家用网络中多个路由器的互连方案——2.lan2wan

1) 概述

lan2wan的连接方式在实际使用中比较常用的,根据辅路由器的WAN-LAN之间是否使用NAT进行网络地址转换,可分为NAT方式和非NAT(路由)方式两种类型。

NAT(Network Address Translation)即网络地址转换,是一种在IP数据包通过路由器或防火墙时重写源IP地址或目的IP地址的技术,这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中,是一个方便且得到了广泛应用的技术。当然,NAT也让主机之间的通信变得复杂,导致了通信效率的降低。

在lan2wan连接中,有一个需要注意的问题,即辅路由器的LAN和主路由器的LAN不能使用同一IP地址段,否则会造成冲突而影响网络访问。下面以实例来说明:

如果主路由器的LAN已经使用了192.168.1.0/24(即192.168.1.x)的IP地址段,那么辅路由器的LAN一定要使用另外的IP地址段,如192.168.2.0/24(即192.168.2.x),否则会由于IP地址段冲突而导致辅路由器LAN下接入的终端不能正常访问其上级的网络以及Internet。由于大多数路由器的LAN接口地址的默认值通常都为192.168.1.1/24(即子网掩码为255.255.255.0),这种情况下需要修改辅路由器的LAN接口地址,从192.168.1.1改为192.168.2.1。当然,你也可以根据需要选择另外不冲突的IP地址。主、辅路由器的网络地址设置如下图所示:

router-interconnect-2

其中,主路由的LAN地址使用了默认的192.168.1.1/24,辅路由器的WAN地址使用了192.168.1.254/24,。后面将以此设置为例来说明两种方式的差异和设置方法。

2) 连接方案

(1) NAT方式

由于连接方式简单且通常可以实现零设置,NAT方式在普通用户中被广泛使用。在物理连接上只需要将主路由器LAN口之一与辅路由器的WAN口用用网线连好即可,通常不需要进行额外设置。只有在辅路由器LAN的IP地址段与主路由器LAN之间存在冲突时才需改变其LAN接口地址的设置,如上文(概述)中所述。

在这种方式中,辅路由器的WAN和LAN之间使用NAT进行包转发。由于在主路由器的WAN和LAN之间已存在一次NAT转发,而辅路由器的WAN和LAN间依然使用了NAT转发,这导致了整个网络存在了阶梯式的两次NAT,即所谓的“二级”结构。在这种结构下,辅路由器为二级NAT设备,其LAN中的主机通常可以访问主路由器的LAN网络,但主路由器LAN中的主机却不能访问辅路由器的LAN网络。这是因为辅路由器LAN网络被NAT方式隐藏了其LAN的地址,从而导致来自上级网络机不能直接访问下级网络。若要实现这种访问方式,还需要比较复杂的设置才可以,例如,在OpenWrt下辅路由器通常需要开启端口转发功能,将辅路由器LAN中的主机映射到其WAN地址的某个端口,这样才可以从主路由器的LAN网络进行访问。故此方式存主、辅路由器之间的网络访问限制。对于不希望有这种限制的用户可以考虑其他的互连方案。

NAT方式的优点明显而缺点也很明显,优点是:设置简单,即一般不需要另外的设置。缺点是:网络存在单向访问限制,即主路由器LAN下的主机不能直接访问辅路由器的LAN。

(2) 非NAT方式

在这种方式中,辅路由器的WAN和LAN之间使用正常的路由方式进行包转发,由于辅路由器上没有NAT,整个LAN的网络结构变得更加简单,主、辅路由器之间也不再存在单向的访问限制使网络访问也比较方便。

非NAT方式的设置稍有些复杂。下面按照上图示例,按照OpenWrt系统的WebUI方式来说明整个设置过程:

第一步:检查辅路由器的WAN接口设置。

在WebUI的菜单下选择“网络”——“接口”——“WAN”,检查中辅路由器的WAN设置。在这里为了减少不必要的麻烦,建议WAN接口选择选择静态地址方式,并指定其IPv4的地址、子网掩码、网关和DNS服务器。按照上图示例中的设置,检查辅路由器的WAN接口的“常规配置”的“基本设置”中相关选项是否为以下各参数:

  • IPv4地址:192.168.1.254
  • IPv4子网掩码:255.255.255.0
  • IPv4网关:192.168.1.1
  • 自定义的DNS服务器:192.168.1.1

当然,在实际使用中可以根据自己的需要来设置其他的参数。

若WAN接口的“协议”选项原来为“DHCP客户端”,则应先改为“静态地址”并点击“切换协议”后才能进行设置。这样可以避免其WAN地址动态变化导致主路由器端的静态路由设置失效。

第二步:在辅路由器上取消默认的NAT设置。

由于路由器的WAN-LAN之间的默认设置使用防火墙实现NAT方式,故需要先修改为常规的路由转发模式。

在WebUI的菜单下选择“网络”——“接口”——“WAN”——“防火墙设置”,然后在“创建/分配防火墙区域”中,选择“wan”(单选框,安全区域的名称),完成后保存并应用。

这样,将接口WAN迁移到接口LAN所在的防火墙安全区,不仅可以取消它与LAN之间的NAT转发,同时还取消了接口WAN到接口LAN的访问限制。

第三步:在主路由器上添加静态路由设置。

在WebUI的菜单下选择“网络”——“静态路由”,在“路由表”的“静态IPv4路由”中按照下面参数添加一个静态IPv4路由。具体选项参数如下:

  • 接口:lan
  • 目标(地址):192.168.2.0
  • IIPv4-子网掩码:255.255.255.0
  • IPv4-网关:192.168.1.254

其他位置的选项使用默认值即可。

当然,也可以在shell下使用命令来添加静态路由,其具体的命令及参数如下:

ip route add 192.168.2.0/24 via 192.168.1.254

在实际使用中可以根据自己的需要来设置其他的参数。

由于辅路由器的WAN口已经设置了默认网关,故不需要在辅路由器上再另外添加静态路由。

非NAT方式的优点是:没有LAN访问限制。缺点是:需要另外的设置。此外,由于存在两个广播域,对于LAN内部的两个网段的互相访问会经过辅路由器的转发处理,这可能会对某些应用服务造成一些的影响,如网络共享等。

4) 其它说明

一些无线路由器的固件支持一种叫做“AP模式”的连接设置,即可配置无线路由器当做一个AP来使用, 这时其WAN口往往被置成一个LAN口。

当辅路由器具有此功能并切换为AP模式与主路由器连接时,也可以采用lan2wan连接方案。在这种情况下,WAN口通常会被AP模式的设置改成为LAN口来使用,虽然在物理连接上仍是lan2wan方式,但实际却与lan2lan方式的效果一样。

有关AP模式的连接及设置,请见后文“AP模式”部分的讨论。

此外,还可以使用一种叫做ARP Proxy(ARP 代理)的方式来使用lan2wan的物理连接,这时辅路由器的WAN口IP地址可以保持不变,如192.168.1.254,而LAN口的地址则需要改为与WAN口同网段的IP地址,如192.168.1.2。这种情况下辅路由器的WAN口和LAN之间的连接也需要取消NAT设置并将WAN口加入到LAN所在的安全区。不同的是主路由器上不需要再添加静态路由了,但辅路由器上却需要添加额外的ARP代理及相配合的静态路由配置,工作量相对更大,设置起来也更加复杂,故并不建议采用。

发表评论