我的情况是,我需要在家中使用单个传入 Internet 连接来连接 2 个不同的 LAN 网络:一个有线网络供房屋居民使用,另一个供我们楼下的小型企业使用。我想确保居民无法直接与企业网络上的 PC 通信。问题是:我需要购买 2 个路由器来实现这一点吗?我该如何安排?您对我应该选择哪个品牌有什么建议吗?
谢谢!
答案1
您正在寻找的功能是VLAN隔离。这在“家庭”路由器中并不常见(因为很少有家庭用户需要 VLAN,更不用说知道如何设置它们了),但我的思科小型企业路由器确实能够设置单独的 VLAN并限制他们相互交流。(具体来说,它允许设置特定的 VLAN 使其无法与其他 VLAN 通信。我还没有尝试过任何高级设置。)
我使用该功能将无线网络上的任何系统与有线网络隔离,但原则上没有理由不能对两个有线段执行相同操作。两个网络共享相同的上行链路,并且每个网络都可以正常访问互联网(好吧,就像使用 NAT 连接一样正常),但无线网络上的任何主机只能与互联网通信,而不能与任何其他 VLAN 通信。我还没有尝试从不受限制的 VLAN 发起到受限制的 VLAN 的通信,但那时,您将或多或少地看到实施细节,如果是我,在您的处境下,我会将两个 VLAN 都设置为受限制,以保持两者之间的逻辑完全隔离。
假设您不想获得两个独立的互联网连接,并且假设您的 ISP 同意您在居民和小型企业之间共享连接(检查细则),那么这应该可以为您提供所需的隔离级别。还请考虑在两个网络连接上都安装电涌保护器,否则如果您不幸,某人未受保护的家用电脑也可能会损坏企业的设备。
答案2
- 购买一个好的路由器,比如MikroTik RB750,售价约 40 美元
- 将每个 LAN 连接到不同的端口
配置路由器以主动阻止跨越两个端口的流量,使用如下代码:
/ip 防火墙过滤器
添加操作 = 删除链 = 转发入接口 = ether3 出接口 = ether4
添加操作 = 删除链 = 转发入接口 = ether4 出接口 = ether3