我的一位客户请我帮忙解决网络问题。这家客户是一家公共图书馆。
问题:图书馆通过当地电信供应商提供和管理的一体化路由器(以后称为互联网路由器)为客人提供无线互联网接入。
为了提供服务,他们需要为外部托管接入点/路由器/一体机(以下称为服务路由器)提供互联网/网络连接。服务路由器通过互联网路由器的 WAN 端口获取网络连接。此服务路由器还在不知情的情况下在主网络上提供 DHCP 服务,在这种情况下是 rouge DHCP。
我们无法在两个路由器上禁用 DHCP。
这导致客人无法访问互联网并且所提供的服务也无法使用。
我确实无法说出它提供什么样的服务,但它确实需要互联网连接。并且它需要 SR 提供不受保护的隐藏网络。
建议的解决方案:我正在考虑设置一个网络拓扑,将网络分成 2 或 3 个部分,并使用内部路由器
所以:
互联网路由器
|
\ 主网络
|
\ 服务网络
或类似的东西。
我不知道如何创建这样的拓扑,是否有这样的设备,或者是否需要使用 Linux/Windows 解决方案进行定制?
有关当前设备的信息:
目前我不知道服务路由器是什么类型的设备,我会询问图书馆的工作人员。我们无法访问该设备
互联网路由器是一个臭名昭著的 KPN Experia 盒子,被锁定了,所以我们做不了什么。
答案1
那么服务路由器的 LAN 和 WAN 端口都插入“本地网络”了吗?而互联网路由器的 LAN 端口连接到“本地网络”,其 WAN 是 DSL/Cable/GSM/其他类型?
如果是这种情况,服务路由器要么需要禁用其 DHCP,要么需要将其 LAN 端口与“本地网络”断开连接。不过,我猜它提供了对某些外部服务的 VPN 访问。在这种情况下,需要连接到该外部服务的计算机应该位于仅连接到该 SR LAN 端口的单独网络上。在任何情况下,网络都不应连接到 SR 和 IR 的两个 LAN 端口。如果所有计算机都需要访问,只需将路由器以菊花链形式连接起来(SR LAN 连接到“本地网络”,SR WAN 连接到 IR LAN,IR WAN 连接到任何其他设备)。
答案2
我不知道你为什么不能在其中一个路由器上禁用 DHCP,但一个简单的解决方案是更改每个路由器可以租用的 DHCP 可用 IP 地址范围。为此,我们假设公共访问是路由器1服务访问是路由器2
例如,路由器1可以租赁192.168.0.50-192.168.0.100
和路由器2可以租赁192.168.0.101-192.168.0.150
。这应该适合您,具体取决于有多少客户端需要访问任一网络。
更复杂的解决方案是在您的网络上创建多个子网。这将是一个更好的解决方案,因为您可以选择在逻辑上隔离网络,并且您的大多数路由器1交通不会进入路由器2除非有意,否则流量将不会通过,反之亦然。如果需要,它还可以增加一层安全性。
例如,路由器1可以租赁整个192.168.0.0/24
网络,并且路由器2可以租用整个192.168.1.0/24
网络。要实现这一点,您需要在路由器中建立静态路由。
以下配置假设你正在连接 WAN路由器2插入 LAN 端口路由器1网络。
例子路由器1配置:
WAN: xxx.xxx.xxx.xxx
LAN: 192.168.0.1
LAN SUBNET: 255.255.255.0
LAN DHCP SCOPE: 192.168.0.0/24
LAN DHCP LEASABLE ADDRESSES: 192.168.0.2-192.168.0.253
STATIC ROUTES:
(NETWORK) 192.168.1.0/24 (SUBNET) 255.255.255.0 (GATEWAY) 192.168.0.254
例子路由器2配置:
WAN: 192.168.0.254
LAN: 192.168.1.1
LAN SUBNET: 255.255.255.0
LAN DHCP SCOPE: 192.168.1.1/24
LAN DHCP LEASABLE ADDRESSES: 192.168.1.2-192.168.1.253
STATIC ROUTES:
(NETWORK) 192.168.0.0/24 (SUBNET) 255.255.255.0 (GATEWAY) 192.168.1.1
(NETWORK) 0.0.0.0/24 (SUBNET) 0.0.0.0 (GATEWAY) 192.168.1.1