De nada mano, mas respondendo sua pergunta, temos o BGP e sim usamos endereço publico para cada cliente.
Ok, interesse a sua solução e identificação do que havia afetado.
Só não entendi porque seus clientes consumiram um trafego maior que o plano, pois houve consumo 10 a 50Mb, querendo ou não o PPOE gera tuneamento sendo controlado diretamente no servidor.
Tivemos um problema parecido com roteadores TP LINK com login e senha padrão após nosso radio, aqui tambem roteavamos ao cliente (NAT) para acesso interno. Nos rádios usamos login e senha de acesso excluviso interno.
Cheguei ao seu post pois estamos analisando scripts e soluções de usuários que já sofreram ataque, aplicar em nossa rede e inibir futuros ataques.
Hoje PPoE não nos preocupa tanto, mas sim os clientes corporativos que recebem bloco IP direto na interface (/30, /29, etc..), aqui temos uma rede gigante em bridge e qualquer ataque a partir do cliente pode gerar um colapso na rede, mesmo tendo switch em L2/L3 que bloqueia storm de broadcast e outros.