Lời khuyên cho cấu hình mạng & thiết bị sử dụng Modem Comcast?


8

Tóm lược

Mục tiêu cuối cùng của tôi là chạy VPN thông qua Bộ định tuyến Cisco, điều này với tôi có nghĩa là tránh được Comcast Gateway. Cuối cùng, tôi muốn đặt Bộ định tuyến Cisco (và / hoặc Switch) của mình một cách hợp lý gần hơn với mạng WAN và loại bỏ Modem Comcast của tôi như một thiết bị logic . Tôi thực sự không thể loại bỏ modem (nó cung cấp quyền truy cập WAN), tuy nhiên, tôi không cần các dịch vụ DHCP, NAT hoặc tường lửa của nó. Tôi muốn tư vấn cấu hình.

Chi tiết

Đây là thiết lập mạng hiện tại của tôi:

Cổng Comcast - Bộ định tuyến của Cisco - Cisco Switch <LAN & Wifi (Ruckus)

  • Modem Comcast: TC8305C
  • Bộ định tuyến của Cisco: 1941 giây / k9 + ehwic-4esg
  • Cisco Switch: 2960S 48TS-L (Công tắc nhiều lớp, Vlan, v.v.)

Modem chạy như DHCP Server, NAT và tường lửa với địa chỉ bên trong 10.0.0.1/24. Cổng WAN của Bộ định tuyến được kết nối với nó bằng một địa chỉ động (máy khách DHCP). Về phía mạng LAN của Bộ định tuyến, nó cũng đang chạy NAT (vâng, gấp đôi NAT, hiện tại), DHCP Server, DNS, NTP.

Suy nghĩ của tôi về các lựa chọn là:

  1. Chạy Modem ở chế độ cầu.
  2. Đặt Bộ định tuyến trong DMZ của Modem.
  3. Một biến thể trên 1 & 2 là kết nối Modem để chuyển đổi.

Modem ở chế độ cầu

Tôi đã cố gắng đặt Modem thành chế độ Cầu và có một khoảng thời gian 90 phút rất khó chịu khi truy cập internet của tôi bị hỏng và phải chịu đựng một số người dùng rất tức giận. Tôi đoán tôi đã thất bại trong việc cấu hình cổng Bộ định tuyến chính xác. Có lẽ bởi vì nó ở chế độ DHCP. Tôi muốn thử đặt nó thành một địa chỉ tĩnh (ví dụ: 10.0.0.2/24), tuy nhiên hiện tại tôi hơi ngại về chế độ Cầu. Google tạo ra rất nhiều lượt truy cập khi tìm kiếm "Chế độ cầu Comcast", tuy nhiên tôi chưa thể sử dụng nhiều những gì tôi tìm thấy. Tôi chưa thể tìm thấy một câu thần chú tốt cho cấu hình cổng Bộ định tuyến WAN với chế độ Cầu Comcast.

Bên cạnh đó, cầu Comcast không hoàn toàn trong suốt, Modem vẫn giữ địa chỉ IP (10.0.0.1) mà tôi có thể kết nối qua http và cấu hình lại (may mắn thay) khi tôi gắn máy tính xách tay trực tiếp vào Cổng 1 trên Modem. Vì vậy, máy tính xách tay của tôi hiểu cách xử lý Modem ở chế độ cầu, ngay cả khi Bộ định tuyến không.

Tôi cũng bối rối làm thế nào trong Chế độ cầu, Bộ định tuyến có các cài đặt động từ ISP Comcast (đối với DNS và Cổng mặc định, v.v.) giống như với DHCP. Hoặc, nếu chúng không thực sự động và tôi chỉ nên mã hóa chúng trong tệp cấu hình Bộ định tuyến.

Tôi tin rằng đây là tùy chọn tốt nhất cho mạng vì Modem hoàn toàn tránh xa và Bộ định tuyến có thể chạy bảo mật, VPN, DDNS, v.v.

Tôi nên làm gì để thực hiện công việc này?

Bộ định tuyến trong Modem DMZ

Tại đây, tôi có thể xử lý mọi vấn đề về cấu hình mà tôi có thể gặp phải và chỉ cần bỏ Bộ định tuyến (với IP tĩnh là 10.0.0.2/24) vào DMZ của Modem và cho phép tất cả lưu lượng truy cập internet được chuyển tiếp đến đây. Không có nhiều sự khác biệt giữa cấu hình này và cấu hình ở trên, ngoại trừ việc Modem vẫn hoạt động như một thiết bị Lớp 3 (tốt, thậm chí giống như một thiết bị Lớp 3). Tôi khá chắc chắn rằng tôi có thể làm việc này và tôi thấy không có lý do gì tôi không thể làm cho VPN hoạt động thông qua Bộ định tuyến.

Một nhược điểm ở đây là Modem chỉ cung cấp cho dyndns.org để chạy Dynamic DNS. Tôi không có ý kiến ​​gì về tổ chức này với tư cách là nhà cung cấp DDNS, tuy nhiên, tôi muốn có sự lựa chọn của các nhà cung cấp, thứ mà Router sẽ cho phép. Ngoài ra, kỹ sư trong tôi muốn có ít xử lý không cần thiết trên đường dẫn WAN, vì vậy việc bắc cầu Modem chỉ cảm thấy tốt hơn.

Chạy Modem thông qua Switch

Khi tôi trò chuyện với Kỹ sư mạng một lúc trước, anh ấy đề nghị tôi có thể chạy Modem trực tiếp vào Switch. Chúng tôi đã không đi vào chi tiết về cấu hình. Giả định của tôi là một trong hai trường hợp trên (Bridge hoặc DMZ) có thể hoạt động tốt như vậy đối với Switch trực tiếp với các điều khoản sau:

  1. ACL thích hợp được thiết lập trên Cổng chuyển đổi / Modem để ngăn chặn các cuộc tấn công bên ngoài.
  2. Vlan riêng cho giao tiếp Modem & Bộ định tuyến để chuyển tiếp lưu lượng DMZ đến Bộ định tuyến. Lưu lượng truy cập đến nên được giới hạn trong lưu lượng VPN. Tất cả lưu lượng truy cập khác (TPC, UDP, ICMP) sẽ bị chặn vì mục đích bảo mật. Các ACL tương tự sẽ nằm ở phía bên của Bộ định tuyến.

Tôi đoán anh ấy đã khuyến nghị thiết lập này vì bằng cách đặt Modem trực tiếp trên Switch, bạn tận dụng khả năng của Switch để cắt ngắn các gói IP sau khi thiết lập kết nối. Nghĩa là, một khi một thiết bị nội bộ kết nối qua Modem (có lẽ, thiết lập kết nối đã bắt đầu với Vlan trên Bộ định tuyến), Switch nhận ra điều này và định tuyến tất cả các gói IP có liên quan trực tiếp giữa thiết bị bên trong và modem, bỏ qua Bộ định tuyến. Điều này không thể xảy ra trong cấu hình vật lý mà theo đó Modem và Switch nằm trên các cổng Bộ định tuyến.

Gói (lại

  1. Cấu hình Cổng WAN của Bộ định tuyến của tôi trông như thế nào để đảm bảo nó hoạt động với Modem Comcast ở chế độ Cầu? Có bất kỳ tùy chọn cấu hình nào khác mà tôi nên tìm kiếm (như máy chủ DNS) không?
  2. Ngoài ra, tôi có nên giải quyết cho việc đặt Bộ định tuyến trong DMZ không?
  3. Có đáng để cấu hình lại và di chuyển Modem sang Cổng chuyển đổi cho # 1 hoặc # 2 không?

Bạn đã xem xét việc mua modem của riêng bạn? Comcast duy trì một danh sách các modem tương thích và hầu hết trong danh sách không thực hiện định tuyến, DHCP, DNS, v.v ... Đây dường như là những gì bạn muốn. Bạn sẽ cần thông báo cho Comcast khi bạn muốn sử dụng modem của mình và họ sẽ cần mô hình hóa thông tin địa chỉ MAC.
Ron Maupin

@RonMaupin Cảm ơn. Tôi có. Tôi nghĩ hiện tại, tôi vẫn còn ngại ngùng về Chế độ cầu và đang tìm kiếm một số hướng dẫn về cấu hình Cổng của Bộ định tuyến. Ý tôi là, bộ định tuyến của nhà cung cấp hoặc bộ định tuyến thuộc sở hữu, tôi vẫn chưa rõ về thiết lập cổng Bộ định tuyến. Có lẽ, tôi cần thử nghiệm nhiều hơn với việc định cấu hình cổng đó trong khi modem ở Chế độ cầu?
Andrew Philips

Khi bạn sở hữu modem, bạn chỉ cần thiết lập NAT trên bộ định tuyến của mình và kiểm soát mọi thứ từ bộ định tuyến. Trừ khi bạn chạy modem của Comcast ở chế độ cầu, bạn sẽ không thể tránh điều khiển lớp 3 của nó.
Ron Maupin

Tôi tin rằng tôi hiểu điều đó. Vấn đề không phải là đưa Modem vào Chế độ cầu, vấn đề là không có kết nối mạng thông qua Bộ định tuyến khi tôi làm điều đó. Có gì đó không đúng với cấu hình Cổng WAN của Bộ định tuyến của tôi (và có thể cả các phần khác trong cấu hình của nó) như khi tôi đặt Modem ở Chế độ Cầu, không có kết nối internet. Một máy tính xách tay được gắn vào Modem trong khi Bridged có thể liên hệ với internet.
Andrew Philips

Khi bạn có modem ở chế độ cầu, bạn cần định cấu hình bộ định tuyến của mình để đảm nhận các chức năng của modem như NAT, DNS, DHCP, v.v. Cổng WAN của bộ định tuyến của bạn sẽ cần được đặt cho DHCP làm địa chỉ IP của nó.
Ron Maupin

Câu trả lời:


2

Khi bạn có modem ở chế độ cầu, máy tính xách tay của bạn hoạt động vì nó đang sử dụng DHCP để lấy địa chỉ IP và thông tin khác từ Comcast. Bạn sẽ cần phải đặt bộ định tuyến để làm điều tương tự.

Tôi có cùng thiết lập với nhà cung cấp dịch vụ Internet cáp với bộ định tuyến Cisco ISR G2:

interface GigabitEthernet0/0
 description WAN
 ip address dhcp
 ip access-group WAN_Firewall in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect WAN_Inspect out
 ip virtual-reassembly in
 ip verify unicast source reachable-via rx allow-default 100
 load-interval 30
 duplex auto
 speed auto
 no cdp enable
 service-policy output QoS-WAN-Out
end

Bạn cần phải có bộ định tuyến của mình nhận DHCP cho địa chỉ WAN của nó. Bạn cũng sẽ cần phải định cấu hình NAT và DHCP (trừ khi bạn có trên máy chủ khác) trên bộ định tuyến.

Các cấu hình đầy đủ cho tường lửa, NAT, DHCP, v.v. của bạn quá rộng để có thể bao quát.


Trên thực tế, máy tính xách tay đã không nhận được địa chỉ từ DHCP. Nó đặt địa chỉ của nó thành một địa chỉ liên kết cục bộ 169.254.XX Tôi nghi ngờ lý do điều này hiệu quả với bạn là Modem cung cấp cho bạn Chế độ cầu phù hợp và bạn chọn Máy chủ DHCP từ nhà cung cấp cáp của bạn. Trong khi đó, Chế độ cầu không đúng trên modem của tôi nghĩa là tôi cần đặt Cổng đó làm IP tĩnh. Tôi thực sự tin rằng phần còn lại của mạng nội bộ của tôi được cấu hình tốt. A show xxxtrên Router cho các ràng buộc arp, dhcp, nat, v.v. có mọi thứ bạn mong đợi. Tôi không dựa vào Modem cho bất cứ điều gì ngoài truy cập mạng WAN.
Andrew Philips

Nếu máy tính xách tay hoạt động khi được đặt thành DHCP, đó là những gì bạn cần làm cho bộ định tuyến của mình. Bạn có địa chỉ IP công cộng, tĩnh, được gán từ Comcast không? Nếu vậy, bạn sử dụng nó, nếu không, bạn phải sử dụng DHCP. Các câu hỏi từ người dùng cuối của ISP đặc biệt ngoài chủ đề, vì vậy bạn sẽ cần phải giải quyết với Comcast về điều đó. Điều này thực sự khá dễ dàng, bạn có một địa chỉ IP công cộng được chỉ định mà bạn phải sử dụng hoặc bạn kết nối qua DHCP.
Ron Maupin

Tôi không hỏi về kết nối Modem với ISP, tôi hỏi về kết nối Bộ định tuyến với Modem ở Chế độ cầu. Trong chế độ đó, các yêu cầu máy khách DHCP không được xử lý. Hơn nữa, trong Chế độ cầu, bản thân Modem có IP được gán IP (được cung cấp bởi DHCP) và IP có thể truy cập LAN, do đó Bộ định tuyến của tôi không thể yêu cầu bất kỳ ứng dụng khách DHCP nào. Từ cuộc thảo luận này, tôi đoán rằng tôi thực sự cần phải thực hiện gán IP tĩnh trên Cổng WAN của Bộ định tuyến và kiểm tra với Modem Bridging.
Andrew Philips

Điều tôi đã giải thích một vài lần là bạn có hai lựa chọn cho cấu hình mạng WAN của bộ định tuyến: địa chỉ tĩnh được gán bởi Comcast hoặc DHCP. Đó là hai lựa chọn của bạn. Bạn có thể làm việc với Comcast để xác định lựa chọn phù hợp. Điều này thực sự rất đơn giản, và mọi người làm điều này hàng ngày. Bạn muốn điều này từ một người làm điều này, và tôi làm điều này. Nếu bạn muốn loại bỏ modem như một thiết bị mạng, bạn có thể đặt nó ở chế độ cầu hoặc bạn có thể tự lấy. Tôi thực sự không hiểu vấn đề. Nếu nó hoạt động, không có lý do thực sự để thay đổi nó vì bạn không đạt được bất cứ điều gì hữu hình.
Ron Maupin

Cảm ơn, nhưng tôi cần chạy VPN vào Bộ định tuyến, vì vậy Bộ định tuyến (chứ không phải Modem) cần có mặt ngoài của nó. Cảm ơn. Bạn di chuyển sự hiểu biết của tôi một chút nữa xuống đường. Tôi không chắc là tôi hoàn toàn hiểu. Nếu tôi thấy các câu trả lời khác ở đây hoặc khi cuối cùng tôi làm cho nó hoạt động, tôi sẽ đăng một cái gì đó.
Andrew Philips

0

Trước hết, bạn không cần đặt modem của mình ở "chế độ bắc cầu" hoặc thậm chí gây rối với nó, vì dù sao thì Comcast vẫn giữ khóa này. Từ bộ định tuyến, nhập ví dụ cấu hình mà Ron đặt ở trên. Vì vậy, ví dụ, Gi0 / 0 phải là giao diện bên ngoài của bạn, đó là giao diện đối diện ISP / Internet - tức là Comcast - và giao diện Nội bộ của bạn là Gi0 / 1, các lệnh không khác nhau ngoại trừ các mô tả và "Quá tải IP Nat" nếu bạn đang thực hiện PAT vì Comcast chỉ cung cấp cho bạn 1 địa chỉ IP nên việc sử dụng 1 đến 1 có thể hữu ích hơn cho bạn. lệnh giao diện - sau khi bạn tạo DHCP & NAT Pool theo sơ đồ địa chỉ IP công cộng của bạn. Chúc anh em may mắn!


Tôi đã đạt được sự hài lòng với hộp của mình, nhưng tôi cần xem lại điều này. Đã gặp một số vấn đề với việc giảm kết nối cho các kết nối SSL thông qua Bộ định tuyến của tôi. Tôi nghĩ rằng tôi cần nâng cấp phiên bản ios. Tôi cũng nghĩ rằng nó có thể liên quan đến NAT kép (đôi PAT) thông qua cáp và Bộ định tuyến. Tôi không muốn hộp cáp phát địa chỉ IP. Tôi thực sự muốn không có hộp cáp hoặc cách khác. Vẫn làm việc thông qua tất cả những điều này, nhưng nó không phải là một ưu tiên cao. Cuối cùng khi tôi tìm ra nó, tôi dự định đăng lại ở đây cách tôi giải quyết nó.
Andrew Philips

0

Bạn thường có thể đăng nhập vào thiết bị tiền đề của khách hàng (CPE) bằng cách kết nối với thiết bị thông qua trình duyệt web của bạn. (Của bạn được thực hiện như thế này ). Vì vậy, hãy xem cổng mặc định ip được cung cấp DHCP của bạn là gì (trong cửa sổ mở lệnh nhắc nhập ipconfig / all). Cắm địa chỉ IP đó vào trình duyệt của bạn để kết nối. Bạn có thể cần thêm /adminsau địa chỉ. Tìm kiếm dựa trên mô hình CPE của bạn.

Khi ở đó, hầu hết các CPE đều cho phép bạn chỉ định địa chỉ IP công cộng duy nhất cho một thiết bị trong mạng gia đình của bạn. Bạn sẽ áp dụng địa chỉ IP đó cho bộ định tuyến của bạn. Từ đó, cấu hình nó như bạn muốn.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.