Separación de la red doméstica | Directrices y ejemplo

Question

Voy a describir sus opciones generales de hardware para dicha configuración en casa. Es mejor dejar la configuración detallada para preguntas más específicas o incluso chatear, especialmente porque variará según el hardware que elija.

Algunas notas sobre la velocidad

También estoy ignorando un poco el rendimiento general de la red. Por lo general, debería alcanzar la velocidad máxima de conmutación dentro de una VLAN. A través de las VLAN, estará limitado por su enrutador (dependiendo de la CPU del enrutador y la descarga de hardware). El acceso a Internet volverá a estar limitado por su enrutador (CPU y descarga, esta vez incluyendo NAT). Con enrutadores de menos de $100, no es inusual ver un límite de aproximadamente 100-300 Mbps a través de NAT a Internet. Necesitará un hardware más potente si tiene una conexión a Internet más rápida.

Tipos de producto

Las VLAN son bastante estándar entre los equipos de redes empresariales/empresariales. Si bien generalmente vienen como dispositivos separados, no todos en una sola caja, generalmente harán lo que usted desee. Lo mejor que puede hacer no es simplemente mirar las tablas de especificaciones, sino también consultar el manual para conocer las opciones de configuración disponibles.
El firmware personalizado para equipos de consumo también suele admitir VLAN, pero puede faltar, generalmente dependiendo del hardware que actualice. Por supuesto, existe la advertencia habitual de que no hay soporte y existe la posibilidad de inestabilidad con el firmware personalizado. Deberá investigar un poco, leer notas de desarrollo y temas del foro, para encontrar el hardware adecuado para flashear.
- El enrutamiento puramente por software generalmente funciona, aunque la configuración puede ser difícil, dependiendo del firmware que actualice.
- El interruptor puede funcionar o no, según el hardware. Algunos enrutadores de consumo exponen cada puerto individualmente al software (por lo que puede ver desde eth0 hasta eth4 en el software), lo que le permite aplicar etiquetas VLAN basadas en puertos. Otros usarán un conmutador de hardware (por lo que es posible que vea eth0 para el puerto WAN y un eth1 agregado para todos los puertos LAN), lo que significa que no puede distinguir entre puertos en el firmware personalizado y necesitará un conmutador separado (administrado) para aplicar el etiquetas antes de que llegue al enrutador.
- La funcionalidad inalámbrica nuevamente varía según el hardware y varía desde inestable a estable pero sin soporte de AP virtual y estable con soporte de AP virtual (y etiquetado VLAN).
- Es posible que alguna funcionalidad incorporada del módem no funcione. Esto supone que no tienes un módem independiente.
Prácticamente puede olvidarse de los enrutadores de consumo que admiten VLAN en el firmware original. Los pocos que lo hagan le harán la vida un infierno y probablemente no admitirán la configuración avanzada que está imaginando (la mejor que he visto es en dispositivos Billion que a veces le permiten "agrupar" puertos en VLAN).
Una opción (considerablemente más complicada) es construir su propia caja. Es posible comprar un miniservidor x86 o ARM (similar a un NUC) con múltiples NIC que luego puede cargar un sistema operativo de enrutador (por ejemplo, pfSense; incluso puede hacer esto con Linux simple) y configurar. También puede instalar varias NIC en una PC ATX estándar, agregar tarjetas WLAN, etc. Esta es la opción más flexible, pero requiere mucho trabajo e investigación, y tampoco será barata.Esta publicación de blog de Coding Horror es un buen lugar para comenzar.

Revisaré algunos casos en orden de complejidad creciente.

Red cableada con dispositivos de red separados

Esto es bastante sencillo, en lo que respecta a las redes VLAN.

Necesitas:

Un enrutador. Un enrutador adecuado, no solo una puerta de enlace para el consumidor. Estás viendo equipos comerciales/empresariales o firmware personalizado. Debe admitir VLAN, enrutamiento entre VLAN y una puerta de enlace NAT a Internet abierta.
Un switch administrado, que te permitirá asignar una VLAN (etiqueta) a los puertos. Si bien necesita compatibilidad con 802.1Q, tambiéndebetener una interfaz de gestión! Ten cuidado con "interruptores inteligentes" - la mayoría funcionará, pero, por ejemplo, TP-LinkFácilLa gama Smart Switch no tiene una interfaz de usuario web y requiere un programa de Windows para controlarlos.

Esto es bastante sencillo. Usted etiqueta las tramas cuando ingresan al conmutador, lo que evita que las VLAN se comuniquen directamente entre sí. Luego puede enrutar entre VLAN (como si fueran redes completamente separadas; su enrutador probablemente las mostrará como interfaces (virtuales) separadas). Puede, dependiendo de su enrutador, configurar reglas de firewall para permitir que solo VLAN específicas accedan a Internet y solo permitir que una VLAN inicie conexiones con otra (es decir, unidireccional).

Además, ¡no olvide evitar que las VLAN accedan a la interfaz de administración de su equipo de red!

Red inalámbrica con dispositivos de red separados

¿Qué se agrega a una red cableada para que sea inalámbrica? Puntos de acceso inalámbrico! Desafortunadamente, este es un requisito un poco oscuro para uso doméstico, por lo que tendrás que ceñirte al equipo comercial o consultar manuales y publicaciones en foros. Firmware personalizadopodríatambién trabaja aquí.

También existe la solución del pobre de tener AP físicamente separados que simplemente se conectan a diferentes puertos en el conmutador y permiten que el conmutador se encargue del etiquetado.

Con un AP que admita el etiquetado VLAN, el método más sencillo es etiquetar por red (SSID). La capacidad de tener múltiples redes inalámbricas en un AP a veces se conoce como puntos de acceso virtuales.

Red cableada en un único dispositivo de red

Hay algunos enrutadores comerciales/empresariales con múltiples puertos que pueden actuar como un pseudoconmutador (a través de puente). El firmware personalizado también puede funcionar, con la advertencia mencionada anteriormente (su hardware debe exponer los puertos como NIC independientes al software). Si tiene muchos dispositivos cableados, es posible que también necesite agregar un conmutador administrado adicional.

Red inalámbrica en un solo dispositivo

No conozco ningún enrutador comercial/empresarial que también integre un punto de acceso, por lo que está atrapado con hardware de consumo. Esta configuración podría ser posible con firmware personalizado. Encontrar hardware que funcione con firmware personalizado paracadafuncionar a la vez puede resultar difícil.

Una recomendación rápida

Sugeriría buscar en la gama Ubiquiti Unifi multidispositivo algo simple, relativamente simple de configurar y confiable. Por supuesto, esta no es la opción más barata. Sin embargo, le permite administrar múltiples dispositivos desde una ubicación central.

De lo contrario, puede considerar una configuración manual de múltiples dispositivos. Por ejemplo, estoy ejecutando (como término medio confiable/barato) un enrutador Ubiquiti ER-X (no Unifi), un conmutador administrado TP-Link ("Smart Switch",no"Easy Smart Switch") y AP Unifi, todos gestionados de forma independiente. Más barato, pero algo más complejo.

La opción más barata es optar por equipos de consumo y actualizarlos con firmware personalizado. dd-wrt y OpenWrt son opciones, y estohacele permite alcanzar su objetivo con un solo dispositivo, pero también es el método más complicado y probablemente más propenso a fallas. Nuevamente, tenga en cuenta el requisito de NIC independiente y la posibilidad de un conmutador adicional si le faltan puertos.

Answer 1

Voy a describir sus opciones generales de hardware para dicha configuración en casa. Es mejor dejar la configuración detallada para preguntas más específicas o incluso chatear, especialmente porque variará según el hardware que elija.

Algunas notas sobre la velocidad

También estoy ignorando un poco el rendimiento general de la red. Por lo general, debería alcanzar la velocidad máxima de conmutación dentro de una VLAN. A través de las VLAN, estará limitado por su enrutador (dependiendo de la CPU del enrutador y la descarga de hardware). El acceso a Internet volverá a estar limitado por su enrutador (CPU y descarga, esta vez incluyendo NAT). Con enrutadores de menos de $100, no es inusual ver un límite de aproximadamente 100-300 Mbps a través de NAT a Internet. Necesitará un hardware más potente si tiene una conexión a Internet más rápida.

Tipos de producto

Las VLAN son bastante estándar entre los equipos de redes empresariales/empresariales. Si bien generalmente vienen como dispositivos separados, no todos en una sola caja, generalmente harán lo que usted desee. Lo mejor que puede hacer no es simplemente mirar las tablas de especificaciones, sino también consultar el manual para conocer las opciones de configuración disponibles.
El firmware personalizado para equipos de consumo también suele admitir VLAN, pero puede faltar, generalmente dependiendo del hardware que actualice. Por supuesto, existe la advertencia habitual de que no hay soporte y existe la posibilidad de inestabilidad con el firmware personalizado. Deberá investigar un poco, leer notas de desarrollo y temas del foro, para encontrar el hardware adecuado para flashear.
- El enrutamiento puramente por software generalmente funciona, aunque la configuración puede ser difícil, dependiendo del firmware que actualice.
- El interruptor puede funcionar o no, según el hardware. Algunos enrutadores de consumo exponen cada puerto individualmente al software (por lo que puede ver desde eth0 hasta eth4 en el software), lo que le permite aplicar etiquetas VLAN basadas en puertos. Otros usarán un conmutador de hardware (por lo que es posible que vea eth0 para el puerto WAN y un eth1 agregado para todos los puertos LAN), lo que significa que no puede distinguir entre puertos en el firmware personalizado y necesitará un conmutador separado (administrado) para aplicar el etiquetas antes de que llegue al enrutador.
- La funcionalidad inalámbrica nuevamente varía según el hardware y varía desde inestable a estable pero sin soporte de AP virtual y estable con soporte de AP virtual (y etiquetado VLAN).
- Es posible que alguna funcionalidad incorporada del módem no funcione. Esto supone que no tienes un módem independiente.
Prácticamente puede olvidarse de los enrutadores de consumo que admiten VLAN en el firmware original. Los pocos que lo hagan le harán la vida un infierno y probablemente no admitirán la configuración avanzada que está imaginando (la mejor que he visto es en dispositivos Billion que a veces le permiten "agrupar" puertos en VLAN).
Una opción (considerablemente más complicada) es construir su propia caja. Es posible comprar un miniservidor x86 o ARM (similar a un NUC) con múltiples NIC que luego puede cargar un sistema operativo de enrutador (por ejemplo, pfSense; incluso puede hacer esto con Linux simple) y configurar. También puede instalar varias NIC en una PC ATX estándar, agregar tarjetas WLAN, etc. Esta es la opción más flexible, pero requiere mucho trabajo e investigación, y tampoco será barata.Esta publicación de blog de Coding Horror es un buen lugar para comenzar.

Revisaré algunos casos en orden de complejidad creciente.

Red cableada con dispositivos de red separados

Esto es bastante sencillo, en lo que respecta a las redes VLAN.

Necesitas:

Un enrutador. Un enrutador adecuado, no solo una puerta de enlace para el consumidor. Estás viendo equipos comerciales/empresariales o firmware personalizado. Debe admitir VLAN, enrutamiento entre VLAN y una puerta de enlace NAT a Internet abierta.
Un switch administrado, que te permitirá asignar una VLAN (etiqueta) a los puertos. Si bien necesita compatibilidad con 802.1Q, tambiéndebetener una interfaz de gestión! Ten cuidado con "interruptores inteligentes" - la mayoría funcionará, pero, por ejemplo, TP-LinkFácilLa gama Smart Switch no tiene una interfaz de usuario web y requiere un programa de Windows para controlarlos.

Esto es bastante sencillo. Usted etiqueta las tramas cuando ingresan al conmutador, lo que evita que las VLAN se comuniquen directamente entre sí. Luego puede enrutar entre VLAN (como si fueran redes completamente separadas; su enrutador probablemente las mostrará como interfaces (virtuales) separadas). Puede, dependiendo de su enrutador, configurar reglas de firewall para permitir que solo VLAN específicas accedan a Internet y solo permitir que una VLAN inicie conexiones con otra (es decir, unidireccional).

Además, ¡no olvide evitar que las VLAN accedan a la interfaz de administración de su equipo de red!

Red inalámbrica con dispositivos de red separados

¿Qué se agrega a una red cableada para que sea inalámbrica? Puntos de acceso inalámbrico! Desafortunadamente, este es un requisito un poco oscuro para uso doméstico, por lo que tendrás que ceñirte al equipo comercial o consultar manuales y publicaciones en foros. Firmware personalizadopodríatambién trabaja aquí.

También existe la solución del pobre de tener AP físicamente separados que simplemente se conectan a diferentes puertos en el conmutador y permiten que el conmutador se encargue del etiquetado.

Con un AP que admita el etiquetado VLAN, el método más sencillo es etiquetar por red (SSID). La capacidad de tener múltiples redes inalámbricas en un AP a veces se conoce como puntos de acceso virtuales.

Red cableada en un único dispositivo de red

Hay algunos enrutadores comerciales/empresariales con múltiples puertos que pueden actuar como un pseudoconmutador (a través de puente). El firmware personalizado también puede funcionar, con la advertencia mencionada anteriormente (su hardware debe exponer los puertos como NIC independientes al software). Si tiene muchos dispositivos cableados, es posible que también necesite agregar un conmutador administrado adicional.

Red inalámbrica en un solo dispositivo

No conozco ningún enrutador comercial/empresarial que también integre un punto de acceso, por lo que está atrapado con hardware de consumo. Esta configuración podría ser posible con firmware personalizado. Encontrar hardware que funcione con firmware personalizado paracadafuncionar a la vez puede resultar difícil.

Una recomendación rápida

Sugeriría buscar en la gama Ubiquiti Unifi multidispositivo algo simple, relativamente simple de configurar y confiable. Por supuesto, esta no es la opción más barata. Sin embargo, le permite administrar múltiples dispositivos desde una ubicación central.

De lo contrario, puede considerar una configuración manual de múltiples dispositivos. Por ejemplo, estoy ejecutando (como término medio confiable/barato) un enrutador Ubiquiti ER-X (no Unifi), un conmutador administrado TP-Link ("Smart Switch",no"Easy Smart Switch") y AP Unifi, todos gestionados de forma independiente. Más barato, pero algo más complejo.

La opción más barata es optar por equipos de consumo y actualizarlos con firmware personalizado. dd-wrt y OpenWrt son opciones, y estohacele permite alcanzar su objetivo con un solo dispositivo, pero también es el método más complicado y probablemente más propenso a fallas. Nuevamente, tenga en cuenta el requisito de NIC independiente y la posibilidad de un conmutador adicional si le faltan puertos.

Separación de la red doméstica | Directrices y ejemplo

Configuración y problema:

Lo que busco con esta pregunta

Preguntas adicionales)

Respuesta1

Algunas notas sobre la velocidad

Tipos de producto

Red cableada con dispositivos de red separados

Red inalámbrica con dispositivos de red separados

Red cableada en un único dispositivo de red

Red inalámbrica en un solo dispositivo

Una recomendación rápida

información relacionada