我有两个路由器:(A)“N300”Netgear 无线 ADSL(型号 DGN2200)和(B)FVS318 Netgear VPN 防火墙。
Router A LAN address = 192.168.0.1
Router B WAN address = 192.168.0.2 (connected to router A's LAN)
Router B LAN address = 192.168.0.3
Router B gateway = 192.168.0.1 (router A)
All netmasks 255.255.255.0
webserver = 192.168.0.31 is on router A's LAN.
设置 1:
电脑(192.168.0.32)连接到路由器B的LAN口。
电脑网关设置为192.168.0.3
计算机除了路由器 B 之外看不到任何东西。
设置2:
路由器B通过路由器B LAN端口而不是WAN端口连接到路由器A的LAN。
计算机网关设置为192.168.0.1
计算机可以看到路由器 A 和网络服务器,但 ping 8.8.8.8 会出现“网络不可达”的结果。
设置3:
计算机绕过路由器 B 并直接连接到路由器 A 的 LAN
计算机网关设置为 192.168.0.1
一切都很好。
所有地址都是静态的。
那么,我错过了什么?
答案1
请注意,当我说“哑交换机”时,我指的是非管理型交换机。这是一个常见的技术术语,我并不是想侮辱它。
设置问题#1:
典型的假设是路由器的 LAN 和 WAN 端口位于不同的子网。您提供的地址 192.168.0.2 和 192.168.0.3 不位于不同的子网。这可能违反某些路由规则中的某种假设。
解决方案包括:
- 将您的 LAN 放在不同的子网上。例如 192.168.1.###
- 如果您努力做到这一点,您可能会进行更适当的子网划分,从而使防火墙能够实际执行其设计的过程(通过提供一些保护为您带来实际的好处)。
- 注意:这可能会导致其他一些复杂情况。例如,您最终会使用双 NAT(至少对于 IPv4)。您可能需要设置端口转发或设置 DMZ 等设置。这些复杂情况可能会也可能不会带来一些有用的好处。(在某些情况下,意见各不相同。)如果您不使用双 NAT,路由器 A 将需要了解 192.168.1.xxx 子网,这可能需要配置额外的路由。(手动分配静态路由是常见方法。)
-
将路由器 A 和路由器 B 之间的连接放在路由器的一个 LAN 端口上。
- 这可能会让您的路由器将设备视为位于同一子网中,而不会尝试执行“路由”。路由基本上意味着将流量从一个子网移动到另一个子网。通过使用所有 LAN 端口,大多数路由器默认配置最终会导致所有这些 LAN 端口被视为一个子网。最终结果是您的路由器可能基本上像一个哑交换机一样运行,甚至根本不真正“路由”。这对您来说可能没问题。除非/直到您对子网划分有扎实的了解,否则路由可能最终会成为您不必要的麻烦。所以这对您来说可能是完全可以接受的。
-
基本上,这描述了您的“设置 2”。对于许多路由器,这将正常工作。(防火墙是路由器;它们是增强型路由器。)但是,某些设备(可能尤其是防火墙)可能更容易受到保护。它们可能足够智能,能够意识到 8.8.8.8 不属于 LAN 端口。因此,它不是像哑交换机一样工作,而是试图提供保护(毕竟,防火墙基本上就是为此而营销的)。解决方案是调整防火墙的配置。证明这一点的简单方法:尝试借用哑交换机,并用它来代替防火墙。您可能会发现一切都正常。(就像设置 #3。)
- 理论上这听起来不错。但你可能会发现,实际做起来比说起来更困难。防火墙配置可能相当简单,也可能相当困难。试图让你的防火墙像一个哑交换机一样工作(不像防火墙,也不像路由器,而只是),实际上可能比以“正确的方式”做事更具挑战性。
如果您有疑问,请提问。(我可以告诉您很多问题,但我认为没有必要向您提供更多信息,因为这些信息可能完全没有必要。因此,如果您想了解有关网络的信息,请直接提问。)