В общежитии с 550 жильцами люди часто по ошибке настраивают DHCP-серверы для всей сети, неправильно подключая свои частные маршрутизаторы Wi-Fi. Также недавно кто-то по ошибке настроил свой компьютер на статический IP-адрес, который совпадает с адресом шлюза по умолчанию. На данный момент мы используем дешевые коммутаторы 3Com.
Я знаю, что более продвинутые коммутаторы поддерживают отслеживание DHCP для решения проблемы DHCP, но это все еще не решает проблему подмены IP-адреса шлюза по умолчанию.
Какого типа коммутационное оборудование используют настоящие интернет-провайдеры, чтобы их клиенты не могли нарушить сеть для других клиентов?
На случай, если кто-то будет любопытен, мы закончили тем, что сделали отдельные VLAN для каждого пользователя. Причем не на 550 пользователей, а на 2500 человек (11 общежитий). Вот страница с описанием настройки:
http://k-net.dk/technicalsetup/ (раздел «Прозрачный межсетевой экран с использованием VLAN»).
Как я и опасался в одном из комментариев ниже, не было значительной нагрузки на сервер маршрутизатора. Даже на 800Mpbs.
Вы также хотите рассмотреть частную VLAN. Вы помещаете всех своих пользователей в одну «нормальную» VLAN, но позволяете им общаться только между определенными портами.
По сути, вы эмулируете точку-точка между шлюзом и ПК. Намного более простое, чем любое другое решение, упомянутое здесь.
Большинство традиционных интернет-провайдеров используют ссылки, которые по своей природе являются двухточечными (набор / T1 / DS3 / ATM); Текущая тенденция - передача обслуживания через Ethernet маршрутизатору в местоположении клиента с использованием статических маршрутов и подсети / 30 в качестве межсоединения. Для приложения MTU, подобного вашему, вы можете использовать виртуальную локальную сеть для каждого клиента, используя практически любой коммутатор с поддержкой VLAN, хотя есть проблемы с масштабированием, превышающим 4000 пользователей (вам нужно разделить на несколько юниверсов VLAN на нескольких маршрутизаторах или выполнить Q- в-Q). Это единственное соответствующее стандартам решение, которое решает обе проблемы.
Некоторые коммутаторы также поддерживают изоляцию клиентов (частный vlan / общий режим), хотя это само по себе просто не позволяет непосредственным соседям нарушителя заметить проблему - типичное приложение защищает от пограничных портов, передаваемых на порты, которые не являются восходящими линиями коммутатора. Конфликты все еще могут быть возможны между граничными портами на разных коммутаторах, между которыми имеется магистральный порт.
Коммутаторы Fancier поддерживают отслеживание / фильтрацию DHCP (и вариант IPv6, ra-guard), а также некоторые средства защиты от спуфинга IP, которые могут получить большую часть преимуществ изоляции VLAN без использования дополнительного IP-пространства, но они часто зависят от поставщика причуды.
Если ваш бюджет ограничен (вы сказали «Дешевые коммутаторы 3Com»), как насчет того, чтобы добавить Linux-машину и поставить PPPoE себе?
Похоже, ты хочешь VLAN. Это позволит вам отделить сеть и отфильтровать широковещательные сообщения (например, широковещательные рассылки DHCP). Сети VLAN могут связываться друг с другом только, если не задействовано устройство уровня 3; таким образом, если Dorm 301 подключается к DHCP-серверу, только VLAN Dorm 301 включается, а другие VLAN не затрагиваются.
Придерживайтесь отслеживания DHCP и включите динамическую проверку arp и защиту источника IP. Если какой-либо другой хост пытается отправить пакет с исходным адресом шлюза или пытается ответить на запрос arp, запрашивающий MAC-адрес шлюза, коммутатор отбрасывает пакеты.
Мне кажется, это проблема второго уровня. Вы хотите предотвратить передачу некоторых (всех?) Трансляций от одного пользователя к другому.
Я думаю, что у большинства интернет-провайдеров есть прямая связь со своими клиентами. Разве кабельные компании не использовали PPPoE для имитации соединения точка-точка?
я считать управляемые коммутаторы могут быть настроены для фильтрации трафика.
Наконец, возможно, вы могли бы настроить ретрансляцию DHCP, если ваш коммутатор ее поддерживает.
:) Никогда не используйте 192.168.0.1 или 192.168.1.1 в качестве шлюза. Его используют большинство управляемых коммутаторов или маршрутизаторов.
Вы можете попробовать настроить IPv6. В большинстве современных ОС он включен по умолчанию.