基础网络使用

当前网络架构

当前使用网络架构示意图

架构细节

使用多路由原因

• 整体稳定性考虑，一级路由作为内网<=>公网流量交换设备，仅针对部分设备开启Wi-Fi功能，设置网络连通性自检脚本／重拨脚本／重启脚本。
• 整体灵活性考虑，利于更换宽带服务商，或者修改宽带接入方式，可以同时提供两种不同的网络环境，可以使用独立设备进行拨号管理，避免因为更换拨号路由配置而影响到整体网络环境。
• 安全隔离方面考虑，受信设备使用二级网段，“智能网络设备”和不能够以安全模式连接Wi-Fi的设备接入一级网段，避免潜在的漏洞利用影响整体网络安全。

二级路由下外接交换机的原因

• 性能和扩展性的考虑，路由主要负责AP+内网设备的DHCP，交换机一方面负责扩展有线端口，另外一方面可以让设备直接交换数据，避免路由器耗费资源进行数据交换。

网络地址分配

• 避免任何192.168.x.y地址的使用。
• 一级路由／从路由／二级路由使用不同的网段，仅允许从子节点访问父节点。
• 二级路由使用DHCP服务，并进行静态地址绑定。
• 从路由不进行地址绑定，但是对从路由进行流速限制，访问二级网段网关的限制，避免潜在风险出现时的影响。

简单的网络安全配置

• 光猫关闭Wi-Fi功能，设置禁PING等，LAN口仅外接一级路由。
• 一级路由使用三方固件，关闭Wi-Fi，LAN口仅外界二级路由和从路由，限制从路由公网速度、不能够访问二级网络网关。
• 二级路由使用三方固件，进行设备MAC地址绑定，Wi-Fi使用10位以上密码和AES-WPAK2加密方式。
• 从路由使用第三方固件，定期更换Wi-Fi接入密码，不使用时断电处理。

历史拓扑

2017.02