在我的大楼里,我们共享互联网连接。所有住户在自己的单元里都有单独的路由器。
第一个挑战是我们有 6 个单元,但只有一个 5 端口路由器和 5 端口交换机可用。因此,这迫使我们执行如下操作:[调制解调器] - [主路由器] - [交换机],其中一些单元的路由器连接到交换机,而另一些单元的路由器直接连接到主路由器:
[modem] - [main router] - [switch]
| | | | | |
1 2 3 4 5 6
关于如何配置存在很多争议。目前他们正尝试让调制解调器成为 DHCP 服务器,并关闭所有 DHCP 服务器,以便我们都处于一个大网络上。
由于安全原因,我不喜欢这样做,而且我的理解是我们不需要这样做。
我认为建立这个的自然方式是拥有多个网络:
[调制解调器] - [主路由器]:调制解调器是 DHCP 服务器,为主路由器分配一个(外部)IP
【主路由器】-【交换机】-【单元路由器】,即此部分:
[main router] - [switch] | | | | | | 1 2 3 4 5 6
主路由器是 DHCP 服务器,并为各个路由器分配(外部)IP。
- [单元路由器] - [单元设备]:
单元路由器是 DHCP 服务器,为连接到它的设备创建自己的 LAN。
我也相信这应该是它开箱即用的工作方式,即,如果我重置所有设备,它们应该默认像这样工作。
我的理解正确吗?我遗漏了什么吗?谢谢!
答案1
任何使用多个路由器(除非它们仅充当接入点)的解决方案都将导致双重 NAT。双重 NAT 不是灾难,但不是最佳选择,预计最终会给某些人带来问题,可能是游戏或 VOIP 应用程序的问题。正确解决它需要大量的网络知识。我可以提供两种方法:第一种方法是安装一个能够拥有六个或更多独立 LAN 网络的新路由器。需要大量的网络知识,但如果您有兴趣,请了解开源防火墙 pfSense。它可以在 PC 硬件上运行,并添加几个 PCIe 多端口 NIC 以提供 7 个物理网络接口,或者(而不是 7 个物理端口)使用 VLAN(甚至更多的网络知识)和支持 VLAN 的交换机。对于没有网络背景的人来说,这确实是一个大项目。第二种方法技术性较低(但仍然不简单)。如果您熟悉大多数公共 WiFi 网络中使用的客户端隔离模式(强制每个客户端可以访问互联网,但看不到任何其他客户端),它是在有线网络交换机上实现的功能。一些托管交换机具有此功能。所有单元及其设备都将从主路由器在同一网络上获得 DHCP 地址。主路由器 LAN 接口将连接到托管交换机。每个单元都将获得托管交换机上的一个端口。连接到单元的交换机端口将设置为隔离模式。这将阻止单元在 LAN 上互相看到。虽然您必须学习大量有关托管交换机的知识,但它将使您不必学习更多关于路由和防火墙的知识。
答案2
这只是我对上一篇文章的看法。如果您希望将其用作有线网络,那么有一些便宜的托管交换机具有称为 MTU VLAN(多租户单元 VLAN)的功能,它们可能会解决您的问题。例如 TP-Link TL-SG105E/TL-SG108E/TL-SG116E。
每个客户端端口都是一个单独的隔离 VLAN、单个广播域,交换机上的上行链路端口会收集所有信息并转发(在您的情况下是转发到路由器)。因此,您不需要支持 802.1q 的设备和路由器上的多个子接口中继,而且您仍然可以在交换机的每个端口上拥有单独的广播域。