посоветуйте как ПРАИЛЬНЕЕ посторить.
Имеем(упрощено): Сервер FreeBSD -свич- 6 DSLAM DAS-3216
разбросаны в разных местах и подключены разными каналами к центральному свичу. На данный момент все клиентские модемы в режиме
статического IP адреса. Все адреса из одной подсети, gateway которой -
сервер _FreeBSD_.

Сеть начиналась с одного DSLAM и доросла до размера, когда такое построение вызывает проблемы, а именно:

-большой широковещательный трафик
-проблемы с защитой от несанкционированного подключения (фиксируем МАС модема, запрещаем доступ клиенту к WEB-интерфейсу модема, итп странные действия предпринимаем)
-проблемы с переконфигурацией и расширением (IP,Gateway и DNS прописаны на всех модемах, менять чтото очень длинно)
-межклиентский трафик трудно учитывать

Получается надо чтото менять.

Посоветуйте - что лучше PPPoE, VPN, Vlan? плюсы, минусы?

А в случае с VLAN - как все это выглядит. может примерчик где есть?

интересует вопрос как настроить gateway\netmask в случае с большим числом реальных адресов, так чтобы все работало и поменьше IP-адресов уходило.

Клиенты должны общаться друг с другом?

_________________
С уважением, Давыдов Денис.

PPPoE.
Плюсы.
1. Авторизация на основе юзернейма и пароля ( для удобcтва пользователя,который теперь не привязан территориально)
2. Широкая распространненость этот протокола в сетях ADSL и простота для пользователя. Кроме юзеренейма и пароля ничего больше знать ему не надо.

Минусы : проблемы при авторизации через юзернейм пароль при краже информации (то есть разборки с "подсмотренными и утраченными" паролями и т д.)

VPN PPTP.
Плюсы: 1 пункт для PPPoE.
Минусы: минусы те же что и для PPPoE + более высокая сложность настройки ( для рядового пользотвателя), т. е необходимость знания протокола авторизации и других служебных данных.

_________________
С уважением, Гакало Алексей

если они имеют внешние адреса, то эти адреса должны именть возможность соединяться и друг с другом. Более того, это стало популярным. Например берет некая фирма две точки подключения на нашей территории и хочет организовать VPN чтобы один офис связать с другим. Желание вполне законное. Более того, они будут платить с обоих точек за интернет трафик. Уговаривать их взять прямую пару (вобщемто за копейки) и купить модемы нехочется - деньги уйдут продавцу модемов.

осталось невыясненым:

1."провайдерский" софт для PPPoE на linux\freebsd не посоветуете
2.вроде люди както при помощи VLAN разруливают такие вещи, нет?

1.PPPoE сервер -пакет rp-pppoe для FREEBSD.
http://www.roaringpenguin.com/penguin/o ... ts/rpPppoe
Последняя его версия 3.8 устойчиво работает и под Linux.
В этом случае порты DSLAM работает в режиме bridge.

2. VLAN дополнительно ограждает и помогает отделить трафик пользователей друг от друга в Ethernet сети, но не может служить средством самостоятельным авторизации пользователя.

P.S. Как вариант наше устройство DSA-3110 скоро будет подерживать PPPoE сервер внутри.
Но... пока увы до 50 пользователей одновременно, что годится при наличии в сети 1-2 дсламов DAS-3224 или 3-4 DAS-3216, не более.
Более мощные устройства - в процессе разработки.

_________________
С уважением, Гакало Алексей

на freesco тоже посмотрите

_________________
D-LINK DIR-615K1 FW: V1.0.4 SDK-master 20120801 1714

А где вы в FreeSco нашли PPPoE сервер ?

_________________
С уважением, Гакало Алексей

это понятно, что авторизироваться нельзя, но с другой стороны и подключиться через туже линию с другим IP нельзя - этого вполне достаточно. Вопрос делает ли так кто-нибудь, и главное - как организовать маршрутизацию, чтобы задействовать как можно меньше IP - адресов. Ведь если tagged порт воткнуть в сервер, на нем организовать по одному интерфейсу на кажлый VLAN, то придется каждому клиенту выделить сетку из 4 адресов (1 клиенту, 1 интерфейсу на сервере(def gateway для модема), 1 бродкаст, 1 неизвестно для чего но нужен) это несколько расточительно.

Есть ли иной способ, пригодный для ADSL - оборудования? Вот иногда в сетях практикуют давать def gatewayам "серые" адреса.
и маски подсети типа 255.255.255.255 на мой взгляд это некорректно, но работает и экономит "белые" интернетовские адреса.

Боюсь для ADSL оборудования это неприменимо....

может сразу на FreeDOS или MinuetOS?

Ой , сорри , невнимательно прочитал

_________________
D-LINK DIR-615K1 FW: V1.0.4 SDK-master 20120801 1714

Привязки IP к порту DAS-3216 не осуществляет . На это способны модели от DAS-3224 и выше.

_________________
С уважением, Гакало Алексей

да, но порту можно присвоить VLAN tag, разве нет?
и если IPшник пускать только в определенный VLAN, получается привязка IP к порту.....

По VLAN. Эта тема уже обсуждалась на форуме :
viewtopic.php?t=6366

_________________
С уважением, Гакало Алексей