我正在运行一个包含两个路由器的网络。Zyxel P-600 连接到 DSL 线路。我将 Zyxel 的以太网端口连接到第二台路由器(D-Link 605L)的 WAN 端口。
两个路由器都激活了 NAT 和防火墙,并且运行 DHCP 服务器。
我的所有设备都连接到 D-Link 路由器,可以访问互联网。有时似乎需要花费太长时间才能建立连接。有时 ping 显示数据包丢失,但如果我再次运行 ping,数据包丢失就会消失。
我发现没有理由认为第二个路由器必须以桥接模式运行,尽管人们经常这样说。根据我对 NAT 的基本理解,这种设置至少在理论上应该可行(事实也确实如此)。
另一点令我担心的是,D-Link 路由器记录来自 Internet IP 以及 Zyxel 路由器 IP 的攻击:
每个源 ACK 洪水攻击检测
来自 WAN 的整个系统 ACK 洪水攻击规则:默认拒绝
由于 Zyxel 路由器有防火墙,这些数据包永远无法到达第二个 D-Link 路由器。这是我不完全信任 Zyxel 防火墙而喜欢使用额外的 D-Link 防火墙的原因之一。
诊断延迟和偶尔的数据包丢失的第一步是什么?如何确定对 D-Link 路由器的攻击是实际攻击还是由未正确路由的数据包引起的?
编辑:Zyxel 路由器未显示为 traceroute 中的一个步骤。这是为什么?
答案1
实际上,您以桥接模式运行边缘路由器,而不是相反或更简单,只需使用交换机端口(如果适用)。
您遇到了延迟?现在您知道不建议级联路由器的原因之一了。您提到这是出于安全原因。但总体而言,您并没有真正获得安全性。由于不知道您的配置,因此我们只能推测这会带来怎样的安全优势。
不级联路由器的原因有很多。
- 如果在边缘路由器上打开一个端口,则另一个路由器也需要为该路由器后面的设备打开一个端口。
- 每个路由器分配了哪个 DNS 服务器?它们相同还是不同?如果连接到目标需要一段时间,那么它可能正在等待 DNS 响应。
- 每个路由器是否都支持您设备所需的服务?例如 VoIP?QoS?
为什么要将路由器放在路由器后面?您已经拥有它,并且/或者第二个路由器提供无线功能,而第一个路由器不提供。就您而言,您的主路由器也是您的 DSL 的电信设备。这很好,但您仍然可以将其置于桥接模式,这允许所有公共寻址接触第二个路由器的 WAN 侧。然后,您将获得所需的更好的安全性,并且只需处理单任务配置,更不用说您可能只是消除了延迟。没有足够的信息可以确定。
编辑-我没有足够的积分来评论。
“诊断延误和偶尔的包裹丢失的第一步是什么?”
您如何确定延迟?您的设置将引入不必要的延迟。虽然 ping 不是性能工具,但它可以提供关于间歇性延迟的有限信息。要找出延迟的位置,您需要进行跟踪路由。您可以执行速度测试,但这是综合性能。
您能详细说明一下偶尔出现的“数据包”丢失吗?这种情况什么时候发生?尝试连接目标时或在视频流期间等?
“我如何才能知道对 D-Link 路由器的攻击是真正的攻击还是仅仅由未正确路由的数据包引起的?”
除非路由器以发出误报而闻名,否则您会在这两个陈述以及标题“级联路由器”中提供答案。
“Zyxel P-600 已连接到 DSL 线路。我将 Zyxel 的以太网端口连接到第二台路由器(D-Link 605L)的 WAN 端口。”
“另一点让我担心的是,D-Link 路由器记录了来自互联网 IP 以及 Zyxel 路由器 IP 的攻击:”
我来解释一下。路由器连接不同的网络。它们只知道它们的邻居。您的第一个 Zyxel 是您的 D-Link 的唯一邻居。您看到这些攻击与 Zyxel 的 LAN IP 有关,因为所有互联网流量都来自那里。如果您在 Zyxel 上打开了端口,您将看到来自公共 IP 地址的路由流量。
答案2
为了检测数据包丢失,请使用 MTR(或 WinMTR)之类的工具。
您确实可以进行两次 NAT 操作 - 这不是最佳实践,但大多数情况下是可行的。但它可能会破坏某些东西,例如 p2p 和一些 VOIP 应用程序(尽管单 NAT 也可以做到这一点)
如果您将第二个“soho”(玩具)路由器配置为网桥,那么您也可以得到一个交换机。
要确定实际攻击,您需要一个不错的路由器。(也许您可以在 D-Link 路由器上运行 DD-WR,然后使用 ethereal 或 tcpdump 查看流量,具体取决于版本)