免责声明:我非常确定我使用的术语是错误的,请告知哪些术语更合适/正确。
我有两个问题,都是关于同一情况,就在最下面。
背景
我的网络的最简化视图如下:-
调制解调器(光纤) -> 办公室路由器 -> 公共路由器
也就是说,调制解调器的 LAN 电缆连接到我的 OfficeRouter 中的 WAN 插槽,而 PublicRouter 连接到我的 OfficeRouter 中的其中一个 LAN 插槽。
OfficeRouter 和 PublicRouter 都广播自己的 SSID,称为privatessid和publicssid。此外,多达十几台 PC 通过 LAN(通过交换机)连接到 OfficeRouter。
限制
物理位置限制意味着我无法改变路由器的相对顺序。
当前网络设置
每个路由器都运行自己的 DHCP 服务,因此所有连接到 OfficeRouter(通过privatessid或 LAN)的客户端都会在 192.168.0.* 上获得一些内容,而所有通过 PublicRouter 连接的客户端都会在 192.168.1.* 上获得一些内容。
安全问题
我如何“屏蔽”或阻止连接到 PublicRouter 的机器访问连接到 OfficeRouter 的机器?我的路由器物理布置不当造成的一个副作用是,所有办公室机器都可以被连接到 的任何人直接访问publicssid。
网络问题
是否可以处理超过 255 个连接publicssid?我是否只需更改子网掩码即可使其工作,还是我遗漏了什么。有问题的路由器相当基础,是否有实际考虑来同时处理这么多连接?
答案1
在消费级路由器上这几乎是不可能的 - 实际上,通过允许访客访问穿越它,您会使您的 Office 网络变得不安全 - 更糟糕的是,您可能正在使用 NAT,这会进一步混淆并使跟踪问题变得更糟。
如果您可以使用 OpenWRT 或其他 Linux 变体,则可以为办公室路由器上的 2 个接口设置单独的 VLAN,分别用于办公室和访客路由器。然后,您需要分别设置每个接口,并使用防火墙来控制设备之间的路由。您需要使用 VLAN 来确保流量始终通过路由器路由(或使用 EBTables,这会更加混乱)据我所知,这不是您可以通过 Web 界面执行的操作,并且需要在命令行上进行大量工作(但这是可行的,我做过非常类似的事情)