Sou usuário do Mk-auth há cerca de um ano e meio, e sempre me perguntei como fazer pra diminuir o tráfego na minha rede (que ainda é modesta, mas claro, quero aumentar a quantidade de clientes) e me esbarro neste problema "grande quantidade de tráfego desnecessário na rede", por exemplo, tem clientes que já descobriram como colocar as máquinas em rede e jogarem usando minha rede local, vírus se espalhando na rede infectando as máquinas dos clientes, problemas de isolamento eficaz por área na rede, entre outros muitos problemas decorrentes de uma topologia unificada, ou seja, qualquer máquina na rede pinga o servidor ou radios ou até máquinas de clientes, por isso, venho buscar junto com este fórum uma solução deste problema, o qual, certamente irá nos atingir mais cedo ou mais tarde, do contrário, estou fazendo algo errado, não sei, estou aqui tambem para aprender e trocar ideias com todos.
Saí de uma empresa recentemente, na qual trabalhei durante 8 anos, sendo esta uma empresa de médio porte aqui em Pernambuco, lá tambem era rede wireless mas atendia apenas a prédios onde em cima de cada prédio existia um roteador com pppoe raley ativo que desta forma o tráfego ficava restrito apenas ao prédio e a rede da empresa ficava limpa e as autenticações eram realizados em apenas um servidor no cpd;
logo quando comecei, me deparei com este problema, pois o servidor era apenas um mikrotik e eu tinha que cadastrar o mac do roteador em todos os logins dos clientes que passava por aquele roteador, até aí tudo bem o pppoe passava beleza, mas eram apenas 30, 40 clientes, porém, após a implantaçao do novo sistema mk-auth este recurso de cadastrar direto no mikrotik acabou, desde então, tive que colocar todos os rádios em wds pra que os macs dos clientes pudessem chegar até o mk-auth, mas aí com os roteadores abertos em wds apareceu o preblema de intenso tráfego na rede, que no momento conta com apenas 130 usuários, mas que eu queria me prevenir de futuros problemas relacionados a intenso tráfego desnecessários na rede, que não seja relacionados ao uso da internet.
Então resumindo:
1ª) Eu sei que poderia criar um servidor mikrotik como ramal para cada bairro (acho a soluçao mais viável). Mas qual seria a topologia? e desta forma será que os cliente ficariam isolados por bairro realmente?
2ª) Será que seria possivel uma topologia como está todos autenticando no mesmo mikrotik só que colocando roteadores com pppoe raley ativo para passar o pppoes dos clientes, e como o servidor mikrotik se comportaria (tendo em vista que o banco de dados de clientes fica no mk-auth) mas desta forma choveria macs repetidos do roteador, então será que os clientes consegueriam navegar? alguem já testou?
Bom não sei se deu pra todos entenderem mas gostaria de contar mais uma vez aí com a ajuda do forum para me prepara pro futuro proximo.
Desde já agradeço a atençao.
Carlos.
Respostas
Nenhuma ideia ou sugestão?
Amigo, acho que sua rede está com problema de gerência. Primeiro defina o "modus operante" depois coloque em prática.
Você vai autenticar via pppoe? você usa um rádio por cliente? na torre é um mikrotik?
se você atende um condomínio cabeado, tipo um radio recebe o sinal em wds e liga num switch e vai um cabo para cada cliente.. experimente colocar um roteador no cliente, não ligue direto o cabo no pc dele. Desative a função "default foward" na placa de wireles do seu mikrotik..
pesquise sobre bloquear dhcp vindo dos clientes, bloqueio de acesso cliente para clientes ( deixe o acesso somente para o gateway / default route)
Estude muito... nunca é o bastante..
Boa sorte
pronto Alex adcionei um grafico demonstrando como está hoje minha topologia, e respondendo sua pergunta as autenticaçoes são via pppoe, não é um rádio por cliente e sim um rádio em dws para atender varios clientes, como se atendesse um condominio como vc citou mas não seria viável financeiramente instalar um roteador em cada cliente (imagine 130 cliente) mas eu pensava algo como isto por exemplo um roteador por área mas para varios clientes e será que os clientes iram navegar? pois irá chover macs repetidos no mikrotik.
Desdejá agradeço a atençao Alex e se poderes junto com o forum analizar aí o grafico que adicionei e tentar me ajudar ficarei grato.
Carlos.
Alex Costa disse:
O problema desses traficos desnecessario em sua rede pode ser motivado por falta de controle dos cliente ate a chegada do Gateway isso faz gerar um numero alto de broadcast. Da uma olhada sobre VLANs, acho que resolve o seu problema.
Carlos,
essa sua topologia não é a mais indicada a meu ponto de ver. Primeiro, a autenticação pppoe cria um virtual-link entre o servidor mikrotik e o cliente pppoe o que é bom pois não haverá broadcast dos clientes pppoe na rede. O problema é como você relatou, se os clientes colocarem ip estático nos pcs, irão navegar entre eles sim, e irá gerar broadcast destes endereços, além de outros, principalmente netbios e netbeui da microsoft. Outra questão seria carregamento do seu enlace de rádio.
Seria interessante você colocar uma rb450G próximo aos clientes para que faça a autenticação lá, daí diminuiria este problema.
Fica a dica.
Carlos Roberto Borges disse:
So fazer um roteamento estatico na rede , que vc resolve seu problema de virus e lixo na rede(trafego desnecessario)
Concordo com tua ideia mas como seria a topologia teria de instalar um mk-auth proximo de cada rb450g? desculpa minha iginorancia.
Porque na topologia que conheço funciona assim como na imagem em anexo. Como seria a nova topologia?
trafego.jpg
sendo sua rede toda roteada , o servidor mk auth NAO precisa de ficar perto da rb 450G(suponho que seu link chegue nela para distribuir), como no meu caso ele pode ficar em qualquer parte de sua rede, seria como que cada RB sua fosse um servidor e teriam que autenticar no mk auth.Acredito que todos os seus problemas se resolveram.Uso aqui ja faz uns 6 meses , o mk-auth desse modo, ja o roteameento ja o uso faz 3 anos.Com esta forma de rotemanto vc pode colocar quantas rbs na sua rede que nao gera lixo, pelo contrario, continua a mesma coisa.
Opa amigo e como seria a topologia? seria a mesma que mostrei na imagem, só que adicionando mais tres rbs separando os 3 grupos de clientes, rbs estas cadastradas no mk-auth e com chaves ssh? como seria a topologia se puderes colocar uma grafico ficaria muito grato?
E com relaçao ao roteamento, minha rb do loadbalance autentica o dois adsl e faz o nat pra minha rb principal com ip falso entre as duas e repassa para os clientes via pppoe. Como seria a extrutura de roteamento que vc fala. Agradeço desdejá. Carlos.
Minas telecomunicacoes ltda-ME disse:
Amigo no caso teria que mudar algumas coisas, tipo vc nao precisaria de servidor mikrotik PC(suponho que seja um pc ou uma rb central que voce controle seus clientes). no caso voce precisaria de um ip fixo e casa mikrotik seria um servidor separado independente. Mais pra isso teria que fazer um roteamento primeiramente.
-
1
-
2
de 2 Próximo