Как я могу разделить доступ в сети?

1386
Danny kaye

Я пытаюсь найти «правило» в моем маршрутизаторе, которое разделяет доступ к различным проводным компьютерам.

У меня есть волокно, входящее в здание, которое соединяется через кабель Ethernet с маршрутизатором Zyxel. Из этого у меня есть Ethernet на 8-портовый коммутатор, который, в свою очередь, подключает 4 компьютера и 2 принтера вместе с полным общим доступом ко всем подключенным к нему системам.

Я хочу добавить второй маршрутизатор / коммутатор, к которому можно подключить до 5 других устройств, подключенных к нему. Проблема в том, что я не хочу, чтобы эти другие устройства имели доступ к исходным компьютерам в сети ИЛИ не могли использовать 2 принтера.

1

2 ответа на вопрос

0
barlop

What you need is a Firewall. A firewall is really a function. Now, a router can have firewall functionality, but to see if that is the case, you should mention the model of router, and you and others can check the manual of that router and see if it is possible. If it doesn't and it may not, then you could get a Firewall appliance or a router that has that functionality. A firewall would let you set rules like block incoming and/or outgoing connections to this range of ip addresses.

Also, particular recommendations are unpopular here, or popular but not accepted, they call it "shopping". But, you could try asking in the chat for what people use/suggest.

Лично я не знаю, какие модели хороши, так как у меня их нет, поэтому я не буду рекомендовать какую-либо конкретную марку / модель, если в этом нет необходимости ... и вы всегда можете проверить отзывы ... и, возможно, избежать появления вас У меня был плохой опыт. barlop 11 лет назад 0
0
davidgo

Есть несколько способов решения этой проблемы - один будет

Интернет | Xyxel | + --- Новая сеть PC1 | + --- Новый сетевой ПК 2.5 ... (Вам может понадобиться коммутатор для большего количества портов) | + ------ (wan) Ethernet-маршрутизатор | 8-портовый коммутатор | + ----- (lan) Принтер | + ----- (lan) Принтер 2 | + ----- (lan) Существующий ПК 1 ...

Это позволит вашей существующей сети получить доступ к устройствам новой сети, но не наоборот, при условии, что маршрутизатор Ethernet настроен на выполнение NAT. Обратите внимание, что вам необходимо убедиться, что IP-адреса локальной сети для маршрутизатора Ethernet находятся в другой подсети, чем IP-адреса, выданные Xyxel. (Если Xyxel раздает 192.168.xx, вы можете настроить маршрутизатор Ethernet на использование 172.16.xx). Есть небольшая проблема, о которой вам нужно знать о «двойном NAT», что может вызвать проблемы с некоторыми неясными протоколами.

«Лучшее» решение требует 2 маршрутизатора Ethernet и может выглядеть следующим образом:

 Internet | XYXEL Router + + -------------+ +------------------------ | | Ethernet Router 1 Ethernet Router 2 | | |--- Printer 1 |--- New PC1 |--- Printer 2 |--- New PC2 |--- (rest of old network) |--- New PC3... 

Вам может понадобиться переключатель или 2, чтобы увеличить количество портов, доступных на Ethernet-маршрутизаторе (-ах) - просто убедитесь, что вы не проводите кабель между Ethernet-маршрутизатором 1 и Ethernet-маршрутизатором 2.

Это второе решение является «лучшим» решением, чем первое, так как оно не требует двойной натуры и является более безопасным (т. Е. Отдельными зонами). Вы должны помнить, что диапазон IP-адресов на интерфейсе локальной сети на маршрутизаторе Ethernet 1 и (и на маршрутизаторе Ethernet 2) отличается от интерфейса локальной сети на Zyxel, в идеале в 3 разных сетях [но, строго говоря, вы можете использовать те же диапазоны на интерфейсы локальной сети Ethernet-маршрутизатора 1 и 2]. Я бы порекомендовал 192.168.1.x маску 255.255.255.0 для Zyxel 10.1.1.x маску 255.255.255.0 для Ethernet-маршрутизатора 1 10.1.2.x маску 255.255.255.0 для Ethernet-маршрутизатора 2

В каждом случае «шлюз» (или интерфейс LAN на маршрутизаторе должен быть XXX1 или XXX254 (например, 192.168.1.1 или 10.1.2.254)

Маршрутизатор Ethernet - довольно дешевое устройство, и я полагаю, вы можете купить его примерно за 50 долларов.

и как несколько маршрутизаторов гарантируют, что компьютер на одном не сможет получить доступ к компьютеру на другом? просто потому, что в сети есть разные подсети (которые могут быть даже настроены на одном маршрутизаторе), не обязательно означает, что одна не может получить доступ к другой. Кроме того, вы неправильно написали Zyxel в начале, где вы написали «Интернет | Xyxel». А Zyxel - это компания, которая производит много устройств. Возможно, вы имеете в виду любой маршрутизатор? или конкретный сделанный ими с определенной особенностью? и, как уже упоминалось, это не обязательно означает, что одна подсеть не может получить доступ к другой. barlop 11 лет назад 0
@barlop - Вы также можете пересмотреть свои jibes и принять во внимание, что мое решение использует NAT для эффективного обеспечения межсетевого экрана, не требуя большого количества знаний - я полагаю, вы знаете, что это стандартная функция, встроенная практически в любой маршрутизатор - о чем я говорю конкретно в моем посте и который препятствует доступу из 1 подсети в другую при использовании в предоставленных мною конфигурациях - и с указанными мною ограничениями (и действительно показывает 2 конфигурации, использующие NAT по-разному для эффекта). davidgo 11 лет назад 0
Это не насмешки. А теперь твое понятнее. Как насчет первого решения, которое вы написали. Почему вы написали «(wan) Ethernet router» в середине? Я знаю о двух типах домашнего маршрутизатора: один-модем / маршрутизатор имеет встроенный модем, другой (более выделенный маршрутизатор) не имеет встроенного модема и имеет гнездо с меткой WAN для модема. Я не вижу модема по обе стороны от того, где вы написали это. «Интернет | Xyxel | + --- Новый сетевой ПК1 | + --- Новый сетевой ПК 2.5 ... (Вам может понадобиться переключатель для большего количества портов) | + --- (wan) Ethernet-маршрутизатор | 8-портовый коммутатор | + ----- (lan) Printer | + --- (lan) Printer 2 | + ----- (lan) Exi ... " barlop 11 лет назад 0
Я предполагаю, что двойной NAT работает, подключая LAN к порту WAN. (без вреда в ясности). barlop 11 лет назад 0