У меня очень простая сеть для малого бизнеса, которую я создал около 10 лет назад с помощью пары маршрутизаторов Linksys. За последние пару лет маршрутизаторы стали все более нестабильными по мере увеличения объема сетевого трафика. Для этих устройств не было обновлений прошивки более полувека, так что пора им это сделать.
Вот сетевая архитектура
WAN IP 192.168.1.4 192.168.4.1
Internet <------> DSL Modem <---------> Linksys A <--------------> Public Wireless AP (WDS)
^ ^
| | 192.168.1.2 192.168.2.1
| +------------------> Second Public Wireless AP
|
| 192.168.1.3 192.168.3.1
+---------------------> Linksys B (Intranet) <---> Switch
Все устройства интрасети получают IP-адреса через DHCP в подсети 192.168.3.1/24. Весь общедоступный доступ происходит в подсетях 192.168.2.1/24 и 192.168.4.1/24. Маршрутизатор Linksys A настроен на блокировку трафика между общедоступной и провайдерской подсетями. Он также настроен на пересылку SSH-соединений из глобальной сети в подсеть 192.168.3.x.
Я хотел бы заменить устройства Linksys A и Linksys B одним устройством, допускающим те же конфигурации.
В настоящее время я рассматриваю Netgear FVS318G или D-Link DSR-250. Мне кажется, что обе можно купить за 100–150 долларов, что вполне соответствует моему идеальному бюджету.
Будет ли какое-либо из этих устройств обрабатывать такую конфигурацию сети? Есть ли причина предпочесть одно другому?
Кроме того, у меня много точек беспроводного доступа, работающих как устройства dd-wrt в конфигурации WDS, поэтому я не против покупки другого устройства и прошивки с помощью альтернативной прошивки.
редактировать
Обнаружил некоторую информацию о том, что FVS318G не поддерживает VLAN или Jumbo Frames. Кроме того, встроенное ПО по умолчанию допускает только две внутренние подсети (DMZ на порту 8, LAN на частях 1–7). Я думаю, что это исключит его из рассмотрения.
Следовать за
Я купил Маршрутизатор 750. Пока что очень доволен результатами.
Ваша конфигурация не такая сложная. Ты действительно не необходимость "просьюмеры" NAT-маршрутизаторы / брандмауэры, если они вам не нужны.
Что ты ДЕЛАТЬ Необходима надлежащая изоляция ваших "общедоступных" и "интранет-сетей" - на самом деле этого у вас нет (общедоступные устройства не могут попасть на внутренние IP-адреса вашей интрасети, но жестяная банка увидеть весь его трафик, и ваша интрасеть может поразить IP-адреса общедоступной сети, что оставляет вас уязвимым для атак типа «злоумышленник в середине»).
Моя рекомендация для вас будет настоящий брандмауэр.
Существуют коммерческие продукты Juniper и Cisco, но вы можете сделать это с помощью запасного стандартного компьютера и pfSense тоже, если вы готовы сами поддержать решение.
Вам понадобятся три сетевых адаптера (или два сетевых адаптера и оборудование с поддержкой VLAN внутри), и ваша конечная сеть должна выглядеть примерно так:
[Internet]----[MODEM]----[Firewall]-------(Public network switch & Devices)
|
------------(Intranet switch & Devices)
С брандмауэром, настроенным для предотвращения смешивания трафика из общедоступных и интранет-сетей (реализовано как отдельные зоны безопасности).