我家里目前有一个平面网络。我的宽带路由器接入并连接到交换机,交换机为房子内的以太网提供数据。我还有一个无线路由器连接到交换机,用于房子内的无线网络。非常基本的设置。
我想将其划分为三个区域,主要是为了隔离区域。
- 用于我的工作站、NAS 服务器等的内部有线/无线网络。
- 可以访问互联网但无法访问内部网络的访客无线网络。
- 用于连接电视、Roku、Wii、自动化设备等的设备/物联网无线网络,可以访问互联网,但不能访问内部网络或访客网络。
最好的解决方法是什么?我最初的猜测是在宽带路由器后面放置一个系统,该系统将有四个网络接口,一个用于互联网,三个区域各一个。然后,将交换机连接到内部接口,将新的/单独的无线路由器连接到其他两个接口。配置此路由器系统以允许内部网络到达任何地方,但只允许访客和物联网网络连接到互联网(并在路由器系统上使用一些防火墙规则强制执行)。
这看起来合理吗?有没有更简单/更好的方法来做到这一点?我将如何构建该路由器系统?那是否应该只是一台具有四个以太网接口的 Linux 服务器(以及我将在该服务器上运行什么软件来提供此功能 - 理想情况下是一些更强大的防火墙/等支持)?
答案1
您需要一个支持 802.1q VLAN 的托管交换机,并且您的路由器也需要支持 802.1q VLAN。这样,您就可以将家庭网络分成 3 个 VLAN,并通过 802.1q 中继连接路由器。
不,这似乎不合理。找一份 IT 工作,在工作中更专注于这些事情。:) 此外,这与 ServerFault 无关,因为 SF 主要致力于商业生产系统讨论。虽然你正在计划企业级设置,但这仍然是你的家。这可能就是它不适合家庭的原因。
答案2
半专业路由器可以让你实现这样的功能。我家里有一台 SonicWall,它可以实现你的第 1 点和第 2 点。对于第 3 点,你可以简单地使用双 nat。在另一个路由器下使用你的路由器。
您可以创建另一个 VLAN,但由于它是为您的家庭设计的,因此这是您的选择,但您需要一个可以将数据包路由到路由器的 L3 交换机,并且您的路由器必须知道该子网才能将其路由到互联网。