我想知道是否可以安全地使用运行内部和外部接口的单个交换机来设置我的networking。
目前,我有一个来自ISP的255.255.255.240 IP地址块和一个从路由器运行的10.10.10.0/24专用networking。 路由器有一个WAN端口,并将其中一个外部IP设置为静态IP。 所有计算机当前都不在专用networking中。 正在使用的交换机是NETGEAR JGS516。
基本上目前的设置是这样的:
Computers ---- Switch ---- Router ---- ISP's Switch 我想要做的是(基本上将路由器的WAN和LAN端口插入到交换机中):
Router /\ Computers ---- Switch ---- ISP's Switch
我试过这样做,它似乎工作。 我可以将公共和私人IP分配给计算机,并且它们都可以运行。
我想做这个改变的原因是,在交换机后面的计算机可以被分配公共IP。 我希望其中的一些只有公有IP,一些只有私有IP,有些可以使用计算机中的单个NIC分配专用和公用IP。
我想知道的是:
这个设置有什么缺点?
这会危及networking的安全吗?
机器可以访问只有私人IP分配给他们的计算机吗?
还有什么我应该知道的?
恭喜。 您已经有效地消除了您的路由器为您的内部networking提供的任何安全性。
你需要做的就是把事情放回原处,并在你的路由器上设置NAT,将合适的公共IP地址转换成合适的私有IP地址。
这个设置有什么缺点?
安全。 您分配了公有IP的机器现在完全暴露给Interwebs。
这会危及networking的安全吗?
是。 如果你的公共机器被黑客攻击,你很快就会发现你的私人局域网有问题。
机器可以访问只有私人IP分配给他们的计算机吗?
我假设你是指公共networking? 不,他们不会直接路由。 但看到上面。
还有什么我应该知道的?
是的,回到原来的方法。 如果是思科或惠普变体,则可以设置NAT规则将公共IP映射到内部服务器,然后添加特定的访问列表控制来locking打开的端口,并在必要时控制源networking。
这意味着您不能将路由器用作防火墙,并且不能将仅连接到公用networking的机器与仅连接到专用networking的机器隔离。 无论如何,大多数典型的家庭networking都不会做这些事情。 所以,如果你正在build设典型的家庭networking,那么它就不会有什么区别。