Мне нужно развернуть несколько управляемых коммутаторов для FTTB/FTTH и подготовить конфигурацию для введения изоляции между клиентами (путем отключения пересылки L2 между клиентскими портами или использования частных VLAN). Однако это, имея свои преимущества, также вносит один существенный недостаток - невозможность для клиентов из одной и той же IP-подсети общаться друг с другом.
Допустим, двум из них назначены адреса 80.x.1.2/24 и 80.x.1.3/24. Поскольку переадресация L2 между ними невозможна, они не могут общаться традиционным способом Ethernet. Это именно то, что мне нужно по соображениям безопасности: скрытие широковещательного трафика arp, предотвращение несанкционированных DHCP-серверов и т. д. Клиентский домен L2 boradcast фактически ограничен только просмотром требуемых серверов и их шлюза.
Я не уверен, что это не противоречит основам сетей, но есть ли способ заставить их трафик проходить через маршрутизатор без ручного создания маршрутов на самих клиентских хостах? Это решило бы все - фильтрацию трафика, управление полосой пропускания, мониторинг и т. д.