.png)
Me gustaría cambiar mi red como se muestra en la imagen y no estoy seguro si funcionará. Pensé en preguntar a algunos expertos antes de romper mi red...
El módem LTE proporcionado casi no tiene opciones disponibles, ni modo puente ni rutas estáticas. Todo lo que puedo cambiar es la IP y la máscara de subred.
VLAN 10 es el módem/acceso a Internet
VLAN 20 todos los dispositivos normales (enrutador en modo AP)
VLAN 30 IoT y principalmente IP-Cams (Router ofc en Modo AP)
Me gustaría acceso de 20 a 10 y 30. La conexión saliente de 30 a 10 debería ser posible, pero la mayoría de las veces estaría deshabilitada, solo activa para acceso remoto a las cámaras cuando no hay nadie en casa. Si es posible, abra solo para smtp.gmail.com
Es la primera vez que trato con VLAN, por lo que es probable que no entienda todo. En el pasado, junté todo en una sola red y funcionó "bien", pero con los IPC me gustaría desconectarlos si no los necesito. Además, el tráfico era excesivo para un AP wifi.
El problema que vi es que no puedo darle rutas estáticas a mi combinación de módem/enrutador, por lo que incluso si combino VLAN 10 y 20 en una VLAN, no tengo opción para decirle dónde enrutar las solicitudes desde la VLAN 30, ¿verdad? ¿O existe el enrutamiento dinámico?... o_O
¿Se podría solucionar esto si conecto un segundo puerto, asignado a la VLAN 30 en el conmutador, al módem? Leí algo como esto en alguna parte, pero como el módem solo puede tener una IP, ¿no creo que funcione?...
La mayoría de las soluciones necesitarían otro enrutador entre el conmutador y el módem, pero esto conduciría a una doble NAT, lo cual es malo, ¿verdad?
Tal vez alguien pueda decirme los pasos importantes hacia el éxito, como dije la primera vez, así que por favor no me hables como si no supiera lo que estoy haciendo ^_^
Si hay alguna otra (mejor) solución, ¡agradecería cualquier consejo!
Gracias a todos ^_^
Respuesta1
El enrutador (es decir, el ZTE) debe admitir VLAN. Más específicamente, debe apoyar:
Múltiples LAN en general. Un enrutador simplemente reenviará paquetes entre LAN (sujeto a las reglas del firewall), el problema es que muchas puertas de enlace domésticas no lo hacen.permitirEn primer lugar, deberá definir más de una red.
Si su enrutador no admite esto, no puede hacer mucho con él: necesitará un segundo enrutador. (Consulte el final de la publicación para evitar la doble NAT).
Etiquetado 802.1Q, que le permite ejecutar múltiples VLAN a través de una única conexión Ethernet a su conmutador (esa es la opción "etiquetada" o "troncal" en su Netgear).
Si falta la compatibilidad con 802.1Q pero el enrutador al menos permite separar sus puertos Ethernet "LAN" en diferentes LAN, puede solucionarlo utilizando varias conexiones físicas, tal como lo describió.
El problema que vi es que no puedo darle rutas estáticas a mi combinación de módem/enrutador, por lo que incluso si combino VLAN 10 y 20 en una VLAN, no tengo opción para decirle dónde enrutar las solicitudes desde la VLAN 30, ¿verdad?
Si el enrutador admitiera VLAN (o incluso LAN basadas en puertos separados) en general, entonces en realidad no necesitaría ninguna ruta estática, ya que automáticamente tendríasubred localrutas para cada red en la que participa. (También llamadas "rutas de enlace" o "rutas directas" o "rutas conectadas").
Cada dispositivo (enrutador o no) conoce automáticamente una ruta directa a su propia subred (para eso se usa realmente la "máscara de subred"), y un enrutador que está conectado directamente a varias LAN solo tendrá rutas directas para cada una de ellas.
Así que si sólo tienesunoenrutador, entonces una pregunta más importante no es si admite rutas estáticas (no necesita ninguna) sino si admite la administración de múltiples redes directamente.
¿O existe el enrutamiento dinámico?... o_O
De hecho, el enrutamiento dinámico existe: protocolos como OSPF, Babel, BGP o IS-IS se usan comúnmente dentro de redes más grandes para intercambiar rutas entre enrutadores. (OpenWRT y RouterOS podrían admitir OSPF, al igual que un Pi que ejecute Bird2 o FRR. Las redes muy pequeñas también pueden usar RIP; ocasionalmente, incluso las puertas de enlace domésticas económicas tienen soporte RIP por alguna razón).
El proyecto "Homenet" del IETF tiene como objetivo llevar soporte OSPF automático a las puertas de enlace domésticas y acabar algún día con la "doble NAT".
¿Esto se podría solucionar si conecto un segundo puerto, asignado a la VLAN 30 en el conmutador, al módem?
Este truco solo funciona si el enrutador admite múltiples redesen general,pero solo carece de soporte para VLAN etiquetadas 802.1Q. He visto algunos enrutadores/módems inalámbricos domésticos así: no son compatibles con 802.1Q pero aún tienen soporte para "VLAN basada en puertos" (donde los puertos LAN individuales se pueden eliminar de la LAN principal y asignarse a una VLAN diferente). por lo que es posible utilizar varias conexiones físicas, una por VLAN.
Pero si el enrutador solo admite una WAN y una LAN, punto, entonces no hay nada que puedas hacer con él aquí.
Si tiene dos enrutadores encadenados antes del conmutador Netgear (es decir, enrutador ZTE → una nueva ruta con soporte VLAN → conmutador), todavía hay una manera de evitar la doble NAT en esta situación: primero haga que la subred LAN del enrutador ZTE sea lo suficientemente grande como parase superponetodas sus subredes VLAN (ajustando la máscara de subred). Pensará que todos los hosts en todas las VLAN son locales y realizará consultas ARP directas para ellos, así que use la función "proxy ARP" del nuevo enrutador para que responda ARP en nombre de todos esos hosts (y, por supuesto, deshabilite NAT en el nuevo enrutador). mientras estás en ello).
El efecto final serámuysimilar a crear rutas en el ZTE, excepto que en lugar de una entrada estática en la tabla de enrutamiento tendrá una gran cantidad de entradas dinámicas de caché ARP.
(Muchos enrutadores domésticos tampoco admiten proxy-ARP, pero el firmware de Archer aparentemente sí lo hace. Es una característica simple que ya forma parte del kernel de Linux que utilizan muchos de esos firmwares, aunque rara vez se necesita, por lo que generalmente no está expuesta en la GUI. .)