使用 PFSense/Sophos 跨 2 个独立的 LAN 子网进行安全连接和访问?

网络工程 路由 局域网 纳特 子网
2022-02-22 07:21:00

使用 PFSense/Sophos 跨 2 个独立的 LAN 子网进行安全连接和访问?

以下是 2+1 级小型企业/初创企业 + 联合办公空间的旧图,最近有扩展和整合需求。

公寓大楼内的 2 间套房

概述了以下更改和信息:

2 CAT6 网络/局域网:

  • 3 级和 4 级 LAN 已集成并映射出中心区域(绿色区域);有 NAS

    • ISP---WR1: Asus RT-N16 N Router w Tomato USB FW + HP ProCurve 24 GigE Managed SW + ... N/W Clients
    • 看看在此处 添加一个 PfSense/Sophos 框

  • 5级是单独的;一个更简单、更稀疏的局域网;最近的扩展和转租

    • ISP---WR3: D-Link DIR 816 + ... N/W Clients

上述每个单元都有自己的 ISP,并有自己的数据上限限制

  • 右上角标题为“负载平衡 ISP”的绿色框不存在;原来的计划从未实施

  • 我们计划在建筑物外的 4 层和 5 层之间铺设 CAT6 电缆,并可能添加更多电缆 + 终端,并可能在 5 层内添加集线器/交换机 -目前这是开放/灵活的

  • 我们需要从 6 级 LAN 连接并授予对 NAS 和 MFC/打印机/扫描仪的访问权限

2 种可能的连接和使用场景出现在我的脑海中:

  • 选项 A: 5 级客户端对 NAS 和 MFC 的访问受限;无法使用 4 级 ISP 带宽
  • 选项 B: 5 级和 4 级客户端能够以某种方式共享/切换/绑定 ISP?

关键问题:

使用选项 A 约束,我们如何在建筑物中的 2 个套件中跨单独的 LAN 子网连接/访问?

  • 网络分区
  • 寻址
  • 物理连接
  • 子网/VLAN?
1个回答

如果我正确理解了您的问题(我不完全确定我是否正确),您可以在两个 LAN 之间使用路由器来共享路由信息,但每个 LAN 可以有自己的默认路由到其各自的 ISP。这样,每个 LAN 都对另一个 LAN 中的网络有一个完整的了解,并将发往另一个 LAN 的流量路由到另一个 LAN,而不是默认路由上的 ISP。如果您有重叠寻址,也有 NAT 解决方案来处理。

您可能希望在 LAN 防火墙内部执行此操作,但如果 LAN 需要相互保护,您也可以在 LAN 之间设置防火墙。

编辑:

如果,正如您在评论中所说,您要将在 PC 上运行的 pfSense 作为您的路由器,您需要将两个路由器连接在一起(应该可以使用没有中间交换机的直接链接)。您可以在每个路由器上使用静态路由来指向另一个路由器上的网络(这无法扩展,并且网络更改变得更加困难),或者您可以在路由器之间运行路由协议,可能是 OSPF,以便它们自动分享路线。

您可以运行 WAP 为您提供 Wi-Fi。

您需要确保在每台运行 pfSense 的 PC 和相应的 ISP 之间有某种防火墙。这可以是路由器/PC 上的软件防火墙,或者更好的是单独的专用防火墙。

这允许每个网络上的设备访问另一个网络。您可以使用路由器/PC 上的访问列表限制网络之间的访问。如果您不希望每个网络上的所有设备都能够访问另一个网络上的所有设备,请执行此操作。

其它你可能感兴趣的问题
上一篇通过 Ruckus 7363 AP 连接时,设备未从 DHCP 服务器获取 DHCP 地址 下一篇Windows Ad-hoc 网络的功能