我正在尝试更好地了解网络,为了帮助我学习,我正在做一个家庭项目,我想在同一个地理位置设置两个网络,我们称之为客户端和服务器。(由于我无法从我的 ISP 获取多个 IP,因此两个网络都从一个 WAN 访问互联网。)这两个网络应该彼此分开,这意味着我想防止恶意软件或其他威胁在网络中传播。
话虽如此,我仍在尝试允许特定客户端能够定期从客户端网络管理服务器。
我当然可以在网络之间物理切换客户端,但这似乎很麻烦。我的想法是创建一个 VPN 隧道,但我很好奇是否有其他/更好的选择。
我有三台路由器和一些交换机,我的问题是
- 子网划分或 VLAN 是否是分离网络的更好选择?我最近阅读了很多关于这两种方法的文章,但无法决定哪种方法最适合这种情况。
- VPN 是客户端访问服务器网络最安全的方式吗,或者允许它始终访问两个网络是否同样安全?
- 路由器是否需要与其父路由器具有单独的 IP,还是网关 IP 就足够了?
- 我真的需要三个路由器吗?还是只需要一个就够了?
我在下面链接了一张图片来阐明我打算进行的设置。如果这个问题对于这个论坛来说太过深入,请告诉我。我非常乐意自学,但需要一些关于从哪里开始寻找的指示。
答案1
子网划分或 VLAN 是否是分离网络的更好选择?我最近阅读了很多关于这两种方法的文章,但无法决定哪种方法最适合这种情况。
子网是逻辑网络划分。它工作在第3层;不同的IP网络不能直接相互通信,而必须通过路由器。
如果需要,您可以在同一个物理段上使用多个子网。
VLAN 是身体的隔离。它在第 2 层分割网络,因此,如果没有位于两个 VLAN 中的设备,任何数据包都无法从 VLAN 1 流向 VLAN 2。
通常,子网与 VLAN 匹配的组合是合适的,这样你就可以在子网和物理广播域之间实现 1:1 的映射,但这不是技术的要求。
VPN 是客户端访问服务器网络最安全的方式吗,或者允许它始终访问两个网络是否同样安全?
VPN 是一种在非安全网络上安全传输数据包的技术。仅此而已。根据您的威胁模型,使用 TLS 和互联网可能足够安全,而且部署起来也容易得多。
路由器是否需要与其父路由器具有单独的 IP,还是网关 IP 就足够了?
???
我真的需要三个路由器吗?还是只需要一个就够了?
找一台至少有两个 NIC 的旧电脑。安装 pfsense。获取支持 VLAN 的交换机。开始游戏。为了增加学习效果,添加第二台装有 pfsense 的电脑,并设置第三个子网。在网络之间添加路由。部署动态路由协议,例如 OSPF。