問題背景

今有個搞出租屋的朋友問我：他自己搞了個出口路由器和交換機，出口路由器為PPPoE服務器下聯交換機，交換機再分出網線到各個租戶。租戶的小路由插上網線就能PPPoE撥號上網了。

基本拓撲如下：

用了一段時間后，他發現租戶那邊經常反饋網絡很卡，并且老是撥不上號，一會兒這個異常一會兒那個異常，好像是這些小路由打架了一樣！

無奈之下，朋友想出了個辦法：把每個租戶的小路由通過VLAN單獨隔離出來，這樣它們撥號上網的數據就能相互隔離了！理論是這樣的：

那么怎么做呢？我看了一下，這不就是只要和上聯口通信，下聯口只見彼此隔離不就行了嗎。對于這個需求，我提供了三種解決方案：

三種解決方案

方案1：更換支持端口隔離的交換機（最容易）

這個方案最容易，不需要配置什么VLAN，只要把核心和樓道匯聚換成隔離型交換機就可以了，各個租戶小路由直接PPPoE撥號與出口路由通信，彼此只見相互不影響。

方案2：配置VLAN實現（復雜）

通過802.1Q VLAN進行隔離，這種方式更加靈活，可以根據不同的需求劃分網段、跨三層通信等，但對于小白不友好，適合專業工程師和發燒友。首先重點是要PPPoE撥號，這個是二層報文交互（沒有IP的），所以必須要保證每臺租戶交換機和路由器的PPPoE服務接口處于同一個廣播域中，可使能出口路由多VLANIF接口綁定PPPoE服務+交換機trunk/access的方式實現，如下：

這樣VLAN10的租戶小路由就能通過出口路由的VLANIF10接口的PPPoE服務撥號上網啦！VLAN20、VLAN30同理，同時它們之間的數據又相互隔離。

那么問題來了，支持多VLANIF接口綁定PPPoE服務的路由器市面上少之又少！還貴！一般就給你個LAN口支持PPPoE服務，起不來多VLAN接口了，怎么辦？繼續往下看。

方案3：交換機配置Hybrid口實現（高端玩法）

上面講過PPPoE撥號的精髓是必須要PPPoE服務器和客戶端處于同一個“廣播域”的邏輯才行，所以必須要用到交換機的Hybrid進行配置，方案如下：

原理：

• 各個小路由通過各自的VLAN，發二層PPPoE撥號廣播請求給出口路由（PPPoE服務器）；
• 出口路由PPPoE服務器，通過VLAN100將二層PPPoE單播應答返回給小路由，至此撥號成功，能正常上網且各個小路由之間的數據相互隔離。

方案總結

方案1：更換支持端口隔離的交換機

• 優點：簡單，只要更換支持隔離的設備就行
• 缺點：不靈活，管控費勁，拓撲固定

方案2：配置VLAN實現（復雜）

• 優點：基于網段管理管控靈活，可靈活管控端口和接入設備
• 缺點：復雜，需要支持VLAN的交換機，需要PPPoE服務器支持在不同VLANIF上生效

方案3：交換機配置Hybrid口實現（高端玩法）

• 優點：管控靈活，無需PPPoE服務器支持多VLAN接口生效
• 缺點：配置相當復雜，適合專業人士