های لایه 2 می توانند خاصیت مورد نظر را داشته باشند یا خیر ؟
ارزان ترین سوییچ مدیریتی 5 پورت ، 8 پورت ، 16 پورت و 24 پورت که این قابلیت را داشته باشد چه پیشنهاد می کنید :
چه دستوری برای انجام این کار روی سوییچ مورد نظر لازم به اجرا است.

با تشکر از دوستان عزیز

---

موضوعات مشابه:

• Clients Isolation
• سوال در مورد ساختن FTP Isolation
• client isolation بر روی mikrotik چه جوری فعال میشه
• AP Isolation
• Client Isolation

---

[SADEGH65]

سلام دوست گرامی
دستگاهی که برای شما کار PPPoE سرور و Hotspot چیست ؟!!

شما باید برای دسترسی هر رادیوی ارتباطی با این سرور دسترسی کاربران به شبکه (NAS ) باید از یک اینترفیس جدا استفاده نمایید و با فایروال دسترسی بین ارتباط اینترفیس ها را محدود نمایید.

حال در صورتی که این دیوایس مرکزی به تعداد رادیو های شما اینترفیس دارد فقط تنظیمات این دستگاه مرکزی میماند و در غیر این صورت بهترین کار همان مورد است که شما به نشرتان رسیده است یعنی استفاده از یک سوییچ با قابلیت Vlan و Vlan بندی این رادیو ها حال به دو صورت ارتباط آنها توسط یک پورت ترانک و ایجاد اینترفیس در Vlan در دیوایس مرکزی و یا اینکه استفاده از Private Vlan و یا استفاده از Port Access List بر روی پورت های ورودی از رادیو ها.

[ahmadvb]

سلام
دستگاه من روتربورد Mikrotik 1200 است.
تعداد پورت این روتر برای رادیو های مختلف کم است و همچنین امکان VLAN بندی و استفاده از ترانک ندارم.
سوالم این است که آیا با Access List ی که شما می فرمایید می توان این کار را انجام داد ؟ یعنی طوری بتوان تعریف کرد یک پورت خاص به سایر پورت ها دسترسی داشته باشد ولی سایر پورت ها به یکدیگر دسترسی نداشته باشد. با این روش پورت دیتای ورودی هر دکل را می توان به پورتی وصل کرد که به سایرین دسترسی دارد و همین برای من کافی است.
آیا سوییچ های لایه 2 Level1 این قابلیت را دارند ؟
متشکر