我正在重建我的系统并遇到了障碍。
我想使用我的旧路由器来分离不同的东西。例如,一个路由器只处理来自所有物联网和打印机的 Wi-Fi,另一个路由器用于安全摄像头,当然还有主要的路由器仅用于无数的手机、笔记本电脑和平板电脑。
所有计算机都是全新安装的 Windows 7 Pro,主路由器是 Linksys,采用原装固件,192.168.1.2。WAN 来自电缆调制解调器。LAN 连接到 Cisco 3750。所有设备都插入 Cisco。所有计算机都有稳定的连接,可以看到我连接到该网络的任何设备。
辅助路由器是旧的 Linksys 2.4 GHz(同样用于无线打印机和 IOT),运行 DD-WRT,192.168.1.3,WAN 端口打开,LAN 端口均来自 Cisco 并连接到笔记本电脑,因此我可以配置/监控直到它启动并运行,并且我可以远程进入它。
我可以从笔记本电脑(连接到辅助/IOT 路由器) ping 网络上的任何计算机或主路由器,但是,我无法从网络上的任何其他地方 ping IOT/Print(辅助)路由器 (192.168.1.3)。“目标主机不可达”。
我可以从任何计算机 ping 主路由器控制下的任何硬件,但如果尝试从任何计算机 ping 辅路由器,则会失败。但是,我可以从辅路由器 ping 主路由器,但反之则不行,所以,就是这样。
我在这里读到另一个人的帖子,其中有一个不太相似的问题:
192.168.1.1-25 是网络设备、路由器、服务器、托管交换机等的静态范围,26-50 是打印机,51-100 是 DHCP,101-254 是网络硬件。(不确定在这种情况下网络“设备”和网络“硬件”之间有什么区别...)
我不确定这是不是个好主意,但我最初只是在打印路由器上设置 IP 为 2.1、1.5 或其他地址,但结果相同。那时,我只能“摸索和祈祷”。
显然,我对 IP 地址协议一无所知。理由很充分。我就是搞不懂。我以前是个服务台极客,虽然我可以组装/修理硬件并进行设置,但无论我有多少网络书籍或互联网的魔力,网络这件事就是没法理解。
我不会说“网络”,所以任何提示或建议都需要非常基础。比如,如果你说“Subnet”,我就会像荷马·辛普森一样,张大嘴巴。
我希望你们中有人能给我一点建议。也许作为实际应用,我可能会更好地掌握其中一些概念/设置。是的,我知道这是一个非常艰难的攀登。
如果划分 IP 范围是可行的,我会采用。如果有更简单的方法可以拆分各个路由器,让它们各自工作,同时在必要时仍能互相看到,我会尝试。我已经为此努力了几天,但我力不从心。
这是可能的,尽管一开始它增加了很多复杂性而没有实际好处。
解决方案 1 假定您有一个用于每个用途的路由器,每个路由器都有自己的互联网连接。
您的 LAN 是 192.168.1.0 /24,这意味着 .1 到 .254,并且每个设备都可以通过 LAN 看到其他每个设备。
这三个路由器在 LAN 内部各自都有一个唯一的 IP,以及每个 ISP 为该路由器提供的公共 IP。
由于 LAN 是共享环境,因此每个设备都可以直接看到其他设备。这里不提供任何安全性。
此外,只能有一个授权 DHCP 服务器被允许提供 IP。由于您可能希望自动为来往的电话执行此操作,这意味着在此示例中,打印机和 IOT 设备需要静态配置 IP 地址。
诀窍在于打印机具有网关/路由器 IP 集 R2 或 192.168.1.2,并且 IOT 设备寻找网关 IP 192.168.1.200。它们都有 /24 或
255.255.255.0网络掩码,这就是客户端可以确定它们是否可以直接连接到 IP 或必须通过路由器路由它们的请求的原因。真是一片混乱,没有分开,而且还要支付三个互联网连接的费用。
我们可以在具有三个路由器的一个互联网连接上做到这一点吗?是的,通过添加第四个路由器,将其称为 R4。
我们还需要一个非 192.168.1 的互连 LAN
这样您就可以使用解决方案 1,但只需支付一条互联网链路的费用。这不会增加任何安全性,因为客户端仍可以直接通过 192.168.1.x /24 网络进行连接,而无需通过路由器,而且另一个路由器会花费您更多的电力。
那么我们如何分离这些设备呢?将 LAN 分成三部分,并使网络间流量必须通过路由器才能到达下一个网络。
优点:每个 LAN 都可以再次拥有 DHCP。
设备之间的通信必须在其经过的每个路由器的防火墙设置中得到明确允许。
缺点:管理起来相当复杂,在短时间内,您可能会添加允许“任何源到任何目的地”的防火墙规则,以使事情正常运转。
这也是一种称为“双 NAT”的设计,因为客户端到互联网的流量在其自己的路由器后面进行 NAT,然后再次在 R4 后面进行 NAT。这可能会导致游戏和视频聊天等出现问题。mDNS
和 Bonjour 等发现协议往往无法跨路由网络工作,这就是这种情况。
您现在需要三个独立的以太网交换机,每个网络一个。
而且您的无线网络仅在 LAN 上,因此无线打印机需要自己独立的接入点,无线 IOT 客户端也是如此。
路由器 R1 需要具有静态路由功能,即“网络 192.168.2.x 通过 192.168.44.2 访问”,因为这是 R2 的互连 IP。
同样,R1 上还有另一条静态路由,即“192.168.200.x 通过 192.168.44.200 访问”
需要在 R2 和 R3 上为其他不直接连接的 LAN 设置另外两条静态路由。您可能需要在 R4 上添加三条静态路由,专门告诉它如何连接到右侧的三个 LAN。
一个重大的挑战是在所有需要的地方进行所有必要的改变。
最后,我们意识到四个消费级路由器的维护和故障排除将是一场噩梦。
如果您坚持要使用多个独立网络,请用运行开源防火墙发行版(如pfSense或类似版本)的可靠 PC 替换所有路由器。您甚至可以使用通用 Linux 发行版和 iptables 来实现。
您可以选择保留单独的以太网交换机,并指定具有 4 个物理以太网接口的防火墙,或者您可以拥有一个可以使用 VLAN 的托管以太网交换机。这样您就可以告诉每个交换机端口位于 LAN 或 IOT-LAN 或打印机 LAN 中。
优点:防火墙上的任何配置都在一个地方完成,而不是多个不同的路由器。
最后一个解决方案是我在家里使用的 - 我有一个 CCTV 网络,每个客户端都没有默认网关,无法看到其本地 LAN 以外的内容,因为我有便宜的中国摄像头,它们会尝试打电话回家。防火墙知道不允许它们访问互联网。
我还有一个访客无线网络,可以访问互联网,但看不到我的局域网。当我在家办公时,我会将工作电脑放在这里,因为里面充满了公司间谍软件。
事实上,您使用过时且不受支持的 Windows 客户端与网络无关,但认真考虑安全性是个好主意。
如果有任何问题或需要澄清,请询问。
如果有疑问,就画一张图。通过网络,这确实很有帮助。