Понемногу строилась сеть, и в итоге вышло: vlan-to-user + DHCP + unnumbered + PPPoE. В этой связке хочется избавиться от PPPoE, т.к. он тут явно лишний. Авторизацию сделать по IP, т.е. оставшиеся части должны дать хорошую защиту от подделки. Сейчас вход в интернет осуществляется через PPPoE, но так же есть локальная сеть, ip адреса раздает dhcp сервер.
Для перехода непонятны следующие вещи.
1. Как давать доступ, чтобы бы не потерять локальную сеть. Особенно не понятно как раздавать реальные IP. С первой частью еще понятно, можно построить сеть на серых адресах, где шлюз по умолчанию будет является сервер-nat. А что делать если реальные IP ?
2. Как считать трафик ? Пока вижу только два варианта iptables и netflow
3. Как шейпить, желательно динамически (в разное время разная ширина) ?
Поделитесь, кто это как делает. Если что, сеть состоит из 3550 в качестве агрегаторов и на доступе 2950.