在一个有 550 名住户的宿舍里,人们经常会错误地为整个网络设置 DHCP 服务器,方法是错误地插入他们的私人 Wi-Fi 路由器。最近,有人错误地将他们的 PC 配置为与默认网关相同的静态 IP 地址。我们目前使用便宜的 3Com 交换机。
我知道更高级的交换机支持 DHCP 监听来解决 DHCP 问题,但这仍然不能解决默认网关 IP 地址接管问题。
真正的 ISP 使用什么样的交换设备,以便他们的客户不会破坏其他客户的网络?
编辑:我们最终做了什么
如果有人好奇的话,我们最终为每个用户设置了单独的 VLAN。事实上,不只是 550 个用户,而是 2500 个用户(11 个宿舍)。以下是描述设置的页面:
http://k-net.dk/technicalsetup/(“使用 VLAN 的透明防火墙”部分)。
正如我在下面的评论中担心的那样,路由器服务器并没有出现明显的负载。即使在 800Mpbs 下也是如此。
答案1
您还需要考虑私有 VLAN。您将所有用户放在一个“正常”VLAN 中,但只允许他们在特定端口之间通信。
基本上,您模拟网关和 PC 之间的点对点。比这里提到的任何其他解决方案都简单得多。
答案2
大多数传统 ISP 使用本质上是点对点的链路(拨号/T1/DS3/ATM);当前的趋势是使用静态路由和 /30 子网作为互连,将以太网切换到客户位置的路由器。对于像您这样的 MTU 应用程序,您可以使用几乎任何支持 VLAN 的交换机为每个客户分配 VLAN,尽管在超过 4000 个用户的情况下扩展存在问题(您需要跨多个路由器拆分为多个 VLAN 域,或者执行 Q-in-Q)。这是唯一符合标准的解决方案,可以解决您的两个问题。
一些交换机还支持客户端隔离(专用 VLAN/通用模式),尽管这本身只能防止违规者的直接邻居注意到问题——典型的应用程序会防止边缘端口向非交换机上行链路的端口传输数据。不同交换机上的边缘端口之间仍有可能发生冲突,但中间有一个中继端口。
更高级的交换机支持 DHCP 侦听/过滤(以及 IPv6 变体 ra-guard)以及一些 IP 欺骗保护,这些交换机可以在不使用额外 IP 空间的情况下获得 VLAN 隔离的大部分好处,但它们通常具有特定于供应商的怪癖。
答案3
如果你的预算有限(你说“便宜的 3Com 交换机”),那么何不买一台 Linux 机器,然后安装自己PPPoE吧?
答案4
坚持使用 dhcp 监听并结合动态 arp 检查和 ip 源保护。如果任何其他主机尝试发送带有网关源地址的数据包或尝试回复询问网关 mac 地址的 arp 请求,交换机将丢弃这些数据包。