Einrichten eines Gast- / Ethernet- / Glasfaser-Netzwerks

672
Oreo Collas

Ich habe ein ziemlich einfaches Netzwerk, aber ich möchte einige Änderungen daran vornehmen und würde gerne wissen, wie man dies am besten erreichen kann.

Momentan: Ich bin über das Internet mit dem Modem in den Router gekommen, um den Switch auf alle kabelgebundenen Geräte und einen AP für die WLAN-Geräte umzustellen.

Was ich möchte: Ich werde einen zweiten Zugangspunkt für den Gastzugang hinzufügen. (Der Grund dafür ist, dass sie frei browsen können, während sie von meinem Heimnetzwerk völlig getrennt sind, und ich kann ihre Verwendung einschränken, wenn ich muss.) Ich möchte nicht, dass sie auf die Geräte in meinem Hauptnetzwerk zugreifen können, aber ich kann es tun möchten, dass sie auf dasselbe Internet zugreifen können.

Ich möchte auch eine 5-GBit-Glasfaserverbindung für meinen Haupt-PC und meinen Server hinzufügen, die für die Kommunikation untereinander verwendet werden, da ich häufig große Mengen von Dateien zwischen den beiden Dateien übertrage. Ich möchte nicht, dass diese Glasfaserverbindung Zugang zum Internet hat. Ich möchte auch nicht, dass eines der beiden Geräte versucht, durch das andere Gerät auf das Internet zuzugreifen, da es bereits eine eigene Verbindung gibt, die es verwenden soll. (Hinweis: Ich bin bereit, den Switch zu umgehen und die beiden direkt anzuschließen, wenn ich muss, aber ich würde es vorziehen, den Switch durchzugehen.)

Ich bin mir sicher, dass wir Subnetze, VLANs, Firewall-Einstellungen oder eine Kombination der drei verwenden müssen, um das zu erreichen, was ich tun möchte. Ich bin in beiden Bereichen sehr gut informiert, da ich VOIP-Support und Managed Services für sehr große Unternehmen durchführe. Dies ist jedoch das erste Mal, dass ich einen komplett neu aufbaue. Ich bin mir also nicht sicher, welche bewährten Methoden es ist, um was zu erreichen Ich vermisse Aufgrund der Option bevorzuge ich Subnetze gegenüber VLANs.

Ich bin mir sicher, dass diese Fragen aufkommen werden, und ich werde versuchen, die meisten unten zu beantworten. Modem ist ein Arris-Kabelmodem. Der Router ist ein Linksys EA6900, wird jedoch durch einen benutzerdefinierten PFSense-Router für die Rackmontage ersetzt. Managed Switch ist ein Netgear GS748Tv3 mit 48 Anschlüssen

Das folgende Diagramm zeigt hoffentlich, was ich erreichen möchte.

image

1
Ihr Diagramm zeigt auf ein schwarzes Loch ... Können Sie einen funktionsfähigen Link angeben? Übrigens, was ist deine Frage, ich meine, nach welcher Hilfe suchst du? Alex vor 6 Jahren 1
Meine Frage ist zweifach. Ich bin auf der Suche nach Ratschlägen zum Einrichten des Gastnetzwerks, wo sie auf das Internet zugreifen können, jedoch keine Geräte im Hauptnetzwerk. Ich schaue auch nach, wie das Glasfasernetz eingerichtet wird, um die Kommunikation zwischen den beiden Geräten zu priorisieren, die Kommunikation über die Geräte jedoch nicht zuzulassen. Der Link funktioniert, sagt aber, dass er momentan verfügbar ist. Oreo Collas vor 6 Jahren 0
Sie wissen, dass Subnetze überhaupt keine wirkliche Isolation bieten, oder? Daniel B vor 6 Jahren 1
Sie sagten, Sie würden pFsense verwenden. Sie können Multiport-Ethernet-Karten und physikalisch getrennte Netzwerke erhalten. Beispielsweise sollte sich das WLAN für Gäste nicht auf demselben Switch befinden wie LAN, sondern auf einer eigenen Schnittstelle. Erstellen Sie mehrere LANs in pFsense, und legen Sie dort Routing-Regeln fest, die miteinander kommunizieren können oder einfach nur Zugang zum Internet erhalten. Setzen Sie ein separates Netzwerkgerät des Data-Mining-Unternehmens ein, wenn Sie auf die Privatsphäre achten Alex vor 6 Jahren 1
Danke Alex. Das wollte ich hören. Ich dachte mir, dass das im Router konfiguriert werden musste und ein zweiter Ethernet-Lauf laufen musste. Ich würde trotzdem wollen, dass es den gleichen Schalter durchläuft. Würden Sie das mit Subnetzen oder VLANs tun? Haben Sie auch einen Rat zum Faserverlauf? Oreo Collas vor 6 Jahren 0

3 Antworten auf die Frage

1
Alex

Ich habe gehört, dass es besser ist, einmal zu sehen anstatt hundertmal zu lesen, daher sind meine Vorschläge unten:

Netz

pFsense ist eine leistungsstarke, flexible Lösung auf Unternehmensebene, mit der Sie praktisch alles nutzen können. Wenn Sie einen normalen PC als Heim für Ihren pFsense verwenden, können Sie einige anständige Multiport-Ethernet-Karten findendiese

Ich empfehle Ihnen, Intel- Basiskarten (wie Intel PRO / 1000 ...) zu verwenden, um maximale Kompatibilität mit FreeBSD (Betriebssystem hinter pFsense ) zu gewährleisten .

Auf diese Weise können Sie das Netzwerk physisch in mehrere Subnetze aufteilen, die isoliert werden können oder je nach Ihren Anforderungen miteinander kommunizieren können, indem Sie Firewall / Routing für pFsense konfigurieren . Während VLANs billig sind, kann es Fälle geben, in denen einige Client-Geräte dies nicht unterstützen. Die Trennung von Subnetzen wie OPT1 und LAN (siehe Abbildung oben) wird sich in einer zukünftigen PITA verringern.

Besorgen Sie sich zum Thema Glasfaserverbindung ein paar Glasfaserkarten und installieren Sie sie auf dem Server und Ihrem Haupt-PC, und schließen Sie sie direkt an. Wenn Sie keine Brücke zwischen Ethernet- und Glasfaserschnittstellen auf Ihrem Haupt-PC einrichten, ist Ihr Server nur für diesen PC zugänglich.
Ich schlage vor, dass Sie mit 10-GB-Link gehen. Wenn Sie bei ebay einkaufen würden, können Sie sehr billig (zum Vergleich mit brandneuen) gebrauchten Geräten finden. Wenn Sie mit Intel 82599 Chipset-basierten Karten arbeiten würden, hätten Sie kein Problem. Vergessen Sie nicht, mit Ethernet-Karten zu vergleichen. Die Glasfaserkarten sind ein echter Zoo, in dem Karten den gleichen Steckplatz für Glasfasermodule haben, jedoch untereinander nicht kompatibel sind ( Zum Beispiel kann das SFP + netgear-Modul in Sockel auf Intel-Basiskarten passen, würde aber nicht funktionieren.
Gehen Sie auch mit Glasfaserkabeln mit Cyan-Farbe vor, wenn der Abstand zwischen Ihrem PC und dem Server eine Rolle spielt.

0
Daniel B

Zur eigentlichen Isolierung benötigen Sie entweder VLANs oder mehrere Netzwerkschnittstellen.

Ich spreche über VLANs, weil sie billig und einfach zu implementieren sind:

  • VLAN 1: Regelmäßiges Netzwerk
  • VLAN 2: Gastnetzwerk

Ich beschreibe nur die Zielkonfiguration.

  • Auf Ihrer Firewall / Router-Box
    • VLAN 1 und 2 sind eingerichtet.
    • Die LAN-Netzwerkschnittstelle ist so eingestellt, dass gekennzeichnete VLANs (manchmal auch als Trunk bezeichnet) verwendet werden.
    • VLAN 1 ist der Zone „internes Netzwerk“ zugeordnet
    • VLAN 2 ist der Zone "Gastnetzwerk" zugeordnet
    • Firewall- / Weiterleitungsregeln werden entsprechend eingerichtet
  • Auf Ihrem Managed Switch
    • Die Firewall / der Router ist an Port 1 angeschlossen
    • Der Gast-AP ist an Port 2 angeschlossen
    • Port 1 ist Mitglied von VLAN 1 & 2, markiert
    • Port 2 ist Mitglied von VLAN 2, ohne Tag
    • Alle anderen Ports sind Mitglieder von VLAN 1, ohne Tag

Dies führt zu einem isolierten Gastnetzwerk. Der Datenverkehr vom Gastnetzwerk wird bei der Einrichtung in der Firewall isoliert.

Ihr Switch unterstützt auf keinen Fall 5 GBit / s Ethernet.

0
dirkt

1) Gastnetzwerk: Dies lässt sich am einfachsten über Ihren Hauptrouter einrichten. Hier verwenden Sie Firewall-Regeln, um sicherzustellen, dass das Segment mit dem Gast-AP vom Segment mit Ihrem internen Netzwerk (sowohl LAN als auch WLAN) getrennt ist. Sie haben also zwei Segmente (und ein drittes Segment für die Glasfaserverbindung).

Ich kenne mich mit pfSense nicht aus, nur mit iptables, daher kann ich keine Details angeben, aber es ist eine recht standardisierte Einrichtung, in der Sie im Wesentlichen Regeln hinzufügen müssen, die die Weiterleitung zwischen den Netzwerkadaptern für guest / internet und internal / internet ermöglichen Gast / intern nicht zulassen.

Wenn Sie den Guest-AP nicht direkt mit dem Router verbinden können, sondern nur mit dem Switch, benötigen Sie ein VLAN, das den Anschein erweckt, als wäre es direkt mit dem Router verbunden.

Beachten Sie, dass Ihr benutzerdefiniertes Rack nicht nur Routing und Firewall durchführen muss, sondern auch Dienste wie DHCP, DNS-Proxy / Cache usw. bereitstellt. Heimrouter enthalten all dies und verfügen oft auch bereits über eine vorkonfigurierte Netzwerkkonfiguration für ein Gastnetz Ich brauche ein individuelles Rack, und wenn es alles enthält, was Sie brauchen. Eine andere Möglichkeit ist, die Firmware Ihres Heimrouters durch OpenWRT usw. zu ersetzen.

2) Glasfaser zwischen PC und Server: Ich würde erwarten, dass Netgear die Konfiguration von "Portgruppen" oder etwas Ähnlichem unterstützt, das nur miteinander spricht. Erstellen Sie eine solche Gruppe für die beiden Glasfaseranschlüsse und eine weitere Gruppe für den Rest. Wenn Netgear das nicht kann, verwenden Sie VLAN für die Glasfaser. Ein anderes Segment für die Glasfaser bedeutet, dass Sie die Übertragungsroute auswählen können, indem Sie die Zieladresse auswählen.

3) Die WLAN-Schnittstelle Ihres internen AP sollte mit der LAN-Schnittstelle verbunden werden (abhängig von der AP-Firmware hat diese verschiedene Namen). Dies bedeutet, dass Ihr zentraler DHCP-Server auf dem Router mit beidem umgehen kann. Außerdem können LAN und WLAN ein einzelnes Segment gemeinsam nutzen und einander sehen.

Verwandte Probleme