Руководство по решению проблем: одно
подключение к Интернету - две локальные сети
Введение
Бывают ситуации, когда полезно установить две
локальные отдельные сети, которые будут иметь общее подключение к
Интернету. Нам совсем недавно пришлось столкнуться с таким случаем.
Компания желала обеспечить подключение к Интернету арендаторам,
помимо своего выхода в Интернет. У компании в сети присутствовало
множество ресурсов без особой защиты.
Вместо навязывания перехода на улучшенную модель
безопасности, поскольку пользователи не желали учить какие-то
пароли, мы решили подойти прагматично и разделить сети арендаторов и
компании.
Раздельные LAN также обеспечивают безопасность
вашего компьютера (или нескольких компьютеров) от различных "червей"
и вирусов с машин ваших детей (или работников). Посмотрим, как это
делается. Подход
Наш подход, по сути, является расширением техники,
подробно описанной в руководстве Устанавливаем совместный доступ к файлам и
принтерам между двумя маршрутизаторами и имеет тот же эффект
блокировки трафика. Различие заключается в том, что мы разделили
клиентов на две группы, каждая из которых находится за своим
брандмауэром, который блокирует все данные сети WAN, не
запрошенные клиентом за брандмауэром.
Общий доступ к файлам и принтерам между двумя
группами не работает, поскольку, хотя данные выходят за брандмауэр
одной группы, они не проходят через брандмауэр другой. Впрочем, все
клиенты могут свободно выходить в Интернет, пусть и через два
брандмауэра. Настройка
На Рис. 1 показана простейшая конфигурация
сети, которая основана на приведённом выше примере. Она использует
три маршрутизатора: один - для общего доступа в Интернет, а
два - для организации двух сетей, защищённых брандмауэром.
Рис. 1. Две
отдельные LAN с общим доступом в Интернет.
Ключевой момент настройки заключается в том, что
каждый маршрутизатор должен быть выделен в свою сеть класса
C.
Совет: сети класса C предоставляют, максимум, 254
IP-адреса, которые имеют одинаковые три первые октета адреса
(например, 192.168.3.X) и используют маску подсети
255.255.255.0.
Совет: вам не нужно использовать те же подсети
192.168.1.X, 192.168.2.X и 192.168.3.X, что
даны в нашем примере. Для LAN вы должны просто взять два любых диапазона IP-адресов, лишь бы они
принадлежали к разным подсетям.
Верхний маршрутизатор (выход в Интернет) имеет одно
подключение к Интернету через порт WAN, которое раздаётся на все
порты LAN. Но к этим портам вместо компьютеров мы подключили порты
WAN ещё двух маршрутизаторов, названных на Рис. 1"LAN
1" и "LAN 2".
Настройка WAN для верхнего маршрутизатора зависит
от требований вашего провайдера, но маршрутизаторы "LAN 1" и "LAN 2"
вам придётся настроить. Вы можете даже включить на верхнем
маршрутизаторе DHCP-сервер и позволить ему раздать IP-адреса
на WAN-порты двух других маршрутизаторов, либо отключить его и
присвоить IP-адреса вручную.
Совет: мы рекомендуем метод DHCP, поскольку, когда
вы вводите IP-адреса вручную, вам необходимо добавить информацию о
DNS-сервере и шлюзе по умолчанию, которые вы можете и не знать.
Вам следует использовать обычные UTP-кабели
для подсоединения маршрутизаторов. Подключайте любой обычный
LAN-порт (не используйте порт "Uplink") на верхнем маршрутизаторе к
порту WAN на каждом из двух нижних маршрутизаторов. При этом на
обоих устройствах должен загореться индикатор "Связь/Link".
Клиенты LAN следует установить таким образом, чтобы
они автоматически получали информацию об IP-адресе, или ввести адрес
вручную. После подключения всех устройств, вам может понадобится
выполнить функцию Исправить/Repair соединение на системах
WinXP, либо использовать winipcfg или ipconfig для
отмены аренды сервера DHCP и получения нового адреса, если с первой
попытки в Интернет вы не вышли. Вариации и
ограничения
Хотя в примере приведены один проводной и два
беспроводных маршрутизатора, вы можете использовать любую их
комбинацию. Если вам нужно больше локальных сетей, просто добавьте
ещё маршрутизаторы, подключая их порты WAN к портам LAN
маршрутизатора, имеющего выход в Интернет.
Если вы используете несколько беспроводных
маршрутизаторов, не забудьте настроить каждый из них на свой
канал (1, 6 или 11 для конфигурации с тремя и 1,4,8 и 11 для
конфигурации с четырьмя беспроводными сетями) и используйте
разные SSID, чтобы клиенты различали сети. Для управления
доступом следует использовать разные ключи WEP для каждой
WLAN, причём вам может понадобиться включить управление
ассоциацией по MAC-адресам.
В такую сеть легко добавить выделенные
серверы, просто подключив их к маршрутизатору с выходом в
Интернет и перенаправив соответствующий порт на IP-адрес сервера.
Туда же вы можете поместить компьютер для общего доступа к файлам и
принтерам, поскольку он будет достижим для компьютеров на всех
локальных сетях (но не наоборот). Если вы не желаете осуществлять
общий доступ к файлам и принтерам на компьютерах, подключённых к
верхнему маршрутизатору, отключите соответствующую службу или
защитите доступ паролем.
Совет: общие файловые ресурсы и принтеры на
компьютерах, вынесенных в сегмент сети верхнего маршрутизатора, не
будут видны в сетевом окружении компьютеров, подключённых к любому
из маршрутизаторов "LAN". Однако к ним можно будет добраться из
машин "LAN" по IP-адресу. Обратитесь к соответствующей части нашего
руководства Устанавливаем совместный доступ к файлам и
принтерам между двумя маршрутизаторами.
Всё имеет свою цену, и недостатком подобной
конфигурации является сложность в работе с интернет-службами,
которые открывают соединение со стороны Интернета (то есть
расположение интернет-серверов внутри сети). Любой входящий трафик
требует открытия "дыр" в двух брандмауэров, что будет
довольно непросто по причине наличия NAT.
В зависимости от ваших нужд, вы можете достичь
успеха, открыв нужные порты на маршрутизаторе с выходом в Интернет и
на маршрутизаторе "LAN", к которому подключён компьютер со службой.
Помните, что, включая перенаправление портов на маршрутизаторе с
выходом в Интернет, вам следует указывать IP-адрес WAN
соответствующего маршрутизатора "LAN", а не IP-адрес клиента. А
уже осуществляя перенаправление портов на маршрутизаторе "LAN", вы
будете указывать IP-адрес непосредственно клиента.
Источник: http://www.winsov.ru/net041.php |