将开关放在FIOS ONT和Router之间
有时你需要能够向你的ISP证明这个问题是最终的。有时你需要向自己证明你最后的问题。有时,您的路由器有硬件或软件问题可以通过将设备置于它们之间(例如PFSENSE在失败之后未重新建立WAN链路)之间来缓解的路由器。在ONT和路由器之间具有交换机的伟大事物是它使其令人难以置信的镜像镜头端口,并将嗅探器(如Wireshark)放在线上的Wirshark,以收听野外数据包。
这可以是一个非常有效的方法,即查看ISP和网络之间的数据。这也是确保防火墙或内部网络正常运行的好方法。您可能认为您的ISP是错误的,只能学习您的代理服务器(思考鱿鱼)正在进行起来。
选项1:在ONT和路由器之间放置桌面交换机
显而易见的选择可能只是在ONT和路由器之间放置桌面交换机。此选项确实有效。这将使您能够在路由器上保持WAN链接,即使ONT失败也是如此。For some hardware or software incompatibilities where you just don’t want the router to be aware the WAN link is down physically (such as the router is on UPS and the ONT is not. This is a great solution. However, it will not give you the ability to mirror a port for traffic sniffing. These desktop class switches are also made with cheaper components which might impact performance, and they are more prone to failure.
图1:ONT和路由器之间的桌面交换机
选项2:在ONT和路由器之间使用WAN VLAN
选项2是更好,更强大的解决方案,但它确实需要VLAN能力的切换,并且有点了解更复杂的网络方案。此选项在托管交换机上的两个端口上创建虚拟LAN。将ONT插入一个端口和路由器的WAN接口到其他端口。这使您可以选择将端口映射到交换机上的第三端口,允许您嗅探防火墙外的流量。如果您在鲤鱼(故障转移)配置中有两个路由器,您只需将第3端口添加到此VLAN并连接两个路由器。在路由器故障的情况下,这将允许故障转移。您的ISP(在我的情况下FiOS)不会意识到连接了多个路由器,因为设备共享虚拟MAC地址和ISP通过DHCP递给您的IP地址。
在这种配置中,确保没有vlan内流量是非常重要的,因为这可能允许攻击者绕过您的防火墙!这些需要是未标记的、完全隔离的vlan。
图2:在ONT和Router之间的WAN VLAN
在ONT和路由器之间的交换机的其他优点
在ONT和路由器之间有一个开关的额外额外优势。取决于您重视您的隐私以及您想要采取的东西:
- 您的ISP将永远不会知道您的路由器何时关闭线路,因为链接将始终为UP(除非您重新启动开关)。
- 您可以替换路由器,ONT将完全没有意识到。
- 更容易升级和未来的网络扩展。
- 如果你的路由器不支持SNMP,但是你的交换机支持SNMP,你可以从你的WAN使用中获得流量数据到你的网络监控系统(NMS)。
- 如果WAN停电的情况,它很容易拔下路由器并安装笔记本电脑以进行测试。
所以你有它。我目前使用WAN VLAN在我的网络中运行选项2。这效果非常好,是我推荐的那个。
有些人可能会询问是否可以以这种方式将多个路由器插入ONT。除非您使用鲤鱼设置,否则除非您拥有多个静态IP的业务帐户,否则答案不幸的是答案。您的ISP不会向您的网络发出额外的IP地址,超出第一个。所有其他额外的DHCP请求将被删除。
迈克,非常感谢这篇文章!我在DSL报告上挖出几个小时,无法找到有关此信息的任何信息。这是伟大的!
谢谢你是粉丝桑迪!
我的天啊。感谢您对此作品的简单解释。我一直想这样做一段时间,我的所有技术伙伴都一直告诉我它不起作用。我怀疑Verizon / Frontier无法检测到这样的设置。谢谢!!!
这听起来很有趣。我已购买VLAN Chu中的路由器(MINI PC到主机PFSENSE)和VLAN的开关。我有点明白,我肯定了解你的箴言:“......确保没有VLAN的流量......”,这是重点很重要......“。VLAN初始化是否有任何阐述,以确保我们得到正确?即使也许是与现有的,行人的链接。为了设置种子的thx!
并不真地。只需确保在这些端口上通信的唯一VLAN是WAN VLAN ID。此外,使端口的PVID相同的VLAN ID。
Muray先生 - 我想我了解VLAN / PVID陈述。交换机IP参数怎么样?开关上有一个IP /掩码将在开关上使用什么?Dlink DGS-1100-05。- 呸
交换机在WAN VLAN上没有IP地址,只有在LAN VLAN上。
嗨迈克。我对中间的开关有额外的优势;实际上我把开关放在了一端,连接以太网电缆的另一端连接到我家的核心交换机。这里的优点是我在需要连接(摄像机等)的车库附近的以太网设备,我不想运行另一根以太网电缆。我只是使用不同的本机VLAN将其作为其他端口连接到ONT,然后只需通过单个“FIOS拉”以太网电缆标记所有VLAN。另一方面,我显然可以访问每个VLAN,因为我需要将它们处理为DMZ路由器和任何内部设备。我获得了与您的文章中描述的相同好处,也无需为我的摄像机提供额外的电缆,但保持网络的L2分离。更多,我甚至不必搬运镜子,我现在可以镜像VLAN,我可以看到或统计到路由器流量;嗅探时有用的有用,以试图如何处理Moca电缆盒,没有UPnP支持在Cisco路由器与FiOS提供的actionteC中的actionteC中的支持。
良好的注意:通过交换方法和您的思想,您可以使用相同的MAC地址WAN侧和相同的IP子网以及将BIA到ActionTec LAN侧的MAC设置,并在两个之间轻松交换进行比较嗅探痕迹,而无需重新启动Settop Box,因为ARP表仍然匹配。
但是,在这样做时,我仍然在物理上关闭或拔下一个路由器,所以我的交换基础设施没有MAC冲突..但正如您所说,交换机会在ONT上保持链接,因此它也不会下降。
- 吉利
嗨,我发现你的文章有趣,希望你能在当前的困境中发光一些进一步的光线。我最近开始在一家公司工作,在那里有FIOS的商业和2个VMware的PFSense防火墙。我已经任务了设置新的网络5100 PFSense设备来取代旧防火墙。我注意到次要(原始)防火墙从未显示过湾(FIOS)的活动链接。即使我正确设置新设备后,这仍然是这种情况。我一直在网上阅读,verizon必须在他们最后做某事,以允许通过ONT识别多个WAN设备。任何想法/咨询/链接,如果这是事业和/或我可以去的地方得到全部解决?
如果正确安装故障转移,则PFSense框将共享MAC地址。FIOS永远不会有一个线索,首先有两个WAN设备。并且由于它将在物理上将它们链接到第1层的中间人开关,因此只有一个以太网电缆到ONT。
WAN Switch / VLAN上的ONT->端口1
PFSense主框 - > WAN Switch / VLAN上的端口2
PFSense故障转移框 - > WAN Switch / VLAN上的端口3
Mike,您是否在选项1中取得了成功,当vz的服务是单一动态IP的住宅类?
是的。我没有商业级服务。
迈克,这听起来很棒,因为过去几天我一直在处理FIOS的支持,准备拉出头发。我的设置始终是我自己的企业网关,因为主设备连接到INT的ONT和FIOS路由器在其余的计算机上的单独子网上。它有互联网访问,而是来自我的网关的内部IP。我刚刚将我的服务升级到新电视机,以便将其运作,我必须使FIOS路由器连接到ONT的第一个设备。我显然尝试在ONT和路由器之间插入一个开关,因此我也可以连接我的网关,虽然都有来自vz的公共IP,但只有最后一个设备可以连接到Internet。所以我想知道你的选项2你在哪里谈论故障转移路由器,然后说它不会正常运作到一个以上的路由器,我很好奇为什么?对我来说这听起来很棒。如果还有其他东西,我需要做的是要做这个选项2来工作,请告诉我,因为我真的希望我的设备为我的计算机处理流量。
谢谢
你好迈克。我试图在我家上设置场景2。我为连接到我的路由器和ONT的端口设置了一个分隔的VLAN,但是我的路由器无法从ISP获取租约。我的ISP需要互联网VLAN标记(VID:12)。你认为这是这个问题的原因吗?
曾几何时,我有积极肯定的是我已经在我的房子里实现了类似的东西,而是因为某种原因我恢复了。
感谢致敬
Gonçalo.
麦克风,
根据您的说明,有很多问题就可以工作了。我希望你能看到这个并能够回应。我有两个端口的设置VLAN 99,一个用于ONT连接,一个用于从我的OPNSENSE防火墙连接。两个端口都没有标记。在此配置中,我从未从Verizon获取DHCP IP。有什么想法吗?
谢谢,
史蒂夫
你好史蒂夫,
你有没有找到过解决方案?因为我和你一样迈出了,我把这个主题带回了我的家庭网络。我们的ISP为互联网进行了VLAN标签......
提前致谢,
问候
嗨迈克。我试图选择1,我有一些问题。值得注意的是,我有一台连接到桌面交换机以及路由器的计算机。每天几次,我与互联网断开了连接。此时,我必须拔下路由器的电源线,并将其插入或拔下并拔掉以太网电缆。这样做时,连接恢复了,但每天都有多次令人讨厌。我在我的电脑上丢失了我的连接,即在发生这种情况时也被连接到桌面开关中。我希望你可能知道解决方案。谢谢