我是一家小型公共图书馆的系统管理员。自从几年前来到这里以来,我一直在尝试以安全而简单的方式设置网络。
安全性有点棘手;出于安全原因,员工和顾客网络需要分开。即使我进一步隔离公共无线网络,我仍然不太相信我们公共计算机的安全性。但是,这两个网络也需要通信;即使我设置了足够多的虚拟机,使它们不共享任何服务器,它们至少也需要使用相同的两台打印机。
目前,我正在使用一些临时拼凑的商品设备来解决这个问题。顾客网络通过交换机连接在一起,有一个 Windows 服务器与其相连,用于 DNS 和 DHCP,还有一个 DSL 调制解调器作为网关。顾客网络上还有 Linksys 路由器的 WAN 端。此路由器是员工网络的“顶部”,并在不同的端口上连接了相同的 Windows 服务器,提供 DNS 和 DHCP,以及另一个更快的 DSL 调制解调器(单独的连接非常有用,特别是因为我们严重依赖一些云托管软件)。两个网络都有无线网络(当然,员工使用 WPA 进行保护)。
tl;dr:我们有一个公共网络,以及一个其中的 NATed 员工网络。
我的问题是:这真的是最好的方法吗?合适的设备可能会让我的工作更轻松,但任何超过四个端口的设备,甚至基本的管理,很快就会对我们的预算造成沉重的打击。
(我最初的问题是关于令人沮丧的 DHCP 路由问题,但我想问我的网络是否坏了,而不是询问 DHCP 问题并被告知我的网络坏了。)
答案1
在我看来,这似乎很简单,只需使用 VLAN 来隔离相关网络,然后在服务器中使用可以区分 VLAN 流量并做出相应响应的网卡即可。当然,交换机需要具备 VLAN 功能,如果它们还没有,可能会比您能承受的要贵一些。如果价格不算太高的话,ProCurve 生产的 24 端口 10/100 交换机价格不到 400 美元。
就查看 VLAN 而言,最顶层的 LinkSys 可能有点问题。我知道 LinkSys 的一些高端产品(如果存在这样的产品)可以与 VLAN 配合使用,但我从来都不喜欢它们。您可能想看看您的 LinkSys 是否适合安装 dd-wrt,它可以处理 VLAN,并且就它在其他方面能为您做的事情而言,它可能更强大一些。
或者你可以使用你的一个服务器作为网关/防火墙。将 IPCop 放在一个可靠的设备上,然后永远不再使用 LinkSys。
答案2
看起来您的需求与我们的学校网络类似,有教师、学生和访客;共享打印机;共享互联网连接;有线和 WiFi 主机混合。当然还有一台访问受限的服务器/NAS。我们用 3 个不同的 VLAN 解决了这个问题(+ 一个用于通风和供暖系统等技术系统,完全隔离)。因此,我们有一个 VLAN 用于员工,一个用于学生和访客,一个用于打印机。这三个都可以访问互联网,员工和学生都可以访问相同的打印机。(我们在员工 VLAN 上也有一些专用的员工打印机)。我让 Ubiquiti 设备来处理这项任务 - 一开始尝试使用现有的 dLink 交换机,但管理起来太困难了,尤其是在 VLAN 方面。从控制器和网关到交换机和 AP,一直使用 Ubiquiti 使管理变得简单。