Разделение домашней сети | Рекомендации и примеры

Question

Я собираюсь описать ваши общие параметры оборудования для такой домашней установки. Подробное описание конфигурации лучше оставить для более конкретных вопросов или даже чата, тем более, что оно будет зависеть от выбранного вами оборудования.

Некоторые заметки о скорости

Я также как бы игнорирую общую пропускную способность сети. Обычно вы должны достичь полной скорости коммутатора в пределах одной VLAN. В пределах VLAN вы будете ограничены вашим маршрутизатором (в зависимости от CPU маршрутизатора и аппаратной разгрузки). В Интернете вы снова будете ограничены вашим маршрутизатором (CPU и разгрузка, включая NAT на этот раз). С маршрутизаторами стоимостью менее 100 долларов не редкость увидеть ограничение около 100-300 Мбит/с через NAT в Интернет. Вам понадобится более мощное оборудование, если у вас более быстрое подключение к Интернету.

Типы продукции

VLAN довольно стандартны среди сетевого оборудования для бизнеса/предприятий. Хотя они обычно поставляются как отдельные устройства, а не все в одной коробке, они обычно будут делать то, что вам нужно. Лучше всего не просто смотреть на таблицы спецификаций, но и заглянуть в руководство по доступным параметрам конфигурации.
Пользовательские прошивки для потребительского оборудования также часто поддерживают VLAN, но могут отсутствовать, обычно в зависимости от оборудования, которое вы перепрошиваете. Конечно, есть обычное предостережение об отсутствии поддержки и потенциальной нестабильности с пользовательскими прошивками. Вам нужно будет провести довольно много исследований, почитать заметки разработчиков и темы на форумах, чтобы найти подходящее оборудование для прошивки.
- Чисто программная маршрутизация обычно работает, хотя настройка может быть сложной в зависимости от того, какую прошивку вы прошиваете.
- Коммутатор может работать или не работать в зависимости от оборудования. Некоторые потребительские маршрутизаторы предоставляют каждый порт индивидуально программному обеспечению (так что вы видите eth0 через eth4 в программном обеспечении), что позволяет вам применять теги VLAN на основе портов. Другие будут использовать аппаратный коммутатор (так что вы можете видеть eth0 для порта WAN и агрегированный eth1 для всех портов LAN), что означает, что вы не можете различать порты в пользовательской прошивке, и вам понадобится отдельный (управляемый) коммутатор для применения тегов до того, как они достигнут маршрутизатора.
- Функциональность беспроводной сети также зависит от оборудования и варьируется от нестабильной до стабильной, но без поддержки виртуальной точки доступа, до стабильной с поддержкой виртуальной точки доступа (и тегирования VLAN).
- Любая встроенная функция модема может не работать. Это при условии, что у вас нет отдельного модема.
Вы можете забыть о маршрутизаторах для потребителей, поддерживающих VLAN в стандартной прошивке. Те немногие, которые это делают, превратят вашу жизнь в ад и, скорее всего, не будут поддерживать расширенную настройку, которую вы себе представляете (лучшее, что я видел, это устройства Billion, которые иногда позволяют вам «группировать» порты в VLAN).
Один (значительно более сложный) вариант — собрать свой собственный ящик. Можно купить мини-сервер x86 или ARM (похожий на NUC) с несколькими сетевыми картами, на которые затем можно загрузить ОС маршрутизатора (например, pfSense; вы даже можете сделать это с помощью простого Linux) и настроить. Вы также можете установить несколько сетевых карт в стандартный ПК ATX, добавить карты WLAN и т. д. Это самый гибкий вариант, но он требует много работы и исследований — и к тому же не будет дешевым.Эта запись в блоге Coding Horror — хорошее место для начала.

Я разберу несколько случаев в порядке возрастания сложности.

Проводная сеть с отдельными сетевыми устройствами

Это довольно просто, если говорить о сетях VLAN.

Тебе нужно:

Маршрутизатор. Настоящий маршрутизатор, а не просто потребительский шлюз. Вы смотрите либо на бизнес/корпоративное оборудование, либо на пользовательскую прошивку. Он должен поддерживать VLAN, маршрутизацию между VLAN и шлюз NAT в открытый интернет.
Управляемый коммутатор, который позволит вам назначить VLAN (тег) портам. Хотя вам нужна поддержка 802.1Q, вы такжедолжениметь интерфейс управления! Будьте осторожны с "умные переключатели" - большинство будет работать, но, например, TP-LinkЛегкийУстройства серии Smart Switch не имеют веб-интерфейса и для управления ими требуется программа Windows.

Это довольно просто. Вы помечаете кадры, когда они поступают в коммутатор, что не позволяет VLAN напрямую общаться друг с другом. Затем вы можете маршрутизировать между VLAN (как если бы они были полностью отдельными сетями — ваш маршрутизатор, вероятно, будет показывать их как отдельные (виртуальные) интерфейсы). Вы можете, в зависимости от вашего маршрутизатора, настроить правила брандмауэра, чтобы разрешить только определенным VLAN доступ в Интернет и разрешить только одной VLAN инициировать соединения с другой (т. е. односторонние).

Кстати, не забудьте запретить сетям VLAN доступ к интерфейсу управления вашего сетевого оборудования!

Беспроводная сеть с отдельными сетевыми устройствами

Что нужно добавить к проводной сети, чтобы сделать ее беспроводной? Беспроводные точки доступа! К сожалению, это немного неясное требование для домашнего использования, поэтому вам придется придерживаться бизнес-оборудования — или просматривать руководства и сообщения на форумах. Пользовательская прошивкамогтакже работаю здесь.

Существует также решение для бедных, когда используются физически отдельные точки доступа, которые просто подключаются к разным портам коммутатора и позволяют коммутатору выполнять маркировку.

С AP, поддерживающей тегирование VLAN, самый простой метод — тегирование по сети (SSID). Возможность иметь несколько беспроводных сетей на одной AP иногда называют виртуальными точками доступа.

Проводная сеть в одном сетевом устройстве

Существуют некоторые бизнес-/корпоративные маршрутизаторы с несколькими портами, которые могут работать как псевдокоммутатор (через мост). Пользовательская прошивка также может работать, с оговоркой, упомянутой выше (ваше оборудование должно предоставлять порты как независимые сетевые карты для программного обеспечения). Если у вас много проводных устройств, вам также может потребоваться добавить дополнительный управляемый коммутатор.

Беспроводная сеть в одном устройстве

Я не знаю ни одного маршрутизатора для бизнеса/предприятий, который также интегрирует точку доступа, поэтому вы застряли с потребительским оборудованием. Такая настройка может быть возможна с пользовательской прошивкой. Поиск оборудования, которое работает с пользовательской прошивкой длякаждыйодновременное выполнение функций может быть затруднено.

Краткая рекомендация

Я бы посоветовал рассмотреть многоустройственную линейку Ubiquiti Unifi как что-то простое, относительно простое в настройке и надежное. Это, конечно, не самый дешевый вариант. Однако он позволяет управлять несколькими устройствами из одного центрального местоположения.

Если это не получится, можно рассмотреть ручную настройку нескольких устройств. Например, я использую (как надежный/дешевый вариант) маршрутизатор Ubiquiti ER-X (не Unifi), управляемый коммутатор TP-Link («Smart Switch»,нет"Easy Smart Switch") и точки доступа Unifi, все управляются независимо. Дешевле, но несколько сложнее.

Самый дешевый вариант — взять потребительское оборудование и прошить его кастомной прошивкой. dd-wrt и OpenWrt — оба варианта, и этоделаетпозволяют вам реализовать вашу цель с одним устройством, но это также самый кропотливый и, вероятно, самый подверженный сбоям метод. Опять же, имейте в виду потребность в независимой сетевой карте и возможность дополнительного коммутатора, если у вас не хватает портов.

Answer 1

Я собираюсь описать ваши общие параметры оборудования для такой домашней установки. Подробное описание конфигурации лучше оставить для более конкретных вопросов или даже чата, тем более, что оно будет зависеть от выбранного вами оборудования.

Некоторые заметки о скорости

Я также как бы игнорирую общую пропускную способность сети. Обычно вы должны достичь полной скорости коммутатора в пределах одной VLAN. В пределах VLAN вы будете ограничены вашим маршрутизатором (в зависимости от CPU маршрутизатора и аппаратной разгрузки). В Интернете вы снова будете ограничены вашим маршрутизатором (CPU и разгрузка, включая NAT на этот раз). С маршрутизаторами стоимостью менее 100 долларов не редкость увидеть ограничение около 100-300 Мбит/с через NAT в Интернет. Вам понадобится более мощное оборудование, если у вас более быстрое подключение к Интернету.

Типы продукции

VLAN довольно стандартны среди сетевого оборудования для бизнеса/предприятий. Хотя они обычно поставляются как отдельные устройства, а не все в одной коробке, они обычно будут делать то, что вам нужно. Лучше всего не просто смотреть на таблицы спецификаций, но и заглянуть в руководство по доступным параметрам конфигурации.
Пользовательские прошивки для потребительского оборудования также часто поддерживают VLAN, но могут отсутствовать, обычно в зависимости от оборудования, которое вы перепрошиваете. Конечно, есть обычное предостережение об отсутствии поддержки и потенциальной нестабильности с пользовательскими прошивками. Вам нужно будет провести довольно много исследований, почитать заметки разработчиков и темы на форумах, чтобы найти подходящее оборудование для прошивки.
- Чисто программная маршрутизация обычно работает, хотя настройка может быть сложной в зависимости от того, какую прошивку вы прошиваете.
- Коммутатор может работать или не работать в зависимости от оборудования. Некоторые потребительские маршрутизаторы предоставляют каждый порт индивидуально программному обеспечению (так что вы видите eth0 через eth4 в программном обеспечении), что позволяет вам применять теги VLAN на основе портов. Другие будут использовать аппаратный коммутатор (так что вы можете видеть eth0 для порта WAN и агрегированный eth1 для всех портов LAN), что означает, что вы не можете различать порты в пользовательской прошивке, и вам понадобится отдельный (управляемый) коммутатор для применения тегов до того, как они достигнут маршрутизатора.
- Функциональность беспроводной сети также зависит от оборудования и варьируется от нестабильной до стабильной, но без поддержки виртуальной точки доступа, до стабильной с поддержкой виртуальной точки доступа (и тегирования VLAN).
- Любая встроенная функция модема может не работать. Это при условии, что у вас нет отдельного модема.
Вы можете забыть о маршрутизаторах для потребителей, поддерживающих VLAN в стандартной прошивке. Те немногие, которые это делают, превратят вашу жизнь в ад и, скорее всего, не будут поддерживать расширенную настройку, которую вы себе представляете (лучшее, что я видел, это устройства Billion, которые иногда позволяют вам «группировать» порты в VLAN).
Один (значительно более сложный) вариант — собрать свой собственный ящик. Можно купить мини-сервер x86 или ARM (похожий на NUC) с несколькими сетевыми картами, на которые затем можно загрузить ОС маршрутизатора (например, pfSense; вы даже можете сделать это с помощью простого Linux) и настроить. Вы также можете установить несколько сетевых карт в стандартный ПК ATX, добавить карты WLAN и т. д. Это самый гибкий вариант, но он требует много работы и исследований — и к тому же не будет дешевым.Эта запись в блоге Coding Horror — хорошее место для начала.

Я разберу несколько случаев в порядке возрастания сложности.

Проводная сеть с отдельными сетевыми устройствами

Это довольно просто, если говорить о сетях VLAN.

Тебе нужно:

Маршрутизатор. Настоящий маршрутизатор, а не просто потребительский шлюз. Вы смотрите либо на бизнес/корпоративное оборудование, либо на пользовательскую прошивку. Он должен поддерживать VLAN, маршрутизацию между VLAN и шлюз NAT в открытый интернет.
Управляемый коммутатор, который позволит вам назначить VLAN (тег) портам. Хотя вам нужна поддержка 802.1Q, вы такжедолжениметь интерфейс управления! Будьте осторожны с "умные переключатели" - большинство будет работать, но, например, TP-LinkЛегкийУстройства серии Smart Switch не имеют веб-интерфейса и для управления ими требуется программа Windows.

Это довольно просто. Вы помечаете кадры, когда они поступают в коммутатор, что не позволяет VLAN напрямую общаться друг с другом. Затем вы можете маршрутизировать между VLAN (как если бы они были полностью отдельными сетями — ваш маршрутизатор, вероятно, будет показывать их как отдельные (виртуальные) интерфейсы). Вы можете, в зависимости от вашего маршрутизатора, настроить правила брандмауэра, чтобы разрешить только определенным VLAN доступ в Интернет и разрешить только одной VLAN инициировать соединения с другой (т. е. односторонние).

Кстати, не забудьте запретить сетям VLAN доступ к интерфейсу управления вашего сетевого оборудования!

Беспроводная сеть с отдельными сетевыми устройствами

Что нужно добавить к проводной сети, чтобы сделать ее беспроводной? Беспроводные точки доступа! К сожалению, это немного неясное требование для домашнего использования, поэтому вам придется придерживаться бизнес-оборудования — или просматривать руководства и сообщения на форумах. Пользовательская прошивкамогтакже работаю здесь.

Существует также решение для бедных, когда используются физически отдельные точки доступа, которые просто подключаются к разным портам коммутатора и позволяют коммутатору выполнять маркировку.

С AP, поддерживающей тегирование VLAN, самый простой метод — тегирование по сети (SSID). Возможность иметь несколько беспроводных сетей на одной AP иногда называют виртуальными точками доступа.

Проводная сеть в одном сетевом устройстве

Существуют некоторые бизнес-/корпоративные маршрутизаторы с несколькими портами, которые могут работать как псевдокоммутатор (через мост). Пользовательская прошивка также может работать, с оговоркой, упомянутой выше (ваше оборудование должно предоставлять порты как независимые сетевые карты для программного обеспечения). Если у вас много проводных устройств, вам также может потребоваться добавить дополнительный управляемый коммутатор.

Беспроводная сеть в одном устройстве

Я не знаю ни одного маршрутизатора для бизнеса/предприятий, который также интегрирует точку доступа, поэтому вы застряли с потребительским оборудованием. Такая настройка может быть возможна с пользовательской прошивкой. Поиск оборудования, которое работает с пользовательской прошивкой длякаждыйодновременное выполнение функций может быть затруднено.

Краткая рекомендация

Я бы посоветовал рассмотреть многоустройственную линейку Ubiquiti Unifi как что-то простое, относительно простое в настройке и надежное. Это, конечно, не самый дешевый вариант. Однако он позволяет управлять несколькими устройствами из одного центрального местоположения.

Если это не получится, можно рассмотреть ручную настройку нескольких устройств. Например, я использую (как надежный/дешевый вариант) маршрутизатор Ubiquiti ER-X (не Unifi), управляемый коммутатор TP-Link («Smart Switch»,нет"Easy Smart Switch") и точки доступа Unifi, все управляются независимо. Дешевле, но несколько сложнее.

Самый дешевый вариант — взять потребительское оборудование и прошить его кастомной прошивкой. dd-wrt и OpenWrt — оба варианта, и этоделаетпозволяют вам реализовать вашу цель с одним устройством, но это также самый кропотливый и, вероятно, самый подверженный сбоям метод. Опять же, имейте в виду потребность в независимой сетевой карте и возможность дополнительного коммутатора, если у вас не хватает портов.

Разделение домашней сети | Рекомендации и примеры

Настройка и проблема:

Что я ищу в этом вопросе

Дополнительный вопрос)

решение1

Некоторые заметки о скорости

Типы продукции

Проводная сеть с отдельными сетевыми устройствами

Беспроводная сеть с отдельными сетевыми устройствами

Проводная сеть в одном сетевом устройстве

Беспроводная сеть в одном устройстве

Краткая рекомендация

Связанный контент