我将部署一些用于 FTTB/FTTH 的托管交换机,并准备配置以在客户之间引入隔离(通过禁用客户端端口之间的 L2 转发或使用私有 VLAN)。然而,这样做有其好处,也带来了一个主要缺点 - 同一 IP 子网的客户端无法相互通信。
假设其中两个分配了地址 80.x.1.2/24 和 80.x.1.3/24。由于它们之间无法进行 L2 转发,因此它们无法以传统的以太网方式进行通信。出于安全原因,这正是我想要的:隐藏广播 arp 流量、防止恶意 DHCP 服务器等。客户端 L2 广播域实际上仅限于查看所需的服务器及其网关。
我不确定这是否违反了网络本身的基本原则,但是有没有办法强制他们的流量通过路由器,而无需在客户端主机本身手动创建路由?这将解决所有问题 - 流量过滤、带宽管理、监控等。