Tóm lược

Mục tiêu cuối cùng của tôi là chạy VPN thông qua Bộ định tuyến Cisco, điều này với tôi có nghĩa là tránh được Comcast Gateway. Cuối cùng, tôi muốn đặt Bộ định tuyến Cisco (và / hoặc Switch) của mình một cách hợp lý gần hơn với mạng WAN và loại bỏ Modem Comcast của tôi như một thiết bị logic . Tôi thực sự không thể loại bỏ modem (nó cung cấp quyền truy cập WAN), tuy nhiên, tôi không cần các dịch vụ DHCP, NAT hoặc tường lửa của nó. Tôi muốn tư vấn cấu hình.

Chi tiết

Đây là thiết lập mạng hiện tại của tôi:

Cổng Comcast - Bộ định tuyến của Cisco - Cisco Switch <LAN & Wifi (Ruckus)

• Modem Comcast: TC8305C
• Bộ định tuyến của Cisco: 1941 giây / k9 + ehwic-4esg
• Cisco Switch: 2960S 48TS-L (Công tắc nhiều lớp, Vlan, v.v.)

Modem chạy như DHCP Server, NAT và tường lửa với địa chỉ bên trong 10.0.0.1/24. Cổng WAN của Bộ định tuyến được kết nối với nó bằng một địa chỉ động (máy khách DHCP). Về phía mạng LAN của Bộ định tuyến, nó cũng đang chạy NAT (vâng, gấp đôi NAT, hiện tại), DHCP Server, DNS, NTP.

Suy nghĩ của tôi về các lựa chọn là:

1. Chạy Modem ở chế độ cầu.
2. Đặt Bộ định tuyến trong DMZ của Modem.
3. Một biến thể trên 1 & 2 là kết nối Modem để chuyển đổi.

Modem ở chế độ cầu

Tôi đã cố gắng đặt Modem thành chế độ Cầu và có một khoảng thời gian 90 phút rất khó chịu khi truy cập internet của tôi bị hỏng và phải chịu đựng một số người dùng rất tức giận. Tôi đoán tôi đã thất bại trong việc cấu hình cổng Bộ định tuyến chính xác. Có lẽ bởi vì nó ở chế độ DHCP. Tôi muốn thử đặt nó thành một địa chỉ tĩnh (ví dụ: 10.0.0.2/24), tuy nhiên hiện tại tôi hơi ngại về chế độ Cầu. Google tạo ra rất nhiều lượt truy cập khi tìm kiếm "Chế độ cầu Comcast", tuy nhiên tôi chưa thể sử dụng nhiều những gì tôi tìm thấy. Tôi chưa thể tìm thấy một câu thần chú tốt cho cấu hình cổng Bộ định tuyến WAN với chế độ Cầu Comcast.

Bên cạnh đó, cầu Comcast không hoàn toàn trong suốt, Modem vẫn giữ địa chỉ IP (10.0.0.1) mà tôi có thể kết nối qua http và cấu hình lại (may mắn thay) khi tôi gắn máy tính xách tay trực tiếp vào Cổng 1 trên Modem. Vì vậy, máy tính xách tay của tôi hiểu cách xử lý Modem ở chế độ cầu, ngay cả khi Bộ định tuyến không.

Tôi cũng bối rối làm thế nào trong Chế độ cầu, Bộ định tuyến có các cài đặt động từ ISP Comcast (đối với DNS và Cổng mặc định, v.v.) giống như với DHCP. Hoặc, nếu chúng không thực sự động và tôi chỉ nên mã hóa chúng trong tệp cấu hình Bộ định tuyến.

Tôi tin rằng đây là tùy chọn tốt nhất cho mạng vì Modem hoàn toàn tránh xa và Bộ định tuyến có thể chạy bảo mật, VPN, DDNS, v.v.

Tôi nên làm gì để thực hiện công việc này?

Bộ định tuyến trong Modem DMZ

Tại đây, tôi có thể xử lý mọi vấn đề về cấu hình mà tôi có thể gặp phải và chỉ cần bỏ Bộ định tuyến (với IP tĩnh là 10.0.0.2/24) vào DMZ của Modem và cho phép tất cả lưu lượng truy cập internet được chuyển tiếp đến đây. Không có nhiều sự khác biệt giữa cấu hình này và cấu hình ở trên, ngoại trừ việc Modem vẫn hoạt động như một thiết bị Lớp 3 (tốt, thậm chí giống như một thiết bị Lớp 3). Tôi khá chắc chắn rằng tôi có thể làm việc này và tôi thấy không có lý do gì tôi không thể làm cho VPN hoạt động thông qua Bộ định tuyến.

Một nhược điểm ở đây là Modem chỉ cung cấp cho dyndns.org để chạy Dynamic DNS. Tôi không có ý kiến ​​gì về tổ chức này với tư cách là nhà cung cấp DDNS, tuy nhiên, tôi muốn có sự lựa chọn của các nhà cung cấp, thứ mà Router sẽ cho phép. Ngoài ra, kỹ sư trong tôi muốn có ít xử lý không cần thiết trên đường dẫn WAN, vì vậy việc bắc cầu Modem chỉ cảm thấy tốt hơn.

Chạy Modem thông qua Switch

Khi tôi trò chuyện với Kỹ sư mạng một lúc trước, anh ấy đề nghị tôi có thể chạy Modem trực tiếp vào Switch. Chúng tôi đã không đi vào chi tiết về cấu hình. Giả định của tôi là một trong hai trường hợp trên (Bridge hoặc DMZ) có thể hoạt động tốt như vậy đối với Switch trực tiếp với các điều khoản sau:

1. ACL thích hợp được thiết lập trên Cổng chuyển đổi / Modem để ngăn chặn các cuộc tấn công bên ngoài.
2. Vlan riêng cho giao tiếp Modem & Bộ định tuyến để chuyển tiếp lưu lượng DMZ đến Bộ định tuyến. Lưu lượng truy cập đến nên được giới hạn trong lưu lượng VPN. Tất cả lưu lượng truy cập khác (TPC, UDP, ICMP) sẽ bị chặn vì mục đích bảo mật. Các ACL tương tự sẽ nằm ở phía bên của Bộ định tuyến.

Tôi đoán anh ấy đã khuyến nghị thiết lập này vì bằng cách đặt Modem trực tiếp trên Switch, bạn tận dụng khả năng của Switch để cắt ngắn các gói IP sau khi thiết lập kết nối. Nghĩa là, một khi một thiết bị nội bộ kết nối qua Modem (có lẽ, thiết lập kết nối đã bắt đầu với Vlan trên Bộ định tuyến), Switch nhận ra điều này và định tuyến tất cả các gói IP có liên quan trực tiếp giữa thiết bị bên trong và modem, bỏ qua Bộ định tuyến. Điều này không thể xảy ra trong cấu hình vật lý mà theo đó Modem và Switch nằm trên các cổng Bộ định tuyến.

Gói (lại

1. Cấu hình Cổng WAN của Bộ định tuyến của tôi trông như thế nào để đảm bảo nó hoạt động với Modem Comcast ở chế độ Cầu? Có bất kỳ tùy chọn cấu hình nào khác mà tôi nên tìm kiếm (như máy chủ DNS) không?
2. Ngoài ra, tôi có nên giải quyết cho việc đặt Bộ định tuyến trong DMZ không?
3. Có đáng để cấu hình lại và di chuyển Modem sang Cổng chuyển đổi cho # 1 hoặc # 2 không?

Khi bạn có modem ở chế độ cầu, máy tính xách tay của bạn hoạt động vì nó đang sử dụng DHCP để lấy địa chỉ IP và thông tin khác từ Comcast. Bạn sẽ cần phải đặt bộ định tuyến để làm điều tương tự.

Tôi có cùng thiết lập với nhà cung cấp dịch vụ Internet cáp với bộ định tuyến Cisco ISR G2:

interface GigabitEthernet0/0
 description WAN
 ip address dhcp
 ip access-group WAN_Firewall in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect WAN_Inspect out
 ip virtual-reassembly in
 ip verify unicast source reachable-via rx allow-default 100
 load-interval 30
 duplex auto
 speed auto
 no cdp enable
 service-policy output QoS-WAN-Out
end

Bạn cần phải có bộ định tuyến của mình nhận DHCP cho địa chỉ WAN của nó. Bạn cũng sẽ cần phải định cấu hình NAT và DHCP (trừ khi bạn có trên máy chủ khác) trên bộ định tuyến.

Các cấu hình đầy đủ cho tường lửa, NAT, DHCP, v.v. của bạn quá rộng để có thể bao quát.

Trước hết, bạn không cần đặt modem của mình ở "chế độ bắc cầu" hoặc thậm chí gây rối với nó, vì dù sao thì Comcast vẫn giữ khóa này. Từ bộ định tuyến, nhập ví dụ cấu hình mà Ron đặt ở trên. Vì vậy, ví dụ, Gi0 / 0 phải là giao diện bên ngoài của bạn, đó là giao diện đối diện ISP / Internet - tức là Comcast - và giao diện Nội bộ của bạn là Gi0 / 1, các lệnh không khác nhau ngoại trừ các mô tả và "Quá tải IP Nat" nếu bạn đang thực hiện PAT vì Comcast chỉ cung cấp cho bạn 1 địa chỉ IP nên việc sử dụng 1 đến 1 có thể hữu ích hơn cho bạn. lệnh giao diện - sau khi bạn tạo DHCP & NAT Pool theo sơ đồ địa chỉ IP công cộng của bạn. Chúc anh em may mắn!

Bạn thường có thể đăng nhập vào thiết bị tiền đề của khách hàng (CPE) bằng cách kết nối với thiết bị thông qua trình duyệt web của bạn. (Của bạn được thực hiện như thế này ). Vì vậy, hãy xem cổng mặc định ip được cung cấp DHCP của bạn là gì (trong cửa sổ mở lệnh nhắc nhập ipconfig / all). Cắm địa chỉ IP đó vào trình duyệt của bạn để kết nối. Bạn có thể cần thêm /adminsau địa chỉ. Tìm kiếm dựa trên mô hình CPE của bạn.

Khi ở đó, hầu hết các CPE đều cho phép bạn chỉ định địa chỉ IP công cộng duy nhất cho một thiết bị trong mạng gia đình của bạn. Bạn sẽ áp dụng địa chỉ IP đó cho bộ định tuyến của bạn. Từ đó, cấu hình nó như bạn muốn.