Tom Major Asked: 2023-10-22 18:57:17 +0800 CST2023-10-22 18:57:17 +0800 CST 2023-10-22 18:57:17 +0800 CST 内网路由器的WAN口和LAN口连接到同一个交换机上是否可行? 772 我的内网结构如下所示: 旧内网结构 以前,WIFI 用户可以连接到我的 NAS,但我不希望这样。而且我还想把几个独立的WIFI合而为一,所以我策划了一个升级方案。像这样: 新的内网结构 我将在 Router2 上配置防火墙,以便子网 11 上的所有地址都无法访问子网 10 上的地址。这样我的 NAS 将变得安全。问题是:可行吗?有哪些风险? 感谢您耐心阅读本文。 wireless-networking 1 个回答 Voted Best Answer u1686_grawity 2023-10-22T19:26:29+08:002023-10-22T19:26:29+08:00 不,非托管交换机不行。如果您希望 DHCP 继续在两个子网上工作,您将无法控制哪些设备获得哪些地址 – 它们都会同时从两个路由器(DHCP 服务器)获得报价。对于这种“棒式路由器”配置(能够将 Wi-Fi AP 端口分配给一个 VLAN,将 PC 端口分配给另一个 VLAN),至少需要支持 VLAN 的交换机。 (如果不是 VLAN,那么您需要将两台 DHCP 服务器设置为“仅限已知设备”模式,这意味着您需要手动为 Wi-Fi 上的每个访客提供 IP 地址...或者您需要设置一个服务器到“延迟”模式,典型的家庭网关路由器很少支持。) 可以故意在同一共享以太网上运行两个单独的子网,但通常使用单个DHCP服务器(以避免不可预测的结果)并使用静态 DHCP 租约从一个子网或另一个子网分配地址。实际上,由于其他(非安全)原因,我目前在家里拥有的就是这样,ISP 的路由器禁用了 DHCP,并且“侧面”有一个额外的路由器为两个子网提供 DHCP,非常像您的图中所示。 然而,撇开寻址不谈,这种设计并不是特别安全。了解网络方式的人可以很容易地发现,在这样的设置中通过 router2 是......完全可选,因为它毕竟仍然是共享以太网 - 实际上没有什么可以阻止他们从其他子网手动分配 IP 地址,即使他们正在使用 Wi-Fi。 因此,如果两个网络必须在同一线路上运行,您确实需要将它们分开以创建 VLAN – 既为了 DHCP 正常工作,又为了任何有意义的安全性。 (我还想补充一点,一般来说,具有“WAN 和 LAN 端口”的路由器可能不够灵活,无法满足您的需求……就像标签上所说,这些仅位于您和互联网之间,它们不适合自定义内部路由。它可以使用支持 VLAN 的交换机来处理隔离,但到处都有 NAT 不是很整洁。)
不,非托管交换机不行。如果您希望 DHCP 继续在两个子网上工作,您将无法控制哪些设备获得哪些地址 – 它们都会同时从两个路由器(DHCP 服务器)获得报价。对于这种“棒式路由器”配置(能够将 Wi-Fi AP 端口分配给一个 VLAN,将 PC 端口分配给另一个 VLAN),至少需要支持 VLAN 的交换机。
(如果不是 VLAN,那么您需要将两台 DHCP 服务器设置为“仅限已知设备”模式,这意味着您需要手动为 Wi-Fi 上的每个访客提供 IP 地址...或者您需要设置一个服务器到“延迟”模式,典型的家庭网关路由器很少支持。)
可以故意在同一共享以太网上运行两个单独的子网,但通常使用单个DHCP服务器(以避免不可预测的结果)并使用静态 DHCP 租约从一个子网或另一个子网分配地址。实际上,由于其他(非安全)原因,我目前在家里拥有的就是这样,ISP 的路由器禁用了 DHCP,并且“侧面”有一个额外的路由器为两个子网提供 DHCP,非常像您的图中所示。
然而,撇开寻址不谈,这种设计并不是特别安全。了解网络方式的人可以很容易地发现,在这样的设置中通过 router2 是......完全可选,因为它毕竟仍然是共享以太网 - 实际上没有什么可以阻止他们从其他子网手动分配 IP 地址,即使他们正在使用 Wi-Fi。
因此,如果两个网络必须在同一线路上运行,您确实需要将它们分开以创建 VLAN – 既为了 DHCP 正常工作,又为了任何有意义的安全性。
(我还想补充一点,一般来说,具有“WAN 和 LAN 端口”的路由器可能不够灵活,无法满足您的需求……就像标签上所说,这些仅位于您和互联网之间,它们不适合自定义内部路由。它可以使用支持 VLAN 的交换机来处理隔离,但到处都有 NAT 不是很整洁。)