將訪問受限的網路分開
我試圖更好地了解網路並幫助我了解我正在從事一個家庭項目,我想在該項目中設置兩個網路,我們稱它們為客戶端和伺服器,位於同一地理位置。(兩個網路都從一個 WAN 獲取 Internet,因為我無法從我的 ISP 獲取多個 IP。)這兩個網路應該彼此分開,這意味著我想防止惡意軟體或其他威脅在網路中傳播。
話雖如此,我仍在嘗試允許特定客戶端能夠定期管理來自客戶端網路的伺服器。
我當然可以物理地在網路之間切換客戶端,但它看起來很亂。我的想法是創建一個 VPN 隧道,但我很好奇是否有其他/更好的選擇。
我可以使用三個路由器和一些交換機,我的問題是
- 子網劃分或 VLAN 是分隔網路的更好選擇嗎?我最近閱讀了很多關於這兩個方面的內容,但無法決定哪種方案最適合這種情況。
- VPN 是客戶端訪問伺服器網路的最安全方式,還是允許它始終訪問兩個網路同樣安全?
- 路由器是否需要與其父路由器具有單獨的 IP 或網關 IP 是否足夠?
- 我真的需要三台路由器,還是只需要一台就足夠了?
我在下面連結了一張圖片以闡明我的預期設置。如果這個問題對於這個論壇來說太深入,請告訴我。我很樂意自己學習,但需要一些關於從哪裡開始尋找的指示。
子網劃分或 VLAN 是分隔網路的更好選擇嗎?我最近閱讀了很多關於這兩個方面的內容,但無法決定哪種方案最適合這種情況。
子網是網路的邏輯劃分。它適用於第 3 層;不同的IP網路不能直接通信,必須通過路由器。
如果需要,您可以在同一物理網段上使用多個子網。
VLAN 是物理分離。它在第 2 層級別拆分網路,因此沒有數據包可以從 VLAN 1 流到 VLAN 2,而沒有位於兩個 VLAN 中的某些設備。
很多時候組合是合適的,其中子網與 vlan 匹配,因此您在子網和物理廣播域之間具有 1:1 映射,但這不是技術要求。
VPN 是客戶端訪問伺服器網路的最安全方式,還是允許它始終訪問兩個網路同樣安全?
VPN 是一種在不安全的網路上安全地傳輸數據包的技術。不多也不少。根據您的威脅模型,使用 TLS 和 Internet 可能足夠安全並且更容易部署。
路由器是否需要與其父路由器具有單獨的 IP 或網關 IP 是否足夠?
???
我真的需要三台路由器,還是只需要一台就足夠了?
買一台至少有兩個網卡的舊電腦。安裝 pfsense。獲取支持 VLAN 的交換機。開始播放。為了增加學習,添加第二台 pfsense 電腦,並設置第三個子網。在網路之間添加路由。部署動態路由協議,例如 OSPF。