Em um dormitório de 550 moradores, as pessoas muitas vezes configuram erroneamente os servidores DHCP para toda a rede, conectando seus roteadores Wi-Fi privados de forma incorreta. Também recentemente, alguém configurou erroneamente seu PC para um endereço IP estático, sendo o mesmo que o do gateway padrão. Usamos switches 3Com baratos no momento.
Eu sei que os switches mais avançados suportam a detecção de DHCP para resolver o problema de DHCP, mas isso ainda não resolve o problema de controle de endereço IP do gateway padrão.
Que tipo de equipamento de comutação usa o ISP real para que seus clientes não consigam interromper a rede para os outros clientes?
Caso alguém seja courious, acabamos fazendo VLANs separadas para cada usuário. E, na verdade, não apenas os 550 usuários, mas para 2500 usuários (11 dormitórios). Aqui está uma página descrevendo a configuração:
link (a seção "Transparent firewall usando VLANs").
Não houve carga significativa no servidor do roteador como eu temia em um dos comentários abaixo. Mesmo em 800Mpbs.
O que você quer considerar também é a VLAN privada. Você coloca todos os seus usuários em uma única VLAN "normal", mas apenas permite que eles falem entre portas específicas.
Basicamente, você emula ponto a ponto entre o gateway e o PC. Muito mais simples do que qualquer outra solução mencionada aqui.
Os ISPs mais tradicionais usam links que são inerentemente ponto-a-ponto (dial / T1 / DS3 / ATM); a tendência atual é uma transferência de ethernet para um roteador no local do cliente usando rotas estáticas e uma sub-rede / 30 como uma interconexão. Para um aplicativo MTU como o seu, você poderia fazer VLAN por cliente usando praticamente qualquer switch habilitado para VLAN, embora haja problemas com o escalonamento dos últimos 4.000 usuários (você precisa dividir em vários universos de VLAN em vários roteadores, ou fazer Q- in-Q). Essa é a única solução compatível com os padrões que aborda os dois problemas.
Alguns switches também suportam o isolamento do cliente (private vlan / general mode), embora isso por si só impeça que os vizinhos imediatos percebam um problema - o aplicativo típico protege de portas de ponta transmitindo para portas que não são os uplink . Conflitos ainda podem ser possíveis entre portas de borda em diferentes switches com uma porta de tronco entre eles.
Os switches mais sofisticados suportam snooping / filtragem de DHCP (e a variante IPv6, ra-guard) bem como algumas proteções de spoofing de IP, que podem obter o benefício de isolamento de VLAN sem o uso de espaço IP extra, mas frequentemente peculiaridades específicas do fornecedor.
Se o seu orçamento for restrito (você disse "Cheap 3Com Switches"), que tal jogar uma máquina Linux na mistura e colocar PPPoE?
Fique com o snooping do dhcp e incorpore a inspeção dinâmica de arp e o protetor de fonte de ip. Se qualquer outro host tentar enviar um pacote com um endereço de origem do gateway ou tentar responder a uma solicitação arp solicitando o endereço mac do gateway, o switch descartará os pacotes.
Isso parece ser um problema da camada 2. Você quer impedir que algumas (todas?) Transmissões passem de um usuário para outro.
Acho que a maioria dos ISPs tem um ponto para apontar o link com seus clientes. As empresas de cabo não usaram o PPPoE para simular a conexão ponto-a-ponto?
Eu acho que switches gerenciados podem ser configurados para filtrar o tráfego.
Por fim, talvez você possa configurar o retransmissão DHCP se o seu switch for compatível.
:) Nunca use 192.168.0.1 ou 192.168.1.1 como gateway. A maioria dos switches gerenciados ou roteadores a usam.
Você pode tentar configurar o IPv6. A maioria dos sistemas operacionais modernos está ativada por padrão.
Tags networking dhcp switch isp