我有一个非常简单的小型企业网络,大约 10 年前我用一对 Linksys 路由器建立的。过去几年,随着网络流量的增加,路由器变得越来越不稳定。这些设备已经有五年多没有更新过固件了,所以是时候淘汰它们了。
以下是网络架构
WAN IP 192.168.1.4 192.168.4.1
Internet <------> DSL Modem <---------> Linksys A <--------------> Public Wireless AP (WDS)
^ ^
| | 192.168.1.2 192.168.2.1
| +------------------> Second Public Wireless AP
|
| 192.168.1.3 192.168.3.1
+---------------------> Linksys B (Intranet) <---> Switch
所有内联网设备均通过 DHCP 在 192.168.3.1/24 子网中获取 IP 地址。所有公共访问均发生在 192.168.2.1/24 和 192.168.4.1/24 子网上。Linksys A 路由器配置为阻止公共子网和私有子网之间的流量。它还设置为将 SSH 连接从 WAN 转发到 192.168.3.x 子网。
我想用允许相同配置的单个设备替换 Linksys A 和 Linksys B 设备。
我目前正在考虑美国网件 FVS318G或者D-Link DSR-250。看来这两款产品的价格都在 100 到 150 美元之间,正好在我理想的预算之内。
这两种设备都能处理这种网络配置吗?有什么理由选择其中一种吗?
此外,我有很多在 WDS 配置中作为 dd-wrt 设备运行的无线接入点,所以我并不反对购买不同的设备并使用替代固件进行刷新。
编辑
发现一些信息表明 FVS318G 不支持 VLAN 或巨型帧。此外,默认固件仅允许两个内部子网(端口 8 上的 DMZ,部分 1 - 7 上的 LAN)。我认为这将排除在考虑范围之外。
跟进
我最终购买了一个路由板 750. 对目前的结果非常满意。
答案1
您的配置并不复杂。您真的不需要需要如果您不需要,可以使用“专业消费者”NAT 路由器/防火墙盒。
你做需要适当隔离“公共”网络和“内部网”网络——你在这里实际上没有这样做(公共设备无法访问你的内部网的内部 IP,但它们能查看其所有流量,并且您的内部网可以访问公共网络的 IP——这会使您容易受到中间人攻击)。
我对你的建议是真实的防火墙解决方案。Juniper
和 Cisco 都有商用产品,但你可以用一台备用的商用计算机来实现,普富思如果您愿意亲自支持该解决方案的话。
您将需要三个 NIC(或两个 NIC 和内部支持 VLAN 的硬件),并且您的最终网络应如下所示:
[Internet]----[MODEM]----[Firewall]-------(Public network switch & Devices)
|
------------(Intranet switch & Devices)
配置防火墙以防止公共网络和内联网的流量混合(作为单独的安全区域实现)。