家庭局域网的 nwdiag,有问题吗?

tag-icon tag-icon networking lan subnet vlan
家庭局域网的 nwdiag,有问题吗?

通过不同的子网划分,我是否可以避免出现问题?我正在设置一个普通的家庭局域网,我想知道我是否遗漏了任何关键内容,或者是否有更简单的方法根据给定的要求划分子网。我的要求是:硬件节点、低功耗(工作站除外)、千兆网络、轻量级 www 服务除外、高度可配置、防火墙、VPN、DMZ、LAN 和 wifi 的独立 VLAN/子网。

链接到 nwdiag png 输出: https://postimg.cc/HcGhPkw7

注意:RPI 是 wifi 段的瓶颈,很快就会被取代。

问:是否应将 UPS 放置在 vpn 网络段上,以更轻松地进行远程电源管理选项,或者这是否存在安全风险?

如果你好奇我是如何制作图像的,那就是 nwdiag — — 一个非常酷的程序,已经存在了一段时间(oreilly 书籍等)。

这是“源代码”:

nwdiag {

inet[shape = "cloud"];

  inet -- nap;   nap -- noc;

  network comcast {
    address = "71.-.-.-/16";
    noc;
    edge;   }

  edge -- modem;   modem[address="71.-.-.-,SB6141"];   modem -- router;

group isp {   color = "#ccddff";   noc edge; }

  network fw {
    address="10.12.176.0/28";
    router [address="10.1.176.1,Soekris net6501/npf"];
    dmz[address="10.12.176.2, Cisco Catalyst 1"];
    lan[address="10.12.176.3, Cisco Catalyst 2"];
    vpn[address="10.12.176.4,apu2e4 / NetBSD,racoon vpn"];   }

  network vpn {
    address="10.84.37.176/30"
    vpn[address="10.84.37.177"];
    workstation [address="10.84.37.178,HP z840 / Xen"];   }

  network lan {
    address="192.168.42.0/28"
    lan[address="192.168.42.1"];
    printer[address="192.168.42.2,HP 4250tn"]
    wap[address="192.168.42.3,RPI3B+/ath9k,NetBSD"];
    ups[address="192.168.42.4,Eaton 9100"];

  }

  network dmz {
    address="172.16.93.11/28";
    dmz[address="172.16.93.8"];
    dns1[address="172.16.93.9,BeagleBone Black / Minix3"];
    dns2[address="172.16.93.10,BeagleBone Black / Minix3"];
    web[address="172.16.93.11,BeagleBone Black / Minix3"];   }

  network wifi {
    address="192.168.221.1/28";
    wap[address="192.168.221.1"];
    iphone1[address=".dhcp"];
    iphone2[address=".dhcp"];
    ipad[address=".dhcp"];
    macbookair[address=".dhcp"];   }

}

更新

好的,我已经阅读了一些资料,以下是我对网络(和代码)的修改。我认为我需要做的是最高安全级别(我在 OP 中意外省略的一个要求)是将每个交换机和路由器放在 /30 上,但我不确定如何实现这一点,因为在大多数网络段上我也需要一台或两台以上的主机。

此外,我使用三种不同的私有寻址方案,以便能够在 tcpdump 或类似工具中轻松区分它们。我真的不知道将来我会对此感到多么后悔(也许有人可以告诉我他们在这方面的经验)。

如果我的 vpn 地址看起来很乱,那是故意的,为了抵御猜测攻击,例如 192.168.1.1 .2 .3 .4 很容易猜到,而 10.84.37.178 就没那么容易猜到了。如果有人告诉我不同​​的地址并给我一个令人信服的理由,我就会更改它。这就是我来这里的原因!

无论如何,这是我最好的尝试并链接到更新的 png:https://postimg.cc/qzy774xB

nwdiag {

isp[shape = "cloud"];

  isp -- modem;
  modem;
  modem -- fw-1;

  network fw {
    address="10.12.176.0/30";
    fw-1 [address="10.12.176.1,Soekris net6501/npf"];
    vpn-1[address="10.13.176.1,apu2e4 / NetBSD,racoon vpn"];
    dmz-1[address="10.14.176.1, Catalyst 1"];
    lan-1[address="10.15.176.1, Catalyst 2"];
    }


  network vpn {
    address="10.84.37.176/30";
    vpn-1[address="10.84.37.177"];
    workstation [address="10.84.37.178,HP z840 / Xen"];
  }


  network dmz {
    address="172.16.93.11/28";
    dmz-1[address="172.16.93.8"];
    dns-1[address="172.16.93.9,BeagleBone Black / Minix3"];
    dns-2[address="172.16.93.10,BeagleBone Black / Minix3"];
    web-1[address="172.16.93.11,BeagleBone Black / Minix3"];
  }

  network lan {
    address="192.168.42.0/28"
    lan-1[address="192.168.42.1"];
    wap-1[address="192.168.42.3,RPI3B+/ath9k,NetBSD"];
    lp-1[address="192.168.42.2,HP 4250tn"]
    ups-1[address="192.168.42.4,Eaton 9100"];
  }

  network wifi {
    address="192.168.221.1/28";
    wap-1[address="192.168.221.1"];
    iphone-1[address=".dhcp"];
    iphone-2[address=".dhcp"];
    ipad[address=".dhcp"];
    macbookair[address=".dhcp"];
  }

}

相关内容