1

Ситуация

У меня есть маршрутизатор Netgear WGR614v7 (беспроводная связь отключена).

Хосты в обеих подсетях должны иметь доступ к Интернету, но не должны иметь возможность пинговать хосты через подсети.

Я хочу разделить свою частную сеть класса c на две подсети:

  1. Первая подсеть:
    • Маска подсети: 255.255.255.128
    • Адрес подсети: 192.168.0.0
    • Адрес трансляции: 192.168.0.127
    • Диапазон хостов 192.168.0.1 - 192.168.0.126
    • Шлюз по умолчанию 192.168.0.1
  2. Вторая подсеть:
    • Маска подсети: 255.255.255.128
    • Адрес подсети: 192.168.0.128
    • Адрес трансляции: 192.168.0.255
    • Диапазон хостов: 192.168.0.129 - 192.168.0.254
    • Шлюз по умолчанию: 192.168.0.1 (я думаю, что это неправильно?)

Конфигурация маршрутизатора

Конфигурация маршрутизатора (вкладка «Настройка IP-сети» на WGR614v7 - выглядит примерно так http://interface.netgear-forum.com/WGR614v6/start.htm):

НАСТРОЙКА TCP/IP ЛВС

  • IP-адрес: 192.168.0.1
  • IP-подсеть: маска 255.255.255.128 (возможно, мне следует изменить это на маршрутизаторе на /24 вместо /25 и поставить /25 масок на хостах ??)
  • Направление RIP: Нет
  • Версия RIP: отключено
  • Использовать маршрутизатор в качестве DHCP-сервера: включено
  • Начальный IP-адрес: 192.168.0.50
  • Конечный IP-адрес: 192.168.0.99
  • Резервирование адреса: нет

Рабочие станции

У меня есть рабочая станция в 1-й сети (192.168.0.51 через DHCP), у которой нет проблем с доступом в Интернет.

Рабочая станция во второй сети (192.168.0.129 через статический IP-адрес) не может подключиться к Интернету и не может пропинговать маршрутизатор (192.168.0.1).

Главный вопрос

Не могли бы вы помочь мне выяснить, что я делаю не так? Я пытаюсь выяснить, почему я не могу поместить эту вторую рабочую станцию (192.168.0.129) во вторую подсеть и получить к ней доступ в Интернет или пропинговать маршрутизатор.

|источник

2 ответа2

3

Я не думаю, что вы можете правильно делать то, что вы пытаетесь сделать с вашим текущим маршрутизатором (если вы не можете обновить его до OpenWRT или аналогичного). Это также намного сложнее, чем вы думаете - и, вероятно, не может быть сделано только через веб-интерфейс.

Как уже указывалось, каждая подсеть должна указывать на маршрутизатор с IP-адресом в своем собственном сетевом блоке.

Таким образом, на LAN-интерфейсе маршрутизатора вам необходимо иметь 2 IP-адреса - 192.168.0.1 и 192.168.0.254 (или, во втором случае, IP-адрес в 192.168.0.129 - 192.168.0.254, который вы не используете). Для этого вам нужно привязать второй IP-адрес к маршрутизатору, и он не позволяет вам сделать это.

Даже если вы достигнете вышесказанного, вы все еще только часть пути к своим целям. Если вы используете DHCP, вам нужно, чтобы сервер DHCP отвечал в обеих подсетях и предоставлял IP-адреса в соответствующем диапазоне для каждой подсети. Опять же, это выполнимо, но, вероятно, не с вашим текущим маршрутизатором.

Вопрос, который нужно задать, - «Зачем ты это делаешь?». Это не принесет вам существенной безопасности / изоляции, поскольку системы все еще находятся в одном сегменте, то есть компьютеры в одной половине могут читать и отвечать на широковещательный трафик в другой половине. Типичный способ решения этой проблемы, таким образом, немного сложнее - и опять же, вам нужно более мощное программное обеспечение маршрутизатора для его решения. (Чтобы полностью понять, о чем я здесь говорю, вам необходимо понять разницу между подсетью и сегментом сети - эти 2 понятия идут рука об руку, и, как правило, 1 подсеть = 1 сегмент, но вы описываете 2 подсети на 1 сегмент - что часто не то, что вы хотите)

Таким образом, я сделал нечто подобное - у меня есть маршрутизатор, который поддерживает OpenWRT. Я настроил порты LAN на маршрутизаторе в разные VLANS. (Большинство 4-портовых маршрутизаторов интересны тем, что к 4-локальным портам фактически осуществляется индивидуальный доступ, а программное обеспечение делает их похожими на коммутаторы и взаимозаменяемыми, но вы можете фактически запрограммировать их на разные VLANS и обеспечить изоляцию для каждого порта ). Затем вы помещаете каждую VLAN в отдельную подсеть и назначаете IP-адрес интерфейсу маршрутизатора для каждой подсети. Вам, вероятно, понадобится 2 коммутатора (если у вас более 3 устройств в любой подсети) - вам нужно будет использовать 1 коммутатор для каждой подсети. Таким образом, компьютеры находятся в разных сегментах сети и - из практического POV - не могут общаться друг с другом без прохождения через маршрутизатор. [Тем не менее, я могу указать вам на статьи, в которых говорится, что не полагайтесь на VLANS для обеспечения безопасности - хотя я не согласен с их выводами]

|источник
1

Мне очень жаль это делать, но я просто ответил на свой вопрос, настроив статический маршрут. Я просто следовал этим указаниям, но немного подправил: https://www.dd-wrt.com/wiki/index.php/Linking_Subnets_with_Static_Routes

На первом маршрутизаторе (Netgear WGR614v7) приведена конфигурация статического маршрута:

  • Частное лицо: да
  • Активный: да
  • IP-адрес назначения: 192.168.0.128
  • Маска подсети IP: 255.255.255.128
  • IP-адрес шлюза: 192.168.0.2
  • Метрика: 2

Есть сетевой кабель, идущий от порта LAN на Netgear к порту WAN на Linksys.

Теперь вот конфигурация второго маршрутизатора (Linksys BEFSR41v2):

IP-адрес локальной сети

  • IP-адрес устройства: 192.168.0.129
  • Маска подсети: 255.255.255.128

WAN IP Address (вы можете использовать DHCP из Netgear, но я использовал статический):

  • WAN IP-адрес: 192.168.0.2
  • Маска подсети: 255.255.255.128
  • Шлюз по умолчанию: 192.168.0.1
  • DNS: (Просто используйте то, что вам дал ваш провайдер)

Я включил dhcp на обоих маршрутизаторах и не могу поверить, что это сработало.

  • На Netgear я установил диапазон от 192.168.0.50 до 192.168.0.99
  • На Linksys я установил диапазон от 192.168.0.150 до 192.168.0.199

Все хосты из обеих сетей имеют доступ в интернет.

Я заметил одну вещь: хосты из первой подсети (192.168.0.0/25) не могут пропинговать хосты из второй подсети (192.168.0.128/25), но хосты из второй подсети могут пропинговать хосты из первой.

Я хотел бы, чтобы подсети были взаимоисключающими друг с другом, но это должен быть другой вопрос.

Редактировать: статический маршрут совершенно не нужен для минимальной настройки взаимоисключающих подсетей. Просто убедитесь, что маршрутизаторы выключены после настройки, если они не работают. Вот как я узнал: http://www.linksys.com/ca/support-article?articleNum=132275#b

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .