実際のISPはどのような機器を使用していますか？

Question

550人の居住者がいる寮では、プライベートWi-Fiルーターを誤って接続して、ネットワーク全体にDHCPサーバーを誤って設定することがよくあります。また最近、誰かが誤ってPCをデフォルトゲートウェイの静的IPアドレスと同じ静的IPアドレスに構成しました。現在、安価な3Comスイッチを使用しています。

より高度なスイッチがDHCPスヌーピングをサポートしてDHCPの問題を解決していることは知っていますが、それでもデフォルトゲートウェイのIPアドレスの乗っ取りの問題は解決されません。

実際のISPは、顧客が他の顧客のネットワークを切断できないように、どのような種類のスイッチ機器を使用していますか？

編集：私たちがやったこと

誰かが興味を持った場合に備えて、ユーザーごとに別々のVLANを使用することになりました。実際のところ、550人のユーザーだけでなく、2500人のユーザー（11寮）も利用できます。セットアップについて説明しているページは次のとおりです。

http://k-net.dk/technicalsetup/ （「VLANを使用した透過ファイアウォール」のセクション）。

以下のコメントの1つで恐れていたように、ルーターサーバーに大きな負荷はありませんでした。 800Mpbsでも。

Antoine Benkemoun · Accepted Answer

同様に考慮したいのはプライベートVLANです。すべてのユーザーを単一の「通常の」VLANに配置しますが、特定のポート間でのみ話すことを許可します。

基本的に、ゲートウェイとPCの間でポイントツーポイントをエミュレートします。ここで説明した他のソリューションよりもはるかに簡単です。

McJeff · Answer

予算が限られている場合（「Cheap3ComSwitches」と言った場合）、Linuxマシンを組み合わせて、 PPPoEを自分で？

smoak · Answer

あなたが望むように聞こえます VLAN 。これにより、ネットワークを分離し、ブロードキャスト（DHCPブロードキャストなど）をフィルタリングできます。 VLANは、レイヤー3デバイスが関与していない限り、相互にのみ通信できます。したがって、Dorm 301がDHCPサーバーに接続されている場合、VLAN Dorm 301がオンになっているだけで、他のVLANは影響を受けません。

Tim · Answer

Dhcpスヌーピングに固執し、動的arp検査とIPソースガードを組み込みます。他のホストがゲートウェイの送信元アドレスを使用してパケットを送信しようとした場合、またはゲートウェイのMACアドレスを要求するarp要求に応答しようとした場合、スイッチはパケットをドロップします。

Paul · Answer

:)ゲートウェイとして192.168.0.1または192.168.1.1を使用しないでください。ほとんどのマネージドスイッチまたはルーターがそれを使用します。

pcapademic · Answer

これは私にはレイヤー2の問題のようです。一部の（すべて？）ブロードキャストが1人のユーザーから別のユーザーに送信されるのを防ぎたいとします。

ほとんどのISPは、顧客とのポイントツーポイントリンクを持っていると思います。ケーブル会社は、ポイントツーポイント接続をシミュレートするためにPPPoEを使用しませんでしたか？

I think管理対象スイッチはトラフィックをフィルタリングするように設定できます。

最後に、スイッチがDHCPリレーをサポートしている場合は、DHCPリレーを構成できます。