我想要一些关于如何构建家庭网络的想法和建议。我是一名 IT 技术人员,了解基础知识,但网络不是我的强项,我想改进。
[当前设置]
我家里有两个家庭,所以我需要隔离网络。我有一个 TP-Link Arch c9 路由器(R1)连接到互联网盒。接下来,我将我的 Asus RT68R(R2)连接到 R1 的 LAN 端口并托管网络以重置房屋。另一个家庭的 Linksys 路由器(R3)也连接到 R1 上的 LAN 端口。所有路由器都使用 DHCP 提供自己的网络我理解这称为三重路由,可能会导致一些问题或延迟。R1 的 IP 方案为 10.0.20.x,R2 的 IP 方案为 192.168.1.x R3 我不确定,但我相信它以 10.something 开头。我相信所有路由器的子网掩码都设置为 255.255.255.0 对 R3 不是完全确定,因为我无法访问他们的路由器。
R2 后面是文件和域服务器 2016 数据中心,有 4-5 个桌面和 2-3 个无线设备。R2 还具有网络无线 ssid 和访客 ssid。R2 具有来自 R1 的静态 IP,并且位于 DMZ 上,以允许 vpn 访问 R2 文件服务器
[问题]
使用 R3 的家庭时不时会遇到路由器断网的问题,唯一能解决这个问题的方法就是重启 R1,有时甚至需要重启所有路由器和网络盒。为了解决这个问题,我尝试扫描网络以查找 R3,并从 R2 后面的设备对其进行 ping 操作,但找不到或看不到它,而我却可以正常看到 R1。我与一些同事交谈过,他们认为使用 R3 的家庭在路由器上配置了某些东西,导致它有时会启动到不同的设置,如 AP 模式或桥接模式。我还发现,如果我在 R1 上禁用 DHCP,R2 和 R3 的互联网可以正常工作,但过了一段时间后,R3 就会断网。
[我想做的事]
我想完全隔离 R2 和 R3,使它们根本不进行通信,以消除当前设置可能导致的任何类型的冲突或问题。在 R2 后面,我想为各种设备设置几个子网,以提高更重要设备的安全性。例如,R2 主网络带有域服务器和一般家用设备,如媒体计算机或 roku 或 fire tv stick 等。接下来是一个用于更多个人设备的子网,其中可能包含更重要的文档和文件,但我仍然希望它们能够与域服务器和网络驱动器的文件服务器通信。最后,我想要两个子网,一个用于测试目的和修复可能被感染的计算机,因此无法与任何其他网络通信。第二个将供客人使用。
我知道我想做的一些事情可能会花费更多钱,而防火墙对区分 R2 和 R3 是个好主意,我只是想知道我是否可以通过消费级路由器和 wap 进行设置,或者我是否真的需要企业级防火墙/托管交换机和 wap
我曾考虑购买一些较新的路由器,例如 netger xr500 或 asus ac3100 和 ubiquity waps。
最后一个问题。是否可以在我的华硕路由器上设置访客 ssid 网络,并将 lan 端口上的设备分配到该网络,还是访客网络只能通过 wifi 访问
我感谢任何人提供的帮助或建议。
答案1
1) R3 出现“互联网故障”的一个可能原因是,R3 似乎依赖 DHCP 来连接 R1,如果由于某种原因无法使用 DHCP,R3 就会失去租约,从而失去与 R1 的连接。要调试此问题,需要访问 R3。
避免这种情况的一种方法是为 R2 和 R3 提供静态地址,然后您可以在 R1 上禁用 DHCP(或保留静态范围)。您需要在 R3 上设置静态地址,因此请与另一家人交谈(“它将帮助您解决互联网问题”可能是“我需要在您的路由器上做某事”的一个很好的理由)。
2) 理想情况下,只有 R1 应该执行 NAT,但设置它需要 R1 上的路由规则以及正确设置 R2 和 R3。鉴于这种情况,这可能不那么容易,所以我想你只能使用双重 NAT(而不是三重 NAT - 在每条路径 R2-R1 和 R3-R1 上,两个路由器都在执行 NAT)。
3) R2 和 R3 “通信”并造成麻烦很可能不是问题所在。如果您真的担心这一点,您可以在 R1 上设置防火墙。这可能需要在 R1 上使用自定义固件,如 OpenWRT(Archer C9 应该受支持),并且需要一些专业知识,所以也许保持原样会更容易。
由于 R2 和 R3 同时执行 NAT,因此即使增加了防火墙,R2 和 R3 后面的网络仍然有效分离。
4)如果你想要在 R2 后面使用不同的子网,你应该知道这将需要路由子网之间,这又需要路由所有成员子网。您可以通过 DHCP 分配路由。有关类似问题,请参阅这里。
这将需要在 R2 上进行非常自定义的设置,并且如果提供的固件不允许,则可能还需要在 R2 上打开固件。当然可以进行这样的设置,但这同样需要一些网络专业知识。
5) LAN 上的访客网络与 WLAN 上的访客网络没有太大区别。但同样,固件需要支持它。如果提供的固件不支持,则需要 OpenWRT 等,并需要自行设置(此外,还需要对防火墙规则/iptables 有实际的了解)。
您想做的所有事情都是可行的。即使没有额外的硬件(尽管如果您还没有,您可能需要为所有设备配备一些 LAN 交换机)。如果您是第一次这样做,请不要低估学习曲线 - 您需要阅读大量有关网络基础知识的资料。
答案2
隔离
这可以通过使用来实现子网划分。子网划分就是网络位和主机位的划分。不知道大家知不知道,我来列一下。
对于私有 IP 地址:
+-------+-------------------------+-------------+-------------------------------+
| Class | Private Network | Subnet Mask | Range |
+-------+-------------------------+-------------+-------------------------------+
| A | 10.0.0.0 | 255.0.0.0 | 10.0.0.0 - 10.255.255.255 |
| B | 172.16.0.0 - 172.32.0.0 | 255.240.0.0 | 172.16.0.0 - 172.31.255.255 |
| C | 192.168.1.0 | 255.255.0.0 | 192.168.0.0 - 192.168.255.255 |
+-------+-------------------------+-------------+-------------------------------+
+-------+-------------------+-----------------+-------------+----------------+----------------------+-----------------------+
| Class | First Octet Range | High Order Bits | Notation ID | Default Subnet | Num of Networks | Num of Hosts |
+-------+-------------------+-----------------+-------------+----------------+----------------------+-----------------------+
| A | 1 – 126 | 0 | N.H.H.H | 255.0.0.0 | 126 (2^7 – 2) | 16,777,214 (2^24 – 2) |
| B | 128 – 191 | 10 | N.N.H.H | 255.255.0.0 | 16,382 (2^14 – 2) | 65,534 (2^16 – 2) |
| C | 192 – 223 | 110 | N.N.N.H | 255.255.255.0 | 2,097,150 (2^21 – 2) | 254 (2^8 – 2) |
| | | | | | | |
+-------+-------------------+-----------------+-------------+----------------+----------------------+-----------------------+
看IP 地址类别,如果您有标签。
使用上面的表格和问题中的数据:
- R1 使用 A 类地址。
- R2 使用 C 类地址。
- R3 使用 A 类地址。
- 当然,您的网络上不需要 16,777,214 个 LAN 设备。我们将它们全部放在同一类中,即 C 类。
- 确保所有路由器都设置为相同的 IP 协议。如果您的 ISP 和调制解调器支持 IPv6,并且当前设置为 IPv6,则线路中的所有设备都必须支持 IPv6。如果一个设备只支持 IPv4,那么您必须将所有设备设置为 IPv4。
- 确定拓扑结构。这里有一些选项:
- 删除除连接到 ISP 的路由器之外的所有路由器:用一个交换机替换两个路由器,交换机的端口足够支持所有家庭成员。购买三个交换机并桥接两个交换机也可以。使用交换机可以减轻子网划分的压力,因为每个设备现在都在一个子网中,并且家庭之间只共享无线密码。
- 让每个路由器都有自己的子网:使用 MAC 地址过滤,以便 R1 中的 DHCP 服务始终为 R2 和 R3 提供相同的 IP 地址,因为您已将它们上行链接。@djkrt 在他关于静态 IP 地址的建议中提到了这一点。
- 选择拓扑后,阅读轻松划分子网,然后使用这个子网计算器,计算出 R2 的适当子网,并再次计算 R3 的适当子网。
笔记R3 必须位于不同的子网中才能划分流量,并且除非您启用路由规则(如端口转发等),否则不会与 R1 或 R2 通信。还请注意,如果您希望 R1 和 R2 相互通信,则它们必须位于同一类和子网中。如果修复了此问题,则 NAT 转换仅发生一次。R3 可能会丢失连接,因为 NAT 发生了两次。一次来自原始转换,另一次是当 R3 将信息添加到其自己的 ARP 表时。