在朋友家看到右边这图片，虽然我家还没发生，但也要防范于未然嘛。 　　其实我一直都坚信北京联通和周口店人民一样懒惰，他们的区别是：一个会收取“高出外地数倍的宽带费”，一个会收取“高出外地数倍的房租”。 　　我一直用普通傻瓜路由器D-Link拖家里的几十台虚机都木有被发现终端数量，可见联通之懒。 　　不能排除在未来，这个人事关系深似海的电信机构也会雇用点勤奋的外地人来干又苦又累的技术活，这时就会往深层次限制策略上研发鸟，要想突破限制要有对策。 　　家有ipad, iphone, 索爱ST18i, 若干台式机、服务器、NAS设备、kvm/xen/ESXi的虚拟机都要上网。（谁叫偶是做开发这行滴）。 　　现在我有台ros路由器了，开整。^_^

有如下破解方法：

方案1：
    禁用公网口上的SNMP，或者禁了路由器WAN口的SNMP。
    级联NAT（修改路由方式，添加二级NAT）
    。。。。这个方法麻烦，因为我有大量端口转发需求和DMZ需求。

方案2：
    网桥

方案3：
    vlan拨号

方案4：
    利用虚拟路由冗余协议（Virtual Router Redundancy Protocol），这个是绝招了。
    大多数人用它是做“路由器主-从热备份”（主-从路由器均会指向一个虚拟路由器IP），或者“单网口多帐号拨号”的。

    
    现在我就使用方案4，让运营商认为我只用了一个终端。
    如果有多个运营商接入，还可以让多个pppoe-out绑在多个vrrp上面做负载均衡，嘿嘿。
    做到这一步，我相信电信也没有能力往我家局域网深处做探测了。（倘若他们真有这个窥探能力，那么新浪、网易……乃至于整个互联网的安全都会受到威胁，一定会被叫停的。）


图1：为ether1-gateway建立下级vrrp，注意：ether1-gateway和vrrp都要设置IP，不要和其它网段冲突。



图2：把PPPoE出口从ether1-gateway改绑到vrrp1上



图3：

    家里正在运行的IP设备(涂掉物理MAC地址)
    从图上看出，lan1, lan2, wan1是桥接在一起的，它们要经过ether1-gateway(WAN口)再由pppoe-out（拨号口，虚拟设备）同电信的局方接入点打交道。
就算没有上述的方案4实施，运营商也探测不到我有多少设备上网。

用Sony ST18i查看它所在的192.168.10.0网段.

用iPhone查看它所在的192.168.0.0网段.