LAN 到 WAN - 在一台路由器上設定兩個獨立的網路/子遮罩

路由器一[...] 我不確定是否需要配置某些東西，如果需要，需要配置什麼才能使其成為「隔離」網路。

防火牆。

您的圖表透過路由器 1 的 LAN 連接路由器 2，因此它將能夠存取路由器 1 的 LAN 上的任何內容。

從 router1 的角度來看，router2 與任何其他設備對路由器 1 的 LAN1.x 具有完全相同的存取權；它才不是僅僅因為它是路由器，就可以獲得一條獨立的 Internet 路徑。

從 router2 的角度來看，LAN1.x 只是看起來像 router2 的「WAN」的一部分。預設情況下，router2 將拒絕「WAN→LAN」（即 LAN1.x→LAN2.x）連接，但它會允許 LAN2.x→LAN1.x，因為它認為這只是「LAN→WAN」。 （所以 harrymc 的評論在這裡有 50% 正確。）

更改網路遮罩不會產生任何影響。避免這種情況的唯一方法是：

• 對於大多數情況：在路由器上新增防火牆規則2拒絕從其 LAN 存取路由器 1 的 LAN。例如：

  1.   from 192.168.2.0/24   to 192.168.1.0/24   deny
  2.   from any              to any              allow
  

  最有可能的是，路由器 2 已經具有拒絕相反方向訪問的防火牆條目 - 它認為這是“WAN”的一部分，並且市場上幾乎所有家庭路由器默認情況下都拒絕 WAN→LAN 訪問。

• 對於高階路由器：使路由器 1 有二LAN，一個用於常規設備，一個僅用於到路由器 2 的下行鏈路。然後，路由器 1 的防火牆將能夠阻止兩者之間的跨 LAN 流量，同時仍允許 Internet 存取。這稍微複雜一些，並且僅當路由器 2 本身不受信任時才需要。

我認為子網路遮罩沒問題，但我不確定分配最多 254 個 IP 位址是否會因路由器 2 的配置而崩潰。

不。他們為什麼會發生衝突呢？

雖然這是兩者的 DHCP 伺服器（我相信。對下面描述的 DHCP 設定感到困惑）。

不，這不對。 DHCP 請求僅傳送至最近的路由器；它們不跨越子網邊界。 （必須明確設定 DHCP「中繼」才能實現這一點。）

（我的意思是，如果您嘗試將網路 A 與網路 B 隔離，為什麼 DHCP 請求會繞過這種隔離？）

路由器二[...]子網路遮罩：255.255.255.128

這可行，但看起來太小了（只給你地址 0-127）。使用通常的 255.255.255.0 (/24) 就可以了——它不會與路由器 1 衝突。

我不確定是否需要在路由器 2 上啟用網路 DHCP，

如果您希望 router2 LAN 設備能夠使用 DHCP，那麼，router2 需要提供 DHCP。如上所述，DHCP 請求不會跨越網路邊界。

我對將“互聯網 DHCP”作為互聯網連接類型以及網路設定的選項感到困惑。

網際網路連線類型定義 WAN 介面的行為：如果您選擇它，則該介面將充當 DHCP客戶取得路由器本身的WAN側位址。對於您的情況，這是可選的，靜態或 DHCP 都可以。

這與 LAN 介面設定完全分開，LAN 介面設定通常配置 DHCP伺服器為連接到它的其他裝置提供 IP 位址。

這個配置能用嗎？我是否需要進行額外設定才能使路由器 1 使用 IP 範圍的較低部分，而路由器 2 使用較高部分，還是會自動發生？

“該”IP 範圍？他們不共享 IP 範圍。 You have two independent IP ranges, 192.168.1.0–192.168.1.255 for router 1, and 192.168.2.0–192.168.2.127 for router 2. That's already good enough and you don't need to do any "lower part/upper part"東西.

另外，路由器 2 的 192.168.2.1 和其他設備的 192.168.2.X 是否有效？

是的，它會起作用。

（請注意，由於您選擇的網路遮罩 255.255.255.128，「X」目前最多限制為 126，但您可以安全地將其改回 255.255.255.0 來解決該問題。）