Как настроить гостевую/ethernet / оптоволоконную сеть

У меня есть довольно простой сети, но я хочу внести некоторые изменения в него, и я хотел бы знать, что лучший способ будет для достижения этой цели.

в настоящее время:
У меня интернет пришел в модем к роутеру, к коммутатору ко всем проводным устройствам и AP для беспроводных устройств.

Что я хотел бы:
Я собираюсь добавить второй AP для гостевого доступа. (Причина этого заключается в том, что они могут свободно брови, будучи полностью отделены от моей домашней сети, и я может ограничить их использование, если мне нужно.) Я не хочу, чтобы они могли получить доступ к устройствам в моей основной сети, но я хочу, чтобы они могли получить доступ к тому же интернету.

Я также хотел бы добавить оптоволоконное соединение 5 Гб для моего основного ПК и моего сервера для связи друг с другом, поскольку я часто передаю большие объемы файлов между ними. Я не хочу, чтобы это оптоволоконное соединение имело доступ к интернету. Я также не хочу, чтобы любое устройство пыталось пройти другие для доступа в интернет, поскольку они уже будут иметь свое собственное соединение, которое они должны использовать. (Примечание: Я готов обойти коммутатор и подключить их напрямую, если мне нужно, но я предпочел бы пройти через коммутатор.)

Я уверен, что нам нужно будет использовать подсети, VLAN, настройки брандмауэра или комбинацию из трех, чтобы выполнить то, что я хочу сделать. Я очень хорошо осведомлен в обоих из них, поскольку я работаю, делая поддержку VOIP и управляемые услуги для очень крупных компаний но это будет первый раз, когда я буду настраивать его с нуля, поэтому я не уверен, что лучшая практика будет заключаться в том, чтобы выполнить то, что я хочу. Учитывая опцию, я предпочитаю подсети по VLAN.

Я уверен, что эти вопросы будут возникать, поэтому я постараюсь ответить на большинство из них ниже.
Модем-кабельный модем Arris.
Маршрутизатор от Linksys EA6900, но будет заменен на заказ шкаф Маунт маршрутизатора PFSense.
Управляемый коммутатор на 48 портов GS748Tv3 компания

Ниже приведена основная схема надеюсь объяснять, что я хотел бы достичь.

image

10
задан Alex
28.03.2023 10:37 Количество просмотров материала 2513
Распечатать страницу

3 ответа

1) гостевая сеть: самый простой способ установить это на вашем основном маршрутизаторе, где вы используете правила брандмауэра, чтобы гарантировать, что сегмент с гостевой точкой доступа отделен от сегмента с вашей внутренней сетью (как LAN, так и WLAN). Таким образом, у вас будет два сегмента (и третий сегмент для оптоволоконного соединения).

Я не знаком с pfSense, только с iptables, поэтому я не могу дать подробностей, но это довольно стандартная настройка, где в основном вы должны добавить правила, которые позволяют пересылать между сетевые адаптеры для гостевой/интернет и внутренний/интернет, но запретить гостевой/внутренний.

Если вы не можете подключить гостевую точку доступа непосредственно к маршрутизатору, но только к коммутатору, вам понадобится VLAN, которая будет выглядеть так, как будто она напрямую подключена к маршрутизатору.

Примечание ваш изготовленный на заказ шкаф не только направить и брандмауэр, но также обеспечить обслуживания как DHCP, прокси DNS/тайник etc. Домашние маршрутизаторы включают все это, а также часто уже имеют готового гостя сетевая конфигурация, поэтому исследование если вам действительно нужен изготовленный на заказ шкаф, и если он приходит со всем, то вам. Другой вариант-заменить прошивку на вашем домашнем маршрутизаторе OpenWRT и т. д.

2) волокно между ПК и сервером: я ожидал бы, что Netgear поддерживает конфигурацию "групп портов" или что-то подобное, которые разговаривают только друг с другом. Сделайте одну такую группу для двух оптоволоконных портов и другую группу для остальных. Если Netgear не может сделать это, используйте VLAN на волокне. Другой сегмент для оптоволокна вы можете выбрать маршрут передачи выбрав адрес назначения.

3) WLAN-интерфейс вашей внутренней точки доступа должен быть соединен с LAN-интерфейсом (в зависимости от прошивки точки доступа, он имеет различные имена). Это будет означать, что ваш центральный DHCP-сервер на маршрутизаторе может обрабатывать оба, и это также будет означать, что ваша локальная сеть и WLAN могут совместно использовать один сегмент и видеть друг друга.

0
отвечен dirkt 2023-03-29 18:25

Я слышал, что лучше один раз увидеть, чем сто раз прочитать, так что ниже мои предложения:

net

pFsense действительно мощное разрешение уровня предпринимательства гибкое, поэтому вы можете использовать практически что-нибыдь на ем. Если вы будете использовать обычный компьютер в качестве дома для вашего pFsense, вы можете найти некоторые достойные многопортовые карты ethernet что-то вроде this

Я предлагаю вам использовать Intel базовые карты (например, Intel PRO / 1000...) для максимальной совместимости с FreeBSD (OS behind pFsense).

таким образом, вы можете физически разделить сеть на несколько подсетей, которые могут быть изолированы или могут разговаривать друг с другом в зависимости от ваших потребностей, настроив брандмауэр/маршрутизацию на pFsense. В то время как VLAN дешевы, могли быть случаи, когда некоторое оборудование клиентов не поддерживает его, таким образом, разделяя подсети физически как OPT1 и LAN на изображении выше будет уменьшите в будущем питу.

как о связи волокна, получите карточки волокна пары и установите его на сервер и ваш главный ПК и соедините их сразу. Если вы не настроите мост между ethernet и оптоволоконными интерфейсами на своем основном компьютере, то ваш сервер будет доступен только для этого компьютера.

Я предлагаю вам пойти с 10Gb ссылку. Если бы вы ходили по магазинам на ebay, вы можете найти очень дешевое (по сравнению с совершенно новым) подержанное оборудование. Если вы пойдете с Intel 82599 чипсет на основе карт, вы не имели бы проблему, как раз держите в разуме, сравнить к карточкам локальных сетей, волокно одни реальный зоопарк, где карточки имеют такой же шлиц для модулей волокна но несовместимый между Одином другого (например модуль SFP+ netgear может приспосабливать в гнездо на карточках Intel низкопробных но не работал бы.).

Также пойдите с кабелями волокна который имеет cyan цвет если расстояние между вашими ПК и сервером дело.

1
отвечен Alex 2023-03-29 20:42

для фактической изоляции требуется либо VLAN, либо несколько сетевых интерфейсов.

Я расскажу о VLAN, потому что они дешевы и просты в реализации:

  • VLAN 1: обычная сеть
  • VLAN 2: гостевая сеть

Я просто опишу целевую конфигурацию.

  • на вашем брандмауэре / маршрутизаторе,
    • VLAN 1 и 2 настроены.
    • сетевой интерфейс LAN настроен на использование помеченных VLAN (иногда называется ствол)
    • VLAN 1 назначена зоне "внутренняя сеть"
    • VLAN 2 назначена зоне "гостевая сеть"
    • брандмауэр / правила пересылки настроены соответствующим образом
  • на управляемом коммутаторе,
    • брандмауэр / маршрутизатор подключен к порту 1
    • гостевой AP подключен к порту 2
    • порт 1 является членом VLAN 1 & 2 с тегом
    • порт 2 является членом VLAN 2, без меток
    • все остальные порты являются членами VLAN 1, без меток

это приведет к изолированной гостевой сети. Трафик из гостевой сети будет изолирован в соответствии с настройками брандмауэра.

ваш коммутатор никоим образом не поддерживает 5 Гбит/с Ethernet.

0
отвечен Daniel B 2023-03-29 22:59

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх