在三个独立的子网/VLAN 内共享 Internet 连接

网络工程 思科 路由 VLAN 子网 dhcp
2021-07-26 10:13:54

我想在三个独立的小型办公室之间共享 FO/Internet 连接。

Internet 提供商调制解调器/路由器具有 LAN 192.168.1.0/24,其网关位于 192.168.1.1,并通过 DHCP 向其所有 LAN 端口提供 IP (192.168.1.100-200) 服务。

|CPE 互联网提供商|----- 192.168.1.1

我想为以下单独的子网提供服务:

网络 2 ETH ----- 192.168.2.0/24(DHCP 范围 192.168.2.100-192.168.2.200)

网络 3 ETH ----- 192.168.3.0/24(DHCP 范围 192.168.3.100-192.168.3.200)

网络 4 ETH ----- 192.168.4.0/24(DHCP 范围 192.168.4.100-192.168.4.200)

我正在考虑以下设置,使用 Ubiquity EdgeRouter 或 SMB Cisco:

 __________________________________________
|         CPE INTERNET PROVIDER            |
|               192.168.1.1                |
|                   /16                    |    
|__________________________________________|
                     .
                     .
                     .
 __________________________________________
|               192.168.1.2                |
|                   /16                    |
|                WAN PORT1                 |
|                                          |
|               CISCO OR UBIQUITI          |
|                                          |
| LAN PORT2      LAN PORT3     LAN PORT4   |
| 192.168.2.1    192.168.3.1   192.168.4.1 |
|     /24            /24           /24     |
|   (VLAN2)        (VLAN3)       (VLAN4)   |
|__________________________________________|
     .               .              .
     .               .              .
     .               .              .
     .               .              .
SUBNETWORK2     SUBNETWORK3    SUBNETWORK4
  1. 将 Internet CPE 调制解调器/路由器 LAN 配置为 192.168.1.0/16。
  2. 在该 CPE 中禁用 DHCP。

  3. 连接 Cisco SMB RV325 或 Ubiquiti EdgeRouter,并具有:

    a) 其 WAN 接口配置为 192.168.1.2/16
    b) VLAN2 配置在 LAN 端口 2 中,网络为 192.168.2.0/24
    c) VLAN3 配置在 LAN 端口 3 中,网络为 192.168.3.0/24
    d) VLAN4 配置在 LAN 端口 4网络 192.168.4.0/24
    e) DHCP 池配置在 LAN 端口 2 中,IP 范围为 192.168.2.100-192.168.2.200
    f) DHCP 池配置在 LAN 端口 3 中,IP 范围为 192.168.3.100-192.2008
    g) DHCPool.2008在 LAN 端口 4 中,IP 范围为 192.168.4.100-192.168.4.200

LAN ETH 端口 2、3、4 将通过以太网电缆为小型办公室提供服务,其中两端的常规交换机将允许连接所有设备。

我的疑惑是:

  1. 这个设置有意义吗?
  2. CISCO SMB RV325 或 Ubiquiti EdgePro 是否允许为每个 VLAN/端口配置单独的 DHCP 池?
  3. 如何确保 VLAN/子网在它们之间不可访问?

谢谢,

2个回答

1 - 设置有意义,但存在一个潜在问题:ISP 提供的 CPE 可能不会将 192.168.1.0/24 以外的网络 NAT 网络连接到公共 IP 地址。IE 它不会为 3 个子网执行 NAT。如果是这种情况,您可能需要使用来自 192.168.1.0/24 网络的 IP 对这 3 个网络进行 NAT。

(顺便说一句,文本Internet provider modem/router has LAN 192.168.1.0/24和模式之间存在差异,它被标记为/16,我认为正确的是 /24,因为这是最常见的情况)

2 - 对于 DHCP

  • Cisco SMB RV325
    本用户手册并未明确说明您可以配置单独的 DHCP 池,但有 90% 的可能性是这种情况。

    CLI 参考指南中,它也不是明确的,但语法使用似乎暗示这是可能的。

接口 vlan 修改 25 dhcp 192.168.22.2~192.168.22.150 dns 静态 11.11.11.11 11.11.11.22 wins 33.33.33.33 option66 tftp.server.org file.txt option1446.4744 file.txt option150.74

在最坏的情况下,它支持 DHCP 中继,因此您可以将来自所有 VLAN 的 DHCP 请求中继到外部 DHCP 服务器

  • Ubiquity Edge pro
    我不熟悉 EdgeOs,但它基于 Vyatta,我经常使用它,毫无疑问是可能的。

3 - 为确保 VLAN 不能一起通信,您必须配置 ACL (Cisco) 或防火墙规则 (Ubiquity)。

SMB RV325 支持 50 条 ACL 规则,而 Ubiquity 应该没有限制(内存除外),您可以使用基于接口的防火墙或基于区域的防火墙。

这个设置有意义吗?

我认为基本前提没有问题,只要您指的是“中间”网络的 192.168.1.0/24 而不是 192.168.1.0/16(除非您打算使用代理 ARP - 坏主意)。还假设您计划在 Cisco/EdgeRouter 上执行 NAT(否则您将需要动态路由,例如 OSPF 或 CPE 设备上的静态路由)。

一些建议,根据您描述的设置,您可以配置第二个 EdgeRouter 以提供冗余(不确定 Cisco 平台是否能够做到这一点)。两台设备都连接到 CPE 设备后,您只需在内部 LAN 接口上运行 VRRP。这更复杂,但您可以在一台设备出现故障的情况下避免任何办公室受到不利影响。

如果您不采用冗余设置(或者您的提供商有多个 WAN IP 地址)并且 CPE 设备可以配置为这样做,那么您可以在桥接/旁路模式下运行它,以便 Cisco/ EdgeRouer 直接处理所有外部流量。消除不需要的 L3 网络,避免在您这边出现双重 NAT 情况,并让您对网关设备有更多的整体控制。

最后,如果您有可用的接口,请设置第四个 LAN 网络,如果需要,您可以直接插入该网络,尤其是当您不是三个办公室租户之一时。这样您就不必在需要进行维护的任何时候连接到办公网络之一(他们可能会反对)。

CISCO SMB RV325 或 Ubiquiti EdgePro 是否允许为每个 VLAN/端口配置单独的 DHCP 池?

是的,我相信他们都知道;虽然我从未使用过那个特定的 Cisco 产品,但对于这种级别的设备来说,这是一个相对基本的功能。

注:思科RV325是销售的终结,因为我键入此。您应该查看 RV345,它是 RV325 的替代品。

如何确保 VLAN/子网在它们之间不可访问?

具体取决于所选的供应商/产品,但基本前提是通过使用 ACL 和/或防火墙功能。虽然也有可能只是简单地不将任何流量从 Cisco/EdgeRouter 上的一个 VLAN 路由到另一个 VLAN,但取决于 CPE 设备在混合中的运行方式,它可能允许流量“重定向”回不同的 VLAN。

其它你可能感兴趣的问题
上一篇Cisco ASA 5512 NAT 配置问题 下一篇获取连接到交换机的所有设备(IP 摄像机)的 MAC 地址