真正的 ISP 使用什麼設備?
在一個有 550 人的宿舍裡,人們經常通過錯誤插入私人 Wi-Fi 路由器而錯誤地為整個網路設置 DHCP 伺服器。同樣最近,有人錯誤地將他們的 PC 配置為與預設網關相同的靜態 IP 地址。我們目前使用便宜的 3Com 交換機。
我知道更高級的交換機支持 DHCP snooping 來解決 DHCP 問題,但這仍然不能解決預設網關 IP 地址接管問題。
真正的 ISP 使用什麼樣的交換設備,這樣他們的客戶就不會為其他客戶破壞網路?
編輯:我們最終做了什麼
如果有人有興趣,我們最終會為每個使用者創建單獨的 VLAN。事實上,不僅僅是 550 個使用者,還有 2500 個使用者(11 個宿舍)。這是描述設置的頁面:
http://k-net.dk/technicalsetup/(“使用 VLAN 的透明防火牆”部分)。
正如我在下面的評論之一中所擔心的那樣,路由器伺服器上沒有顯著的負載。即使是 800Mpbs。
您還要考慮的是專用 VLAN。您將所有使用者放在一個“普通”VLAN 中,但只允許他們在特定埠之間講話。
基本上,您模擬網關和 PC 之間的點對點。比這裡提到的任何其他解決方案都簡單得多。
大多數傳統的 ISP 使用本質上是點對點的鏈路(撥號/T1/DS3/ATM);目前的趨勢是使用靜態路由和 /30 子網作為互連將乙太網切換到客戶位置的路由器。對於像您這樣的 MTU 應用程序,您可以使用幾乎任何支持 VLAN 的交換機為每個客戶執行 VLAN,儘管在擴展超過 4000 個使用者時存在問題(您需要跨多個路由器拆分為多個 VLAN 宇宙,或者執行 Q-在-Q)。這是解決您的兩個問題的唯一符合標準的解決方案。
一些交換機還支持客戶端隔離(私有 vlan/通用模式),儘管這本身只是防止攻擊者的直接鄰居注意到問題——典型的應用程序可以防止邊緣埠傳輸到不是交換機上行鏈路的埠。不同交換機上的邊緣埠之間仍然可能存在衝突,並且它們之間有一個中繼埠。
更高級的交換機支持 DHCP 偵聽/過濾(以及 IPv6 變體 ra-guard)以及一些 IP 欺騙保護,這可以在不使用額外 IP 空間的情況下獲得 VLAN 隔離的大部分好處,但它們通常具有特定於供應商的怪癖。