1

Для простоты, скажем, моя сеть выглядит так:

                 [Internet/Modem]
                        |
           [Standard home wi-fi Router]
                        |
[Windows/Mac PCs]  [NAS Drive]  [XBOX]  [Printer]

Как он настроен сейчас, каждый может общаться друг с другом и с интернетом, но я бы хотел ограничить это следующим образом:

  • ПК не должны иметь возможность общаться с XBOX
  • XBOX не должен иметь возможность общаться с принтером или ПК
  • Диск NAS и принтер не должны иметь доступа к Интернету и не должны иметь возможность инициировать подключение к любому устройству в сети.

Пытаясь выяснить, как это сделать, я искал маршрутизаторы, управляемые коммутаторы, интеллектуальные коммутаторы, брандмауэры VPN, неуправляемые коммутаторы плюс и т.д., И я страдаю от информационной перегрузки без достаточного количества правильных ключевых слов, чтобы найти что Я нуждаюсь.

Каков типичный способ настройки политик потока данных такого типа для небольшой домашней / офисной сети?

2 ответа2

1

Для пункта 3 вы можете просто настроить свой принтер и NAS со статическими IP-адресами и без шлюзов по умолчанию. Вы также можете выполнить дополнительный шаг, если у вашего маршрутизатора есть брандмауэр, вы можете создать правило, которое блокирует входящий и исходящий трафик на / с их IP-адресов.

Для двух других ваших вещей не существует простого способа сделать это. Самое простое, что можно сделать, - это заказать блок IP-адресов у вашего интернет-провайдера и физически разделить его на две сети, согласно комментарию Даниэля. Однако большинству интернет-провайдеров требуется бизнес-аккаунт, чтобы заказать блок статических IP-адресов. Если нет, вы можете перейти на маршрутизатор бизнес-класса, который позволяет использовать несколько сетей по локальной сети. Я знаком с продуктами Zyxel USG. Например, USG 50 позволяет назначать разные зоны разным сетевым портам. Например, порт 1 может быть 192.168.1.x, а порт 2 - 10.0.0.x. Вы бы настроили свою таблицу маршрутизации и брандмауэр, чтобы убедиться, что сеть на порте 1 не может обмениваться данными с портом 2 и наоборот.

0

В конце концов, я нашел простой способ сделать это, поэтому разместил свой ответ здесь.

Купите базовый коммутатор, который поддерживает VLAN, например Netgear GS108e.

Подключите устройства к коммутатору следующим образом:

  • Порт 1: Wi-Fi Router
  • Порт 2: NAS Drive
  • Порт 3: XBOX
  • Порт 4: принтер
  • Порты 5-8: настольные компьютеры Mac/PC, ноутбуки и / или беспроводная точка доступа для беспроводных клиентов.

Включите расширенную поддержку VLAN на основе портов на коммутаторе и настройте VLAN на основе портов следующим образом:

  • VLAN 1: порты 1,5,6,7,8 (доступ в Интернет для настольных компьютеров / ноутбуков)
  • VLAN 2: порты 4,5,6,7,8 (доступ к принтеру для настольных компьютеров / ноутбуков)
  • VLAN 3: Порты 2,5,6,7,8 (доступ к NAS для настольных компьютеров / ноутбуков)
  • VLAN 4: порты 1,3 (доступ в Интернет для XBOX)
  • VLAN 5: порты 2,3 (доступ к NAS для XBOX)

Эта настройка делает все, что я искал, за исключением того, что принтер и диск NAS не инициировали исходящие соединения. Чтобы устранить эту проблему, я настроил диски принтера и NAS со статическими IP-адресами, прошил мой маршрутизатор DD-WRT и использовал iptables для ограничения исходящего трафика с этих двух статических IP-адресов.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .