1

У меня довольно простая сеть, но я хочу внести в нее некоторые изменения, и я хотел бы знать, каков наилучший способ добиться этого.

В настоящее время: у меня есть Интернет, входящий в модем к маршрутизатору, к коммутатору ко всем проводным устройствам и точке доступа для беспроводных устройств.

Что бы я хотел: я собираюсь добавить второй AP для гостевого доступа. (Причина этого в том, что они могут свободно пользоваться бровями, будучи полностью отделены от моей домашней сети, и я могу ограничить их использование, если мне нужно.) Я не хочу, чтобы они имели доступ к устройствам в моей основной сети, но я хочу, чтобы они имели доступ к одному и тому же Интернету.

Я также хотел бы добавить оптоволоконное соединение 5 Гбит / с для моего основного ПК и моего сервера, чтобы использовать их для связи друг с другом, поскольку я часто пересылаю большое количество файлов между ними. Я не хочу, чтобы это оптоволоконное соединение имело доступ к Интернету. Я также не хочу, чтобы одно устройство пыталось пройти через другое, чтобы получить доступ к Интернету, поскольку у них уже будет свое собственное соединение, которое они должны использовать. (Примечание: я готов обойти коммутатор и подключить их напрямую, если мне нужно, но я бы предпочел пройти через коммутатор.)

Я уверен, что нам потребуется использовать подсети, VLANS, настройки брандмауэра или их комбинацию, чтобы выполнить то, что я хочу сделать. Я очень хорошо разбираюсь в обоих из них, так как я работаю над поддержкой VOIP и управляемыми услугами для ОЧЕНЬ крупных компаний, но я впервые буду создавать такой с нуля, так что я не уверен, какой будет лучший метод для достижения того, что Я хочу Учитывая опцию, я предпочитаю подсети над VLANS.

Я уверен, что эти вопросы возникнут, поэтому я постараюсь ответить на большинство из них ниже. Модем - это кабельный модем Arris. Маршрутизатор - это Linksys EA6900, но он будет заменен специальным маршрутизатором PFSense для монтажа в стойку. Управляемый коммутатор представляет собой 48-портовый Netgear GS748Tv3

Ниже приведена базовая схема, которая, надеюсь, объяснит, чего я хотел бы достичь.

образ

3 ответа3

1

Я слышал, что лучше один раз увидеть, чем сто раз прочитать, поэтому ниже мои предложения:

сеть

pFsense - действительно мощное гибкое решение корпоративного уровня, поэтому вы можете использовать на нем практически все. Если вы будете использовать обычный компьютер в качестве дома для вашего pFsense, вы можете найти несколько приличных многопортовых сетевых карт, что-то вроде этот

Я предлагаю вам использовать базовые карты Intel (например, Intel PRO/1000 ...) для максимальной совместимости с FreeBSD (ОС за pFsense).

Таким образом, вы можете физически разделить сеть на несколько подсетей, которые могут быть изолированы или могут общаться друг с другом в зависимости от ваших потребностей, настроив межсетевой экран / маршрутизацию на pFsense. Несмотря на то, что VLAN дешевы, могут быть случаи, когда некоторые клиентские устройства не поддерживают их, поэтому физическое разделение подсетей, таких как OPT1 и LAN на приведенном выше рисунке, уменьшит в будущем PITA.

Что касается Fibre Link, возьмите пару оптоволоконных карт и установите их на сервер и основной компьютер и подключите их напрямую. Если вы не настроите мост между интерфейсами Ethernet и Fibre на главном ПК, то ваш сервер будет доступен только для этого ПК.
Я предлагаю вам перейти с 10Gb ссылку. Если вы хотите делать покупки на ebay, вы можете найти очень дешевое (по сравнению с новым) подержанное оборудование. Если бы вы использовали карты на базе чипсета Intel 82599, у вас не возникло бы проблем, просто имейте в виду, что сравнивать с картами Ethernet - оптоволоконные карты - это настоящий Zoo, где карты имеют одинаковый слот для оптоволоконных модулей, но несовместимы между собой ( например, модуль SFP+ netgear может помещаться в разъем на базовых платах Intel, но не будет работать.)
Также используйте оптоволоконные кабели голубого цвета, если расстояние между вашим компьютером и сервером имеет значение.

0

Для фактической изоляции вам нужны VLAN или несколько сетевых интерфейсов.

Я расскажу о VLAN, потому что они дешевы и просты в реализации:

  • VLAN 1: обычная сеть
  • VLAN 2: гостевая сеть

Я просто опишу целевую конфигурацию.

  • На вашем брандмауэре / маршрутизаторе,
    • VLAN 1 и 2 настроены.
    • сетевой интерфейс локальной сети настроен на использование помеченных VLAN (иногда называемых магистральными)
    • VLAN 1 назначена для зоны «внутренней сети»
    • VLAN 2 назначена для зоны гостевой сети
    • правила брандмауэра / переадресации устанавливаются соответствующим образом
  • На вашем управляемом коммутаторе
    • межсетевой экран / маршрутизатор подключен к порту 1
    • гостевая точка доступа подключена к порту 2
    • порт 1 является членом VLAN 1 и 2, помечен
    • порт 2 является членом VLAN 2, без тегов
    • все остальные порты являются членами VLAN 1, без тегов

Это приведет к изолированной гостевой сети. Трафик из гостевой сети будет изолирован как настроено на брандмауэре.

Ваш коммутатор никак не поддерживает Ethernet 5 Гбит / с.

0

1) Гостевая сеть: самый простой способ настроить это - на главном маршрутизаторе, где вы используете правила брандмауэра, чтобы убедиться, что сегмент с гостевой точкой доступа отделен от сегмента с вашей внутренней сетью (как LAN, так и WLAN). Таким образом, у вас будет два сегмента (и третий сегмент для оптоволоконного соединения).

Я не знаком с pfSense, только с iptables, поэтому не могу дать подробности, но это довольно стандартная настройка, в которой вам нужно добавить правила, которые позволяют пересылку между сетевыми адаптерами для гостевой / интернет и внутренней / интернет, но запретить гость / внутренний.

Если вы не можете подключить гостевую точку доступа напрямую к маршрутизатору, а только к коммутатору, вам понадобится VLAN, которая будет выглядеть так, как если бы она была напрямую подключена к маршрутизатору.

Обратите внимание, что ваша пользовательская стойка будет не только маршрутизировать и защищаться брандмауэром, но также предоставлять такие услуги, как DHCP, DNS-прокси / кэш и т.д. Все это есть в домашних маршрутизаторах, а также часто уже имеют готовую конфигурацию гостевой сети, поэтому поищите, действительно ли нужна нестандартная стойка, и если она поставляется со всем необходимым. Другой вариант - заменить прошивку на домашнем роутере на OpenWRT и т.д.

2) Оптоволокно между ПК и сервером: я ожидаю, что Netgear будет поддерживать конфигурацию "групп портов" или что-то подобное, которые взаимодействуют только друг с другом. Создайте одну такую группу для двух оптоволоконных портов, а другую группу для остальных. Если Netgear не может этого сделать, используйте VLAN на оптоволокне. Другой сегмент для волокна означает, что вы можете выбрать маршрут передачи, выбрав адрес назначения.

3) Интерфейс WLAN вашего внутреннего AP должен быть соединен с интерфейсом LAN (в зависимости от микропрограммы AP, у этого есть различные имена). Это будет означать, что ваш центральный DHCP-сервер на маршрутизаторе может обрабатывать оба, и это также будет означать, что ваша LAN и WLAN могут совместно использовать один сегмент и видеть друг друга.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .