LAN 到 WAN - 在一个路由器上配置两个独立的网络/子掩码

路由器一[...] 我不确定是否需要配置某些东西，如果需要，需要配置什么才能使其成为“隔离”的网络。

防火墙。

您的图表通过路由器 1 的 LAN 连接路由器 2，因此它将能够访问路由器 1 的 LAN 上的任何内容。

从路由器 1 的角度来看，路由器 2 与任何其他设备一样，对路由器 1 的 LAN1.x 具有完全相同的访问权限；它才不是仅仅因为它是一个路由器，就获得了一条通往互联网的隔离路径。

从 router2 的角度来看，LAN1.x 看起来只是 router2 的“WAN”的一部分。默认情况下，router2 将拒绝“WAN→LAN”（即 LAN1.x→LAN2.x）连接，但它将允许 LAN2.x→LAN1.x，因为它认为这只是“LAN→WAN”。（因此 harrymc 的评论在这里有 50% 是正确的。）

更改网络掩码不会产生任何影响。避免这种情况的唯一方法是：

• 对于大多数情况：在路由器上添加防火墙规则2拒绝从其 LAN 访问路由器 1 的 LAN。例如：

  1.   from 192.168.2.0/24   to 192.168.1.0/24   deny
  2.   from any              to any              allow
  

  最有可能的是，路由器 2 已经有防火墙条目拒绝相反方向的访问 - 它认为这是“WAN”的一部分，并且市场上几乎所有家用路由器默认拒绝 WAN→LAN 访问。

• 对于高端路由器：让路由器 1 具有二LAN，一个用于常规设备，一个仅用于下行到路由器 2。然后路由器 1 的防火墙将能够阻止两者之间的跨 LAN 流量，同时仍允许 Internet 访问。这稍微复杂一些，并且仅在路由器 2 本身不受信任时才需要。

我认为子网掩码没问题，但我不确定分配最多 254 个 IP 地址是否会与路由器 2 的配置崩溃。

不。它们都有不同的网络前缀（192.168.1.0/255.255.255.0 和 192.168.2.0/255.255.255.??）。它们为什么会发生冲突？

虽然这是两者的 DHCP 服务器（我相信。但对下面描述的 DHCP 设置感到困惑）。

不是。DHCP 请求只能到达最近的路由器；它们不会跨越子网边界。（必须明确设置 DHCP“中继”才能实现这一点。）

（我的意思是，如果您试图将网络 A 与网络 B 隔离，为什么 DHCP 请求会绕过这种隔离？）

路由器二[...]子网掩码：255.255.255.128

这样做是可行的，但似乎太小了（只提供 0-127 个地址）。使用通常的 255.255.255.0 (/24) 就可以了 - 它不会与路由器 1 冲突。

我不确定是否需要在路由器 2 上启用网络 DHCP，

如果您希望 router2 LAN 设备能够使用 DHCP，那么是的，router2 需要提供 DHCP。如上所述，DHCP 请求不会跨越网络边界。

我对选择“Internet DHCP”作为Internet连接类型以及网络设置感到困惑。

互联网连接类型定义了 WAN 接口的行为：如果你选择它，该接口将充当 DHCP客户获取路由器自己的 WAN 端地址。对于您而言，这是可选的，静态或 DHCP 都可以。

这与 LAN 接口设置完全不同，后者通常配置 DHCP服务器它为与其连接的其他设备提供 IP 地址。

此配置有效吗？我是否需要进行其他配置，以使路由器 1 使用 IP 范围的下半部分，而路由器 2 使用上半部分，还是这会自动发生？

“那个” IP 范围？它们不共享 IP 范围。您有两个独立的 IP 范围，路由器 1 的 IP 范围为 192.168.1.0–192.168.1.255，路由器 2 的 IP 范围为 192.168.2.0–192.168.2.127。这已经足够好了，您不需要做任何“下半部分/上半部分”的事情。

另外，路由器 2 的 192.168.2.1 和其他设备的 192.168.2.X 可以工作吗？

是的，它会起作用。

（请注意，由于您选择的网络掩码为 255.255.255.128，因此“X”目前限制为 126 - 但您可以安全地将其改回 255.255.255.0 来解决这个问题。）