使用康卡斯特调制解调器的网络和设备配置建议?

网络工程 思科 转变 路由器 虚拟专用网
2021-07-03 23:21:55

概括

我的最终目标是通过我的 Cisco 路由器运行 VPN,这对我来说意味着让 Comcast 网关不碍事。为此,我想将我的 Cisco 路由器(和/或交换机)在逻辑上更靠近 WAN,并将我的 Comcast 调制解调器作为逻辑设备移除我无法真正移除调制解调器(毕竟它提供 WAN 访问),但是,我不需要它的 DHCP、NAT 或防火墙服务。我想要配置建议。

细节

这是我当前的网络设置:

Comcast 网关 - Cisco 路由器 - Cisco 交换机 < LAN & Wifi (Ruckus)

  • 康卡斯特调制解调器:TC8305C
  • Cisco 路由器:1941 秒/k9 + ehwic-4esg
  • Cisco 交换机:2960S 48TS-L(多层交换机、VLAN 等)

调制解调器作为 DHCP 服务器、NAT 和防火墙运行,内部地址为 10.0.0.1/24。路由器的 WAN 端口使用动态地址(DHCP 客户端)连接到它。在路由器的 LAN 端,它还运行 NAT(是的,现在是双 NAT)、DHCP 服务器、DNS、NTP。

我对选项的看法是:

  1. 以桥接模式运行调制解调器。
  2. 将路由器放在调制解调器的 DMZ 中。
  3. 1&2 的一种变体是将调制解调器连接到交换机。

桥接模式下的调制解调器

我试图将调制解调器设置为桥接模式,但在 90 分钟的时间里我的互联网访问非常不愉快,不得不忍受一些非常愤怒的用户。我猜我没有正确配置路由器 WAN 端口。可能是因为它处于 DHCP 模式。我想尝试将它设置为静态地址(例如 10.0.0.2/24),但是我现在对桥接模式有点害羞。谷歌在搜索“Comcast Bridge Mode”时产生了大量的点击量,但是我一直无法充分利用我发现的东西。我一直没能找到一个好的咒语来配置 Comcast Bridge 模式的路由器 WAN 端口。

顺便说一句,Comcast 网桥并非完全透明,调制解调器保留其 IP 地址 (10.0.0.1),当我将笔记本电脑直接连接到调制解调器上的端口 1 时,我可以通过 http 连接并重新配置(幸运的是)。所以,我的笔记本电脑知道如何在桥接模式下处理调制解调器,即使路由器不知道。

我也很困惑路由器如何在桥接模式下从 Comcast ISP(用于 DNS 和默认网关等)获取动态设置,就像使用 DHCP 一样。或者,如果这些不是真正动态的,我应该在路由器配置文件中对它们进行硬编码。

我相信这是网络的最佳选择,因为调制解调器完全退出,路由器可以运行安全性、VPN、DDNS 等。

我应该怎么做才能完成这项工作?

调制解调器 DMZ 中的路由器

在这里,我可以解决我可能遇到的任何配置问题,只需将路由器(静态 IP 为 10.0.0.2/24)放入调制解调器的 DMZ 中,然后将所有互联网流量转发到此。除了调制解调器仍然像第 3 层设备(好吧,甚至更像第 3 层设备)之外,此配置与上述配置之间没有太大区别。我相当肯定我可以让它工作,而且我看不出为什么我不能通过路由器让 VPN 工作。

这里的一个缺点是调制解调器只为 dyndns.org 提供运行动态 DNS。我对这个组织作为 DDNS 提供商没有意见,但是,我想要选择供应商,这是路由器允许的。此外,我的工程师希望在 WAN 路径上尽可能少地进行不必要的处理,因此桥接调制解调器感觉更好。

通过交换机运行调制解调器

前阵子和网络工程师聊天时,他建议我可以将Modem直接运行到Switch上。我们没有详细介绍配置。我的假设是,上述任一场景(网桥或 DMZ)都可以通过以下规定直接在 Switch 中正常工作:

  1. 在交换机/调制解调器端口上设置正确的 ACL 以防止外部攻击。
  2. 用于调制解调器和路由器通信的单独 VLAN,以将传入的 DMZ 流量转发到路由器。传入流量应仅限于 VPN 流量。出于安全目的,所有其他流量(TPC、UDP、ICMP)都将被阻止。与路由器的 WAN 端相同的 ACL。

我猜他推荐这种设置是因为通过将调制解调器直接放在交换机上,您可以利用交换机在连接建立后缩短 IP 数据包的能力。也就是说,一旦内部设备通过调制解调器连接(大概是从路由器上的 VLAN 开始建立连接),交换机会识别出这一点,并直接在内部设备和调制解调器之间路由所有相关的 IP 数据包,跳过路由器。这不会发生在调制解调器和交换机位于路由器端口的物理配置中。

包起来

  1. 我的路由器的 WAN 端口配置应该是什么样的,以确保它在桥接模式下与康卡斯特调制解调器一起工作?是否还有其他我应该注意的配置选项(例如 DNS 服务器)?
  2. 或者,我应该安顿放置路由器的DMZ?
  3. 是否值得为 #1 或 #2 重新配置调制解调器并将其移动到交换机端口?
3个回答

当调制解调器处于桥接模式时,您的膝上型电脑就可以工作,因为它使用 DHCP 从 Comcast 获取其 IP 地址和其他信息。您将需要设置路由器以执行相同的操作。

我的有线互联网提供商和 Cisco ISR G2 路由器也有同样的设置:

interface GigabitEthernet0/0
 description WAN
 ip address dhcp
 ip access-group WAN_Firewall in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect WAN_Inspect out
 ip virtual-reassembly in
 ip verify unicast source reachable-via rx allow-default 100
 load-interval 30
 duplex auto
 speed auto
 no cdp enable
 service-policy output QoS-WAN-Out
end

您需要让路由器为其 WAN 地址接收 DHCP。您还需要在路由器上配置 NAT 和 DHCP(除非您在另一台服务器上有这些)。

防火墙、NAT、DHCP 等的完整配置范围太广而无法涵盖。

首先,您不需要将调制解调器置于“桥接模式”或什至弄乱它,因为康卡斯特无论如何都会将其锁定。从路由器输入 Ron 放置在上面的配置示例。因此,例如,Gi0/0 应该是您的外部接口,它是面向 ISP/Internet 的接口 - 即 Comcast - 而您的内部接口是 Gi0/1,命令没有什么不同,除了描述和“IP Nat 过载”,如果您正在执行 PAT,因为 Comcast 只为您提供 1 个 IP 地址,因此使用 1 对 1 可能对您更有帮助。interface 命令 - 根据您的公共 IP 寻址方案创建 DHCP 和 NAT 池之后。祝哥哥好运!

您通常可以通过 Web 浏览器连接到客户端设备 (CPE) 来登录它。(你的是喜欢做这个)。因此,请查看您的 DHCP 提供的 ip 默认网关是什么(在 Windows 打开命令提示符中键入 ipconfig/all)。将该 IP 地址插入浏览器以进行连接。您可能需要/admin在地址后添加根据您的模型 CPE 进行搜索。

进入那里后,大多数 CPE 允许您将单个公共 IP 地址分配给家庭网络中的设备。您可以将该 IP 地址应用到您的路由器。从那里,根据需要进行配置。

其它你可能感兴趣的问题
上一篇使用 Internet 路由将我们的网络升级到托管交换机 下一篇如何尽可能高效地将 IPv4 网络划分为不同大小的子网?