我想为一次性项目建立一个基本实验室。
我的想法是这样的:
computer ->Router -> firewall e0 -> switch 1 -> DMZ (just a web server for now)
firewall e1 -> switch 2 -> inner network (office comps)
现在,它不会以任何方式连接到互联网,它将全部位于同一个 LAN 内。我通常使用 192.168.1.0 和 205.7.5.0...但这可能并不那么重要。
我的问题:
首先,这个设置能用吗?它不需要太好。我只想对目标机器进行一些扫描,并在防火墙上设置一些新规则。我担心计算机与路由器的连接,我只需要它连接到网络,而我没有其他交换机。我想我可以随时断开连接并移动它们以显示另一种场景。
其次,我可能需要为此设置做哪些特殊配置(RIP、中继等)?
如果需要的话我确实有另一个路由器,但只有一根交叉电缆,如果需要的话我确实有一条路由器的串行线。
答案1
如果所有工作站/测试机器都在同一个子网中,那么它就可以正常工作。我建议您打开 DHCP 服务器,这样您的测试机器就可以更轻松地获取 IP 和默认网关。
如果没有,则需要配置静态路由或路由协议。
根据您的设备的使用年限,不再需要交叉电缆,现代交换机和路由器足够智能,可以检测到连接到它们的设备。
答案2
您的路由器上至少需要 3 个端口,因为您有 3 个子网。
(暂时忽略防火墙)您不需要任何类型的动态路由,因为您只有 3 个子网直接连接到路由器。只有当您有多个路由器时才需要共享路由。每个子网上的机器应使用路由器的 IP 地址作为其子网上的接口作为默认网关(上游网关)。
如果您使用透明防火墙(防火墙没有 IP 地址),则您只有 3 个子网。如果您不想使用桥接防火墙,则需要有其他子网,然后您需要通知路由器“子网 dmz”可通过接口 X 访问,反之亦然。
一旦开始在第 3 层(IP 和子网)进行分段,可能会使 DHCP 变得更加复杂,因为它依赖于子网内的广播。
答案3
该设置是有效的,但是对于这种规模的设置,我建议只在路由器和防火墙上使用静态路由。如果您计划进行一些扫描,请注意防火墙上的 nat。您可能根本不想进行 nat。
至于 RIP,它不是必需的,但如果您想学习路由协议,请使用 OSPF 或 EGRP。
如果您只是想学习,您可以尝试中继或 VLANS,但这种规模的网络不会从 VLAN 提供的第 2 层优化中受益匪浅。更不用说在这些图中,您的交换机上似乎只有一个或没有连接任何设备。
如今,大多数现代设备不需要交叉线,但如果您遇到一些较旧的设备,例如这些,则很可能需要创建交叉电缆。