我希望网络专家能帮我解决。我在客户现场有一个网络安装项目,我已经在心里规划好了如何设置。
他们已经设置了 Verizon 路由器,并且必须将其配置为链中的第一个设备。他们希望“来宾”用户(即连接到 WAP 的用户)无法访问 Windows 域中的计算机。
这是配置。我想知道是否有人发现这方面存在问题,并能就以下几个问题为我指明正确的方向。
连接链: 互联网 -> Verizon 路由器 -> Netgear 路由器 -> 交换机 -> 配线架(服务器和工作站)
- 注意:WAP 设备将挂在 Verizon 路由器上
Verizon 路由器
- WAN 端口连接至互联网
- 内部 IP:192.168.1.1
- DHCP 开启,范围 192.168.1.2 – 100
- LAN 端口连接到 Netgear WAN 端口
Netgear 路由器
- 广域网 IP:192.168.1.250
- DHCP 关闭
- LAN 端口连接至 Netgear 交换机
- 局域网 IP:192.168.2.1
美国网件交换机
- LAN 端口连接服务器和配线架(工作站)
服务器
- IP:192.168.2.2
- DHCP 开启,范围 192.168.2.2 – 200
工作站
- IP:自动分配
- DNS 服务器: 192.168.2.2 还是自动分配?
- 网关:192.168.2.1
问题:
- 上述配置是否存在什么重大问题,导致其无法工作?
- 上面粗体部分的项目,其 IP 应该是什么?
- 在这种配置下,连接到 Verizon 路由器的计算机是否能够看到/访问 Netgear 路由器后面的计算机,因为它们位于不同的子网?(我不希望它们能够这样做)。
- 反之亦然,Netgear 路由器后面的计算机是否能够看到/访问连接到 Verizon 路由器的计算机?
- 连接到 Verizon 路由器 (192.168.1.x) 的计算机需要从 Netgear 路由器 (192.168.2.x) 后面的 DHCP 服务器获取 IP,而 Netgear 路由器后面的计算机需要通过 Verizon 路由器发送/接收互联网流量。这是否应该“只适用于”上述配置,还是两个路由器都需要任何特殊配置(DHCP 中继、静态路由等)才能让流量进出?
- 如果我想将 WAP 添加到 Verizon 路由器(192.168.1.x),我是否只需将其硬连线到 Verizon 路由器上的 LAN 端口并将其设置为自动从 Verizon 路由器获取 IP,然后在 WAP 上禁用 DHCP 并将客户端计算机设置为自动?
答案1
并不真地
DNS 对吧?如果 192.168.2.2 是您的内部 DHCP(我假设是 Windows AD DC),那么您将配置它以推出您想要的任何 DNS 服务器,同一台 PC,如果您也在它上运行 DNS,则为 192.168.2.2。
不。就 Netgear 后面的内容而言,Verizon 路由器上的内容是“在互联网上”。唯一允许的传入流量是您在 Netgear 中定义的,即端口转发。
是的
Netgear 后面的 PC 将“正常工作”。我有点困惑,您想让无线客户端连接到 Verizon 路由器,但又不想让它们访问 LAN,对吗?您难道不想让它们只从 VZ 路由器而不是从内部 DHCP 服务器获取地址吗?
是的。如果它实际上是 WAP,那么它可能没有 DHCP 服务器,它就像一个交换机,但没有电线。您可以使用消费级无线网络,关闭 DHCP 服务器,甚至不用考虑 WAN 端口。
最主要的是关于 DHCP 的第 5 条。您必须设置端口转发才能通过 Netgear 分配 DHCP,但我认为您不想这样做。您只是希望他们从 VZ 路由器获取 DHCP,对吗?
我希望这是有道理的
答案2
这是一个比较常见的模式。让我试着按顺序回答你的问题。
- 从高层次来看,您的设计是合理的。只要 Netgear 路由器上的 WAN 端口和 CPU 速度足够快,能够处理您的流量,并且 Verizon 设备支持静态路由,这里就没有什么大问题。不过,我会设置 Netgear 进行路由,而不是 NAT。
- 我将获得 DHCP 服务器提供的 DNS 信息。
- 对于大多数防火墙/路由器产品来说,答案是否定的。您应该能够配置您的 Netgear 设备以允许或拒绝您想要的任何流量。
- 默认情况下是的。这取决于您的配置。大多数防火墙/路由器允许您精确配置允许哪些出站流量以及允许哪些流量。
您确实希望来宾网络的 DHCP 信息来自 Verizon 设备或接入点,而不是内部网络。另一种方法也可以实现,但大多数小型网络防火墙解决方案不会将 DHCP 从内部网络中继到外部。我会按如下方式进行设置:
- Verizon 路由器 - 192.168.2.0:255.255.255.255.0 的静态路由指向 192.168.1.250
- Verizon 路由器 - DHCP 开启,DNS 指向公共 DNS 服务器。
- WAP 设备 - DHCP 关闭 - GOTCHA - 某些接入点无法正确处理 DHCP 中继。在这种情况下,您需要打开 DHCP,使网关指向 192.168.1.1,使 dns 指向公共服务器或 Verizon 防火墙。
- Netgear 路由器 - DHCP 关闭,NAT 关闭,根据需要添加其他规则。
- Netgear 路由器 - 默认网关 192.168.1.1。
- LAN 这儿没什么特别的。
- 服务器处理 LAN 的 DNS 和 DHCP。设置 DNS 转发以使用互联网站点的公共 DNS 服务器。
- 工作站从 DHCP 获取网络设置信息(地址、网关、网络掩码、DNS、时间等)。
通常答案是肯定的,但有些接入点不能很好地处理 DHCP 中继。在投入使用之前,请务必使用多个同时连接测试您的新接入点。
另一种常见模式是三臂网络,其中一个防火墙同时连接到客户机和内部网络。
答案3
prestomation,非常感谢您的回复。我很高兴您认为它应该适用于此设置。回答您的问题:
2.DNS 对吧?如果 192.168.2.2 是您的内部 DHCP(我假设是 Windows AD DC),那么您将配置它以推出您想要的任何 DNS 服务器,同一台 PC,如果您也在它上运行 DNS,则为 192.168.2.2。
是的,192.168.2.2 是运行 DHCP 和 DNS 的 Windows SBS 2008。那么在 LAN 工作站上,我只需将它们设置为自动获取 IP 和 DNS 服务器,它们就应该能够在 SBS 服务器上找到 DHCP 并毫无问题地提取信息?还是我需要在具有 SBS 服务器 IP 的 LAN 计算机上设置 DNS 服务器?
3.不。就 Netgear 后面的内容而言,Verizon 路由器上的内容是“在互联网上”。唯一允许的传入流量是您在 Netgear 中定义的,即端口转发。
好的。那么说到端口转发,使用此设置,我是否需要在两个路由器上指定每条规则?例如,要打开 http 到服务器,我需要将端口 80 从 VZ 路由器转发到 Netgear 路由器 (192.168.1.250),然后在 Netgear 路由器上将端口 80 转发到服务器 (192.168.2.2)?
5.Netgear 后面的 PC 将“正常工作”。我有点困惑,您想让无线客户端连接到 Verizon 路由器,但又不想让它们访问 LAN,对吗?您难道不想让它们只从 VZ 路由器而不是从内部 DHCP 服务器获取地址吗?
我错了,你是对的。无线客户端应该从 VZ 路由器获取 IP 信息,而不是从 LAN 上的 SBS 服务器获取。因此,无线计算机上的设置应该相同……只是自动获取 IP 和 DNS,它会从 Verizon DHCP 获取,因为这是它唯一看到的?
6.是的。如果它实际上是 WAP,那么它可能没有 DHCP 服务器,它就像一个交换机,但没有电线。您可以使用消费级无线设备,关闭 DHCP 服务器,甚至不用考虑 WAN 端口。
WAP 是 Netgear WG302,它确实有 DHCP。所以如果我禁用该 DHCP,那么具有自动 IP 分配的无线客户端应该会直接通过并从 VZ 路由器(任何中继或静态路由或任何此类混乱情况)获取 IP?
答案4
我的工作场所安装了两个接入点 A 和 B。我在 TCP/IP 协议中给出了两个配置,即第一个是 DHCP 设置,另一个是 PC 中的静态 IP 地址。我希望我的接入点 A 使用 DHCP,接入点 B 使用静态 IP 地址设置,接入点 A 使用静态 IP 地址设置连接到我的 Windows 2003 服务器,另一个远程网络通过使用 DHCP 设置的点对点连接连接到我的服务器。