Ich soll einige verwaltete Switches für FTTB/FTTH bereitstellen und eine Konfiguration vorbereiten, um eine Isolierung zwischen Kunden einzuführen (durch Deaktivieren der L2-Weiterleitung zwischen Client-Ports oder durch Verwendung privater VLANs). Dies hat jedoch seine Vorteile, bringt aber auch einen großen Nachteil mit sich: Clients aus demselben IP-Subnetz können nicht miteinander kommunizieren.
Nehmen wir an, zwei von ihnen bekommen die Adressen 80.x.1.2/24 und 80.x.1.3/24 zugewiesen. Da L2-Forwarding zwischen ihnen nicht möglich ist, können sie nicht auf herkömmliche Ethernet-Art kommunizieren. Genau das will ich aus Sicherheitsgründen: Broadcast-ARP-Verkehr verbergen, Rogue-DHCP-Server verhindern usw. Die L2-Boradcast-Domäne der Clients ist effektiv darauf beschränkt, nur die erforderlichen Server und deren Gateways zu sehen.
Ich bin mir nicht sicher, ob dies nicht gegen die Grundlagen der Netzwerktechnik selbst verstößt, aber gibt es eine Möglichkeit, den Datenverkehr über einen Router laufen zu lassen, ohne Routen in den Client-Hosts selbst manuell zu erstellen? Dies würde alles lösen – Datenverkehrsfilterung, Bandbreitenverwaltung, Überwachung usw.