Сейчас в сети ~2500 абонентов и штук 6 VPN-ов. У ВПН-ов производительности не хватает, постоянно приходится докупать и апгрейдить. И скорость на них не блещет...
Возникло желание дать юзерам доступ без VPN, чистый NAT через PC-nas, и пускать в инет по связке ip+mac.
Но, блин, исторически ещё до меня сложилось так, что есть штук 7
подсетей /22, сгруппированых, скажем, по улице/району. И любой ребёнок сможет подставить
себе чужой ip+mac и поюзать чужой инет. Вопрос - как этого избежать?
Нормальная схема - выдавать по вилану и соответственно по подсетке на дом/подъезд,
но сейчас это сделать уже нереально - такой тьме пользователей менять ипы ;(
На домах сейчас почти везде стоят длинки DES-3526. Вариант - забивать на каждом длинке
ип+мак, которые могут за ним сидеть, но больно уж геморройно будет потом что-либо
менять (а менять придется часто, при подключении юзера/замене компа/сетевушки)...
Может, кто подкинет идей по теме?

Авторизировать пользователей на порту по протоколу 802.1 через Radius например

Вопрос несколько не по теме.
У вас 2500 абонентов, работающих в сети одновременно или это просто общее количество?
Сетевые ресурсы пользователям даются без поднятия ВПН (через ВПН - только Инет) или через ВПН работает абсолютно всё?

Тут уже публиковались скрипты управления коммутаторами.
Включение/выключение, привязка ip-mac-port может быть осуществлена через snmp/telnet.
Так же на 3526 есть замечательная функция DHCP option82, которая может позволить получать конкретному пользователю на конкретном порте конкретного свича ip по dhcp
В купе с ACL это позволит иметь гибкую сеть. Т.е. вы будете сами выдавать ip,mask,gw по dhcp и контролировать их при помощи ACL.

В итоге можно одним щелчком мыши менять сети с 22бит до любых других. Иметь полный контроль за пользователями.

_________________
DES 3526 - флагман DLINKостроения