我想创建一个 WLAN,其中有 3 个独立的 WiFi 接入点(通过以太网电缆相互连接),并且连接到这些 WAP 的所有客户端都可以相互通信,同时也位于防火墙后面。
如果我再添加一个设备、一个路由器和防火墙,我知道如何创建这个网络配置:
[Cable Modem]
192.168.0.1
│
└─[Wireless Router & Firewall]
192.168.1.0
│
├── Wireless Access Point #1 - 192.168.1.1
├── Wireless Access Point #2 - 192.168.1.2
└── Wireless Access Point #3 - 192.168.1.3
但是,不添加第四台设备可以完成同样的事情吗?
所有 3 个无线接入点实际上都是无线路由器。如果我将它们置于路由器模式并按如下所示进行连接,我该如何设置路由和防火墙规则,以便连接到每个路由器的设备形成一个网络,并且还能受到外界的一些保护?
[Cable Modem]
192.168.0.1
│
├── Wireless Router #1 - 192.168.1.1
├── Wireless Router #2 - 192.168.1.2
└── Wireless Router #3 - 192.168.1.3
有线调制解调器可进行 NAT,它是一台 DHCP 服务器,并且具有 4 端口交换机。3 个无线路由器能够运行 dd-wrt。
我的目标是在电缆调制解调器后面安装 1 个路由器/防火墙,就像第一个网络布局中那样,或者在电缆调制解调器后面安装 3 个路由器/防火墙(避免购买第 4 个设备的成本),这样所有这 3 个路由器/防火墙都可以充当一个网络。我不想只将接入点放在电缆调制解调器后面。
我假设我会在 3 个路由器的每个 DHCP 服务器中设置唯一的 192.168.1.X 地址范围。
答案1
假设你做需要路由器/防火墙(假设电缆调制解调器不提供),您有两种方法可以做到这一点:
显而易见的方法:将第一个接入点变成路由器。
[Cable Modem]
192.168.0.1
│
└─[Wireless Access Point #1 & Router & Firewall]
192.168.1.1/24
│
├── Wireless Access Point #2 - 192.168.1.2/24
└── Wireless Access Point #3 - 192.168.1.3/24
接入点#2 和#3 将保持桥接模式。
优点:这使您可以在所有接入点上拥有一个子网(允许自动发现设备,例如 Chromecasts 等)
另一种方法:使用单独的子网。
我假设我会在 3 个路由器的每个 DHCP 服务器中设置唯一的 192.168.1.X 地址范围。
不 – 您需要设置唯一的 192.168。X每个路由器中的 .0 地址范围。
[Cable Modem]
192.168.0.1/24
│
├── WAN 192.168.0.2 - Wireless Router #1 - LAN 192.168.2.1/24
├── WAN 192.168.0.3 - Wireless Router #2 - LAN 192.168.3.1/24
└── WAN 192.168.0.4 - Wireless Router #3 - LAN 192.168.4.1/24
通常情况下,每个路由器都应该有自己的子网。这样,每个路由器都可以路线到剩余子网。例如,路由器 #1 可以有一个路由表:
DESTINATION GATEWAY INTERFACE
192.168.2.0/24 - lan
192.168.3.0/24 192.168.0.3 wan
192.168.4.0/24 192.168.0.4 wan
缺点:这要求每个路由器/AP 都有不同的 SSID(由于子网不同,因此无法自动漫游),并且不允许跨不同子网进行设备发现。
缺点:需要更复杂的 NAT 和防火墙配置。您应该让到其他 LAN 子网的流量“通过”(无需任何 NAT 即可转发)。同样,每个路由器中的过滤规则必须接受传入来自其他路由器子网的数据包。
以下是一个粗略的 iptables 示例:
-t filter
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -j ACCEPT
-A FORWARD -s 192.168.3.0/24 -j ACCEPT
-A FORWARD -s 192.168.4.0/24 -j ACCEPT
-A FORWARD -j REJECT
-t nat
-A PREROUTING -d 192.168.2.0/24 -j ACCEPT
-A PREROUTING -d 192.168.3.0/24 -j ACCEPT
-A PREROUTING -d 192.168.4.0/24 -j ACCEPT
-A PREROUTING -o <wan> -j MASQUERADE (or SNAT or whatever)
另一种方法:拥有一个子网和三个 DHCP 服务器。
你也许可以摆脱这种情况:
[Cable Modem]
192.168.0.1/24
│
├── WAN 192.168.0.2 - Wireless Router #1 - LAN 192.168.1.1/24
│ │
├── WAN 192.168.0.3 - Wireless Router #2 - LAN 192.168.1.2/24
│ │
└── WAN 192.168.0.4 - Wireless Router #3 - LAN 192.168.1.3/24
是的,这表明所有三个路由器的 LAN 都连接在一起形成一个以太网——尽管重要的是不是形成一个循环(除非 DDWRT 支持 RSTP,否则会变得疯狂)。如果您想要一个通用的 SSID,则需要所有 LAN 互连。
是的,所有三个路由器都可以使用 DHCP。在这种情况下,每个路由器的 DHCP 地址范围应该尽管属于同一子网,但可能有所不同(例如 192.168.1.101–192.168.1.125、192.168.1.126-192.168.1.150 等)
优点:您有一个子网 – 所有三个 AP 可以共享相同的 SSID、漫游功能和设备发现功能。
缺点:排除故障可能会很麻烦。端口转发将地狱。
(话虽如此,这并不是一个疯狂的方法。这是相似的大型网络如何实现路由器故障转移:它们有两个路由器共享同一个以太网、同一个 LAN 子网,和使用 VRRP 等协议共享 IP 地址。这样只需要一个 DHCP 服务器和池。
答案2
听起来有线调制解调器不仅仅是一个调制解调器(因为它有多个以太网端口)。假设它正在执行 NAT,这是合理的假设)
为了进行设置,我将禁用 DDWRT 路由器上的 DHCP,将它们配置为具有相同 SSUD 和密码(但不同的非重叠通道)的 AP,并将以太网从调制解调器连接到 LAN 端口 - 这样,您就有了一个时间网络,其中调制解调器为所有内容提供 DHCP,并且设备之间的漫游是无缝的,因为 AP 是桥接而不是路由。