如何设置对家庭实验室网络的安全远程访问?

网络工程 思科 虚拟专用网 实验室 ssh
2021-07-19 06:45:49

我目前的设置如下:

ATT ISP ---- ATT 无线路由器 ---- cisco 890 无线路由器

我的 cisco 890 用于从家里到我公司的互联网和远程 VPN 访问,但是,我没有访问权限/权限来修改或查看路由器的运行配置。但是,我可以连接到 890 的某些以太网端口以用于非公司流量,我允许使用 1 或 2 个端口进行此访问。

所以我主要使用 cisco 路由器进行企业访问,但使用 ATT 无线路由器作为常规家庭使用(实际上是我妻子的)。

我正在购买 4 台 cisco 3560 交换机并使用 GNS3 设置服务器以进行 CCIE R/S 学习。

我的目标是使用 GNS3 建立从互联网到我的家庭服务器的安全远程连接,但不确定在哪里设置或终止连接,即在 ATT 或 Cisco 路由器上,甚至在服务器上。

我听说它可以通过端口转发来完成,但不推荐。而是使用 SSH 或 VPN。我确定我从 ISP 获得的 IP 是通过 DHCP 获得的,所以我需要以某种方式将其设为静态或找到其他方法,即使通过 dhcp 仍能正常工作。

使用 SSH 并在服务器上终止是否更好?如果是这样,我将如何通过作为中间设备的 att/cisco 路由器来处理这个问题?

还是使用VPN更好?我想我需要在 cisco 路由器上终止 VPN,但这假设我的公司允许我修改配置。如果是这样,作为中间设备,我如何从 ATT 路由器处理这个问题?

感谢您的帮助!

2个回答

您可以使用名为的应用程序ser2net来使用 USB 转串行电缆。有一个4x 串行 -> 一个 USB可用,可以覆盖 4x 开关。这样你就可以得到像 ttyUSB0、ttyUSB1、ttyUSB2、ttyUSB3 这样的虚拟 USB 端口。然后,您可以将这些 USB 端口映射到 TCP 端口,例如:

2001:telnet:600:/dev/ttyUSB0:9600 8DATABITS NONE 1STOPBIT banner
2002:telnet:600:/dev/ttyUSB1:9600 8DATABITS NONE 1STOPBIT banner
2003:telnet:600:/dev/ttyUSB2:9600 8DATABITS NONE 1STOPBIT banner
2004:telnet:600:/dev/ttyUSB3:9600 8DATABITS NONE 1STOPBIT banner

然后您将 telnet 到端口 2001-2004 以连接到交换机。如果您想远程支持此功能,那么您可以在 ATT 路由器上为这些端口转发端口,或者仅将 SSH 转发到您的服务器,然后从那里连接到交换机。

如果您想更安全,也总是可以对服务器进行某种 VPN。

还可以选择获取 2500 并将其用作访问服务器。

我会选择一个便宜的 Cisco 路由器/ASA/pix 设备,并在 ATT 路由器上设置端口转发/DMZ,这样所有发送到您的公共 IP 的数据包都不会像您的妻子那样接收连接流量,请转到路由器/ASA/像素。然后我会将其配置为远程 VPN 终端点。

ASA5505 可能会花费您 200 美元。但是您也许可以找到一个 1800/2800 系列路由器以更低的价格工作。如果您获得这样的 ISR,请确保它具有安全 IOS,或者您有办法在其上获得安全性或更好的 IOS。

由于您很可能拥有动态公共地址,因此我会使用诸如 no-ip.com 或其他动态 DNS 服务之类的内容来拥有一个指向您的公共 IP 并在更改时更新的域。这可能可以在 ATT 路由器上进行配置,或者您可能需要在网络中的计算机上运行软件。

这将允许安全访问您的专用网络。进入 VPN 后,您可以通过 SSH/HTTP/控制台连接到您的实验室设备,具体取决于您设置内部的方式。

编辑:如果您已经在对公司路由器进行端口转发/DMZ,那么您需要要求他们允许您在其上为您的专用网络设置一个 VPN 终止点。

其它你可能感兴趣的问题
上一篇MTU 是否适用于任何 OSI 第 2 层协议? 下一篇两端都需要SFP吗?