Dwie sieci LAN z jednym połączeniem internetowym

0

Mam sytuację, w której muszę użyć jednego przychodzącego połączenia internetowego w domu dla 2 różnych sieci LAN: sieci przewodowej dla mieszkańców domu i jednej dla małej firmy poniżej nas. Chcę mieć pewność, że mieszkańcy nie będą mogli komunikować się bezpośrednio z komputerami w sieci biznesowej. Pytanie brzmi: czy muszę kupić 2 routery, aby było to możliwe? Jak mam to zorganizować i czy masz jakieś zalecenia dotyczące marki, którą powinienem wybrać?

Dzięki!

networking router internet lan wired-networking Czarna magia
źródło
Czy chcesz, aby komputery PC w sieci biznesowej oferowały usługi dostępne w Internecie? (Jeśli tak, komputery domowe będą mogły uzyskać do nich dostęp za pośrednictwem zewnętrznego adresu IP, prawda?)
Nick Russo
Jak serwery itp.? To nie jest obecnie plan, ale bardziej martwiłem się o jakiekolwiek NASsesy czy coś takiego
Black Magic
Racja, na razie brak serwerów, dobrze. Myślę więc, że chcesz, aby obie sieci były od siebie odizolowane jak każda inna para niepowiązanych sieci prywatnych, które są połączone z Internetem. Zastanów się nad zmianą pytania z „komunikuj się z” na „komunikuj się bezpośrednio z”, jeśli uważasz, że to pomaga wyjaśnić.
Nick Russo,
Oto opis, jak skonfigurować konkretny router z wieloma sieciami podrzędnymi, ale mogą one mieć do siebie dostęp, więc nie jest to dokładnie to, czego chcesz. Jestem optymistą, że przy jeszcze jednej zmianie konfiguracji powinno być możliwe odizolowanie sieci, aby router nie prowadził między nimi. networkingforintegrators.com/2013/01/…
Nick Russo
Oto nie zachęcający wątek na temat izolowania sieci na routerze mikrotik RB750: forum.mikrotik.com/viewtopic.php?f=2&t=38734
Nick Russo

Odpowiedzi:

4

Funkcja, której szukasz, to izolacja VLAN. Nie jest to powszechna funkcja w routerach „domowych” (ponieważ niewielu użytkowników domowych potrzebuje sieci VLAN, nie mówiąc już o tym, jak je skonfigurować), ale mój router Small Business firmy Cisco ma możliwość skonfigurowania oddzielnych sieci VLAN i ograniczenia ich komunikacji ze sobą. (W szczególności umożliwia ustawienie określonej sieci VLAN tak, aby nie była w stanie komunikować się z innymi sieciami VLAN. Nie próbowałem przy tym żadnych zaawansowanych konfiguracji.)

Używam tej funkcji do izolowania dowolnego systemu w sieci bezprzewodowej od sieci przewodowej, ale nie ma żadnego powodu, dla którego nie można tego zrobić z dwoma przewodowymi segmentami. Obie sieci współużytkują to samo łącze ładujące i każda z nich może normalnie uzyskać dostęp do Internetu (cóż, tak normalnie, jak to możliwe dzięki połączeniu NATed), ale dowolny host w sieci bezprzewodowej może komunikować się tylko z Internetem, a nie z żadną inną siecią VLAN . Nie próbowałem inicjować komunikacji od nieograniczonego do ograniczonej sieci VLAN, ale w tym momencie patrzyłbyś na mniej więcej szczegóły implementacji, a gdyby to był ja, w twojej sytuacji ustawiłbym obie sieci VLAN na ograniczone aby zachować logiczną pełną izolację między nimi.

Zakładając, że nie chcesz uzyskać dwóch oddzielnych połączeń internetowych, i zakładając, że twój dostawca usług internetowych jest w porządku z udostępnianiem połączenia między rezydentami a małą firmą (sprawdź drobny druk), powinien zapewnić ci poziom izolacji, którego potrzebujesz. Rozważ także ochronę przeciwprzepięciową na obu połączeniach sieciowych, a także czy niechroniony domowy komputer może, jeśli będziesz miał pecha, uszkodzić także sprzęt firmy.

CVn
źródło
Ponownie przeczytałem twoją odpowiedź i zdałem sobie sprawę: to oznaczałoby również blokowanie takich rzeczy jak domowe serwery multimediów itp.? Prawda?
Black Magic
@BlackMagic Prawdopodobnie możesz skonfigurować indywidualne reguły przekazywania, aby umożliwić określony ruch; zależy to od specyfiki używanego oprogramowania. Jednak Twoim celem było „upewnienie się, że mieszkańcy nie mogą komunikować się bezpośrednio z komputerem w sieci biznesowej”, co może zapewnić izolacja VLAN.
CVn
Jeśli na przykład użyłem jednego portu, aby przejść do innego routera. Wszyscy na drugim routerze będą mogli się ze sobą komunikować. Mam rację? A może spowodowałoby to konflikty adresów IP?
Black Magic
@BlackMagic Możesz osiągnąć ten sam wynik, mając dwie oddzielne sieci, każda za jednym urządzeniem NAT, ale dla każdego potrzebujesz jednego adresu IP. Izolowane sieci VLAN pozwalają robić to samo z jednym. Poza tym sprowadza się do szczegółów, w jaki sposób jest zaimplementowany.
CVn