我的小办公室有两个网络,每个网络都连接到一个交换机,然后这些交换机连接到一个中央交换机,然后中央交换机连接到具有 ADSL 功能的路由器。
路由器连接到 WAN,为该网络上的所有设备提供互联网连接。
我计划让这两个连接到同一中央交换机的网络孤立由于对方网络是公共网络,因此彼此之间不能互相通信。我们不希望通信混杂在一起。
由于两个网络共享相同的互联网连接,我该如何隔离这两个网络?
我很感激对此的任何建议。
答案1
只要你的 IP 地址定义明确,就不会发生任何冲突,但一个好的方法可能是使用子网口罩和ACL在路由器上,这样来自一个子网的流量就无法访问另一个子网的流量。我只知道如何在思科路由器上配置 ACL,所以如果是其他品牌的路由器,我无法为您提供太多帮助。但子网划分可用于(几乎)任何路由器,您只需像这样设置您的网络:
Subnet A
Gateway: 192.168.1.127 and subnet 255.255.255.128
只有在 .1 到 .127 范围内的 IP 才能直接访问。
Subnet B
Gateway: 192.168.1.254 and subnet 255.255.255.128
同样,只有 .129 至 .254 范围内的 IP 才能直接访问它们。
如果子网 A 内的任何计算机想要与子网 B 内的任何计算机通信,则必须通过路由器,这就是 ACL 发挥作用的地方,它们可能会阻止或允许某些 IP 访问,或者完全阻止某个子网的任何 IP。
当然,交换机必须连接到路由器的不同以太网端口(每个端口都是每个子网的相应网关,路由器必须让您为每个端口指定一个 IP 地址),否则您必须实现 VLAN 并使用中继端口进行连接。
我现在对网络有点生疏,但我希望这对你有帮助。
祝你好运。
答案2
您应该考虑使用 VLAN。您的路由器可以做到这一点吗?它可以创建两个或多个完全相互独立的逻辑网络。两个 VLAN 应该具有不同的子网,以便一个网络无法连接到另一个网络上的设备。
一个可以以合理价格实现 VLAN 的设备示例(它可以实现 wifi 和以太网 VLAN)是 DrayTek Vigor 2920n。对于小型企业来说,这已经足够了。
如果您的网络上有 Active Directory(Windows Server),则应使用它为您的办公网络提供 DHCP。您的访客网络应与此网络完全分离。