Форум StopLinux

Не совсем так. Роутер, в чистом виде - это третий уровень OSI. А управляемый коммутатор, с некоторыми функциями роутера, типа умеет делать некоторую маршрутизацию, поддерживает акцесс-листы и т.д. Их можно отнести к  "умным" коммутаторам, и поставить им, условно уровень 2.5 -)

Да, запутаться легко. Сейчас появляются свичи, которые берут на себя всё больше функций маршрутизаторов (слышал, но не видел о коммутаторах умеющих NAT).
Но что бы стало понятней, важно учитывать что коммутатор, это LAN-девайс, т.е. служит в первую очередь для соединения компов в сети́/сетях (может быть разделение VLAN'ами). И все фишки L3 должны служить для усовершенствования механизмов коммутации.
А маршрутизатор - WAN-девайс, служит для соединения сетей. И он может поддерживать фишки L2 для решения своих задач, например учитывать MAC или VLAN в правилах файрвола.

300-500 хостов и будет штормить так, что вся сеть будет периодически не работать.

хм.. видимо придётся фрагментировать сеть.
А wins раздаваемый по dhcp заставит самбу замолчать?

Ерундой с винсом не майтесь. Это вам не корпоративная сеть. Значит так Стас, магистральные коммутаторы у тебя должны быть уровня 2.5, т.е. с некоторыми функциями маршрутизатора. А точнее, чтоб умели делить сеть на сегменты. Минимум по одному такому коммутатору у тебя должны стоять на жилом доме, а ещё лучше на каждом подъезде. И соответственно должно быть некое количество подсетей в которую входит дом(подъезд). При такой топологии домен коллизий будет ограничен домом (подъездом), смотришь соответственно количество хостов которые у тебя будут подключены к каждому магистральному коммутатору. Как показывает практика, в одном домене коллизий должно быть не более 50-100 хостов.

Добавлено спустя 22 мин 57 с:
Далее, не откладывая в долгий ящик, для отсечения различных любителей сниферов, настраиваешь на каждом порту коммутатора акцесс-лист, т.е.делаешь привязку к паре MAC-IP, а также включаешь контроль броадкастинга. Метод аутентификации клиентов выбираешь MAC+IP+login+pass. А ещё лучше применить какой -либо туннельный протокол, типа PPPoE или PPTP.

ИМХО, на свичах будет проще... загоняете гдет человек по 100 в отдельные vlan'ы и броадкаст трафик больше не беспокоит и сеть работает быстрее без лишней маршрутизации

Добавлено спустя 15 мин 11 с:

ИМХО, не нужно. Зачем грузить шлюз локальным трафиком? Да и неудобно юзерам настраивать компы-рутеры. Проще воткнуть в WAN-порт соску и получить инет.

Домашнего рутера например

По DHCP получит параметры будет ему инет)

А тут зависит от количества подключаемых абонентов и от бюджета.
Вот сравнительные характеристики свичей D-Link, например: http://www.dlink.ru/ru/faq/62/781.html

От сделает те кто-нибудь закольцовку сети, что тогда делать будешь?

Rector, ну можно кнешно выпускать юзеров в Интернет через PPTP или PPPoE, но зачем? Во времена, когда большинство тарифоф безлимитные, для обеспечения безопасности вполне хватит MAC-фильтра на порту.

Добавлено спустя 04 мин 21 с:

DHCP snooping поможет. Это ещё один момент, который указывает Станиславу необходимость приобритения хороших свичей.

Вообще, обеспечение безопасности ПК, а также шифрование передаваемых данных - есть задача абоента, имхо.

Неизвестно от кого будет больше вопросов - от абонентов, чьи данные утекли в небезопасной среде (ССЗБ, ибо локалки провайдера и Интернет считаются небезопасной средой априори) или же от абонентов, которые не могут настроить роутер или Linux (вдруг нету в его Ubuntu пакета pptp).

Кстати, я видел провов, которые предоставляют инет через OpenVPN. Предлагают сначала скачать инсталяшку с оффсайта

Ну в ДС может быть всё через VPN (все подражают Корбине), а к примеру в Новосибирске я знаю только двух провайдеров (не считая говносеток) которые использую VPN - Дом.ру и Сибирь Телеком (у них большая часть сети на ADSL, там по другому никак, сейчас начали строить сети на Ethernet и GPON, как в этих сегментах реализован доступ - не знаю).

А вот один провайдер из Долгопрудного вообще изобрёл инновационную технологию - IP over Ethernet