Руководство по решению проблем: одно подключение к Интернету — две локальные сети
Бывают ситуации, когда полезно установить две локальные отдельные сети, которые будут иметь общее подключение к Интернету. Нам совсем недавно пришлось столкнуться с таким случаем. Компания желала обеспечить подключение к Интернету арендаторам, помимо своего выхода в Интернет. У компании в сети присутствовало множество ресурсов без особой защиты.
Вместо навязывания перехода на улучшенную модель безопасности, поскольку пользователи не желали учить какие-то пароли, мы решили подойти прагматично и разделить сети арендаторов и компании.
Раздельные LAN также обеспечивают безопасность вашего компьютера (или нескольких компьютеров) от различных «червей» и вирусов с машин ваших детей (или работников). Посмотрим, как это делается.
Наш подход, по сути, является расширением техники, подробно описанной в руководстве Устанавливаем совместный доступ к файлам и принтерам между двумя маршрутизаторами и имеет тот же эффект блокировки трафика. Различие заключается в том, что мы разделили клиентов на две группы, каждая из которых находится за своим брандмауэром, который блокирует все данные сети WAN, не запрошенные клиентом за брандмауэром .
Общий доступ к файлам и принтерам между двумя группами не работает, поскольку, хотя данные выходят за брандмауэр одной группы, они не проходят через брандмауэр другой. Впрочем, все клиенты могут свободно выходить в Интернет, пусть и через два брандмауэра.
На Рис. 1 показана простейшая конфигурация сети, которая основана на приведённом выше примере. Она использует три маршрутизатора : один — для общего доступа в Интернет, а два — для организации двух сетей, защищённых брандмауэром.
Рис. 1. Две отдельные LAN с общим доступом в Интернет.
Ключевой момент настройки заключается в том, что каждый маршрутизатор должен быть выделен в свою сеть класса C .
Совет: сети класса C предоставляют, максимум, 254 IP-адреса, которые имеют одинаковые три первые октета адреса (например, 192.168.3 .X) и используют маску подсети 255.255.255.0.
Совет: вам не нужно использовать те же подсети 192.168.1.X , 192.168.2.X и 192.168.3.X , что даны в нашем примере. Для LAN вы должны просто взять два любых диапазона IP-адресов , лишь бы они принадлежали к разным подсетям.
Верхний маршрутизатор (выход в Интернет) имеет одно подключение к Интернету через порт WAN, которое раздаётся на все порты LAN. Но к этим портам вместо компьютеров мы подключили порты WAN ещё двух маршрутизаторов, названных на Рис. 1 «LAN 1» и «LAN 2».
Настройка WAN для верхнего маршрутизатора зависит от требований вашего провайдера, но маршрутизаторы «LAN 1» и «LAN 2» вам придётся настроить. Вы можете даже включить на верхнем маршрутизаторе DHCP-сервер и позволить ему раздать IP-адреса на WAN-порты двух других маршрутизаторов, либо отключить его и присвоить IP-адреса вручную .
Совет: мы рекомендуем метод DHCP, поскольку, когда вы вводите IP-адреса вручную, вам необходимо добавить информацию о DNS-сервере и шлюзе по умолчанию, которые вы можете и не знать.
Вам следует использовать обычные UTP-кабели для подсоединения маршрутизаторов. Подключайте любой обычный LAN-порт (не используйте порт «Uplink») на верхнем маршрутизаторе к порту WAN на каждом из двух нижних маршрутизаторов. При этом на обоих устройствах должен загореться индикатор «Связь/Link».
Клиенты LAN следует установить таким образом, чтобы они автоматически получали информацию об IP-адресе, или ввести адрес вручную. После подключения всех устройств, вам может понадобится выполнить функцию Исправить/Repair соединение на системах WinXP, либо использовать winipcfg или ipconfig для отмены аренды сервера DHCP и получения нового адреса, если с первой попытки в Интернет вы не вышли.
Хотя в примере приведены один проводной и два беспроводных маршрутизатора, вы можете использовать любую их комбинацию. Если вам нужно больше локальных сетей, просто добавьте ещё маршрутизаторы, подключая их порты WAN к портам LAN маршрутизатора, имеющего выход в Интернет.
Если вы используете несколько беспроводных маршрутизаторов, не забудьте настроить каждый из них на свой канал (1, 6 или 11 для конфигурации с тремя и 1,4,8 и 11 для конфигурации с четырьмя беспроводными сетями) и используйте разные SSID , чтобы клиенты различали сети. Для управления доступом следует использовать разные ключи WEP для каждой WLAN , причём вам может понадобиться включить управление ассоциацией по MAC-адресам .
В такую сеть легко добавить выделенные серверы , просто подключив их к маршрутизатору с выходом в Интернет и перенаправив соответствующий порт на IP-адрес сервера. Туда же вы можете поместить компьютер для общего доступа к файлам и принтерам, поскольку он будет достижим для компьютеров на всех локальных сетях (но не наоборот). Если вы не желаете осуществлять общий доступ к файлам и принтерам на компьютерах, подключённых к верхнему маршрутизатору, отключите соответствующую службу или защитите доступ паролем.
Совет: общие файловые ресурсы и принтеры на компьютерах, вынесенных в сегмент сети верхнего маршрутизатора, не будут видны в сетевом окружении компьютеров, подключённых к любому из маршрутизаторов «LAN». Однако к ним можно будет добраться из машин «LAN» по IP-адресу.
Всё имеет свою цену, и недостатком подобной конфигурации является сложность в работе с интернет-службами, которые открывают соединение со стороны Интернета (то есть расположение интернет-серверов внутри сети). Любой входящий трафик требует открытия «дыр» в двух брандмауэров , что будет довольно непросто по причине наличия NAT.
В зависимости от ваших нужд, вы можете достичь успеха, открыв нужные порты на маршрутизаторе с выходом в Интернет и на маршрутизаторе «LAN», к которому подключён компьютер со службой. Помните, что, включая перенаправление портов на маршрутизаторе с выходом в Интернет, вам следует указывать IP-адрес WAN соответствующего маршрутизатора «LAN» , а не IP-адрес клиента. А уже осуществляя перенаправление портов на маршрутизаторе «LAN», вы будете указывать IP-адрес непосредственно клиента.