Вложенные частные сети (частная сеть в частной сети) [закрыто]

Я готовлю сетевую настройку для здания с пятью квартирами и некоторой общей инфраструктурой, и не являюсь профессионалом в сети. Я застрял в вопросе топологии и общей настройки, в которой будут размещены все необходимые материалы вместе с приемлемым уровнем безопасности (семейные фотографии на локальном ящике NAS, которые не доступны из Интернета, например).

Начнем с художественного впечатления от предполагаемой установки:

 Топология частной сети

Идея состоит в том, что каждая квартира имеет свою собственную локальную сеть с обычным сочетанием смартфонов, компьютеров, ящиков NAS, принтеров, смарт-мусорных корзин и т. д .; ни один из которых не должен быть доступен из-за пределов локальной сети.

Затем есть общие службы, которые должны быть доступны по всему зданию, изнутри локальных сетей (некоторые из них в DMZ с обеспечением доступа извне). Например, каждый клиент, подключенный в любой отдельной локальной сети, должен иметь доступ к серверу метеостанции или к архиву CCTV.

У меня также есть общая сеть базовых станций Siemens Gigaset VoIP. Я хотел бы физически подключить их к отдельным маршрутизаторам локальной сети (я не могу установить их собственную проводку с основного маршрутизатора), но они должны быть в одной сети, чтобы иметь возможность разговаривать друг с другом для роуминга работа.

Основная проблема для меня - это доступность «общей» сети изнутри отдельных локальных сетей, поскольку типичные частные диапазоны IP-адресов обычно не маршрутизируются (или маршрутизируются) через обычные SOHO-маршрутизаторы, и у меня нет бюджет для полномасштабной профессиональной установки (и люди, чтобы настроить его для меня и приходят всякий раз, когда что-то звучит).

И вопрос , как я могу настроить такую ​​сеть? Я бы хотел, чтобы бюджет был низким, но если есть Magic Box TM, который настроит его для меня, я могу заплатить адекватную цену.


Примечания:

Я хочу во что бы то ни стало избежать любых «виртуальных» или «облачных» решений. Сеть должна функционировать, даже если нет доступного интернет-соединения. Каждый кусок оборудования, присутствующий на данный момент, приобретается с учетом этого, и я действительно не хочу облачить всю собственность.

Так как IPv6 не поддерживается ни многими важными устройствами, ни моим собственным знанием (или, что лучше, его отсутствием), я хотел бы, чтобы вся настройка была исключительно на IPv4.

Будут два интернет-соединения, одна основная и одна резервная копия (я думаю об одном из маленьких Ciscos с двумя портами WAN для этой роли.).

Брандмауэры для простоты не включены в диаграмму (и вопрос), но не стесняйтесь комментировать их, когда это необходимо.

Извините за мой фиктивный язык, если что-то нуждается в разъяснении или разработке, прокомментируйте, я постараюсь быстро ответить.

2 голоса | спросил Pavel 8 Jpm1000000pmFri, 08 Jan 2016 14:57:34 +030016 2016, 14:57:34

1 ответ


4

Это относительно простая настройка, которая может быть выполнена с любым маршрутизатором soho (беспроводной). Вы должны принять примеры ip-адресов, которые я использую в этом ответе, для фактической настройки и модификации подсетей в соответствии с вашими потребностями:

  • Маршрутизатор 1 настроен с помощью сети IPv4: 192.168.10.0/24
  • Маршрутизатор 2 настроен с помощью сети IPv4: 192.168.20.0/24
  • Маршрутизатор 3 настроен с помощью сети IPv4: 192.168.30.0/24

Каждый квартирный маршрутизатор подключается к основному маршрутизатору (предпочтительно L3-Switch), оптимально в своей собственной VLAN. Также подключен к основному маршрутизатору, а также по собственной VLAN - «общий» - сеть, скажем, 192.168.100.0/24 и ваши интернет-соединения.

Основной маршрутизатор имеет интерфейс в каждой сети. Маршрутизатор по умолчанию - основной маршрутизатор. По умолчанию основные маршрутизаторы - это, конечно же, интернет-подключения следующего хопа.

Скажем, например, интерфейс IP-адреса основного маршрутизатора в сети 1-го уровня - 192.168.10.254. На маршрутизаторе апартаментов у вас будет маршрут по умолчанию, например:

0.0.0.0 маска 0.0.0.0 шлюз 192.168.10.254

Если вы хотите опубликовать что-то из общей сети в Интернете, вам нужно либо настроить обратный NAT, либо дополнительную сеть DMZ. Сеть DMZ имеет смысл только в том случае, если у вас есть более чем несколько сервисов для публикации и более 2 общедоступных IPv4-адресов.

С помощью этой настройки ваша миссия почти завершена.

Трудная часть - VoIP. Есть несколько возможных решений, в зависимости от особенностей маршрутизаторов квартиры (make /model?).

Лучшим решением было бы создать дополнительную VLAN для VoIP и настроить порт восходящей линии для каждого квартирного маршрутизатора на L3-Switch (основной маршрутизатор), чтобы пометить весь VoIP-трафик и отправить весь другой трафик без тегов. На порту основного маршрутизатора вам необходимо настроить стандартный vlan для немаркированного трафика квартиры для каждой квартиры. Но для этого требуется квартирный маршрутизатор, где можно индивидуально настраивать (LAN) порты на устройстве и поддерживать 802.1q.

ответил Sebastian 8 Jpm1000000pmFri, 08 Jan 2016 16:08:13 +030016 2016, 16:08:13

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132