Những bất lợi (nếu có) của việc truy cập internet thông qua hai hoặc nhiều bộ định tuyến có dây chằng trực tuyến là gì?

Vấn đề của tôi

Tôi vừa thiết lập internet trong phòng ký túc xá của mình ở trường thông qua một nhà cung cấp bên thứ ba. Modem họ đưa cho tôi, tuy nhiên, cũng hoạt động như một bộ định tuyến không dây. Tôi cũng có bộ định tuyến của riêng mình với DD-WRT trên đó, mà tôi rất thích sử dụng hơn ... bộ định tuyến tích hợp không tốt của họ.

Thuật ngữ

• bộ định tuyến-modem: Sự kết hợp bộ định tuyến-modem được cung cấp cho tôi bởi nhà cung cấp internet của tôi
• bộ định tuyến: bộ định tuyến cá nhân của tôi

Giải pháp của tôi

Đơn giản. Tôi vừa kết nối cổng WAN trên bộ định tuyến của mình với cổng đầu tiên trên công tắc kết hợp bộ định tuyến modem-modem của họ . Sau đó, tôi đã vô hiệu hóa WiFi trên modem bộ định tuyến và tắt hoàn toàn tường lửa (thực sự biến toàn bộ thành DMZ, vì DD-WRT có tường lửa SPI tích hợp).

Chỉ cần lưu ý điều này, địa chỉ IP trên bộ định tuyến của tôi được đặt tĩnh và DHCP đã bị vô hiệu hóa trên modem bộ định tuyến của họ . Không có kết nối vật lý nào khác với modem bộ định tuyến ngoài bộ định tuyến của tôi.

Những câu hỏi của tôi

• Có bất kỳ nhược điểm nào với những gì tôi đang làm không?
• Tôi bằng cách nào đó phá vỡ bất kỳ tính năng bảo vệ nào của tường lửa SPI bằng cách này?
• Nó sẽ dẫn đến bất kỳ độ trễ vượt quá khi cố gắng chơi trò chơi trực tuyến? (do bước nhảy bổ sung mà mỗi gói cần đi qua)

Số lượng độ trễ quá nhỏ để nhận thấy. Tôi có 3 bộ định tuyến bị xích trong nhà và không gặp vấn đề gì. Tường lửa DD-WRT của bạn sẽ vẫn hoạt động và bảo vệ bạn.

Điều duy nhất bạn không đề cập rõ ràng là liệu bạn có tắt DHCP trên modem / bộ định tuyến hay không. Tôi nghĩ bạn muốn DD-WRT của bạn xử lý việc quản lý địa chỉ IP. Dù bằng cách nào, bạn sẽ cần tắt một trong hai để không xảy ra xung đột.

Âm thanh hợp lý với tôi. Tường lửa nên hoạt động bằng cách chặn các gói bằng cách nào đó và có một bước nhảy khác bên ngoài tường lửa sẽ không làm gì cả. Tôi không nghĩ rằng việc thêm một bước nhảy rất ngắn qua Ethernet sẽ ảnh hưởng đến thời gian ping hoặc băng thông.

Nhược điểm tiềm năng như tôi thấy là bạn đang loại bỏ tường lửa và mạng không dây của họ và thay thế máy của bạn. Có thể hình dung rằng tường lửa của họ tốt hơn và / hoặc không dây của họ an toàn hơn. Trừ khi bạn thay thế WEP cho WPA của họ hoặc một cái gì đó, tôi nghi ngờ sẽ có vấn đề.

Không có gì sai với thiết lập này. Vì thực tế sử dụng hai bộ định tuyến theo cách này là một cách tốt để bảo vệ mạng LAN của bạn khỏi một mạng nguy hiểm hơn. Băng thông của bạn sẽ không bị ảnh hưởng theo bất kỳ cách đáng chú ý nào.

Những gì bạn về cơ bản đang làm là thêm một bước nhảy khác vào mỗi gói. Sự chậm trễ gây ra bởi bước nhảy thêm này (giả sử phần cứng mạng lý tưởng - điều mà bất kỳ điều gì sau năm 2000 hiện đại sẽ làm cực kỳ nhanh chóng) sẽ ít hơn 1ms.

Tôi muốn nói rằng bạn tốt để đi!

Trừ khi có lý do để bảo vệ mạng "không dây" khỏi mạng "có dây", tôi sẽ vô hiệu hóa máy chủ DHCP trên bộ định tuyến không dây, sau đó kết nối hai bộ định tuyến với nhau qua cổng LAN (không phải mạng LAN trên mạng không dây như bạn làm hiện nay). Bộ định tuyến không dây vẫn sẽ xử lý thiết lập kết nối không dây, nhưng sau khi hoàn tất, cài đặt mạng sẽ đến từ bộ định tuyến có dây.

Theo cách này, bạn đang sử dụng hiệu quả bộ định tuyến không dây như một trung tâm không dây, thay vào đó.

Đoán xem có bao nhiêu bộ định tuyến được nối từ máy tính của bạn đến máy chủ SU? (bạn có thể nhận được câu trả lời với traceroute).

Chỉ cần một người khác sẽ không làm tổn thương nhiều.

Bạn có thể có nhiều bộ định tuyến như bạn muốn trong nội bộ. Miễn là tuyến đường mặc định của từng phân khúc dẫn đến bộ định tuyến tiếp theo và cuối cùng là internet, bạn vẫn ổn. Và nếu ai đó phá vỡ bộ định tuyến nắm tay, anh ta sẽ không thể tiến xa hơn cho đến khi anh ta chạm vào bộ định tuyến tiếp theo. Doe snot này có nghĩa là nó là một thiết lập được đề xuất cho một mạng an toàn hơn, vì có lẽ nó cần được giám sát nhiều hơn. Tuy nhiên, điều này cho phép bạn thiết lập nhiều mạng không dây, ví dụ. Nếu bạn muốn tăng cường bảo mật, tôi sẽ đề nghị:

1. Đặt mỗi mạng IP phân đoạn khác với 192.168.0.x hoặc 192.168.1.x. Sử dụng một cái gì đó như 192.168.45.x chẳng hạn.

2. Đặt địa chỉ IP của bộ định tuyến thành một cái gì đó không phải là xxx1. Sử dụng một cái gì đó như 192.168.45.254 chẳng hạn.

JF

Đây là một cấu hình hoàn toàn tốt. Tôi có mạng gia đình được cấu hình với bộ định tuyến bên trong và bên ngoài (không tính modem cáp). Đây là một cấu hình được đề nghị cho một số mục đích. Có một số cuộc thảo luận tốt ở đây, tại GRC.com