具有不同子网配置的LAN到LAN是否安全？

Question

我计划实现以下网络配置：

因特网(A电缆)

路由器A (192.168.0.x)(LAN2：)(LAN3：)(LAN4：)

路由器B (192.168.1.x)(LAN2：)(LAN3：)(LAN4：)

路由器A的第一个LAN端口连接到路由器B的第一个LAN端口，但两个路由器都位于不同的子网中。

通常，当我在一起设置两个路由器时，我会在同一个子网中做双NAT配置(LAN到WAN)或LAN到LAN。

我知道以下事实:在这样的双NAT配置中，

因特网(A电缆)

路由器A (192.168.0.x)(LAN2：)(LAN3：)(LAN4：)

路由器B (192.168.1.x)(LAN1：)(LAN2：)(LAN3：)(LAN4：)

来自路由器B的主机可以从路由器A与主机通信。路由器A的主机不能从路由器B与主机通信。

在局域网到局域网的同一子网配置中，任何主机都可以与任何主机通信。是同一个子网。

在我计划实现的网络配置中，LAN到LAN，但是在不同的子网中，我注意到两个网络的主机都无法到达。这是一种安全的隔离网络的方法，至少比双NAT好吗？

连接的路由器B在路由器A子网(192.168.0.x)中获取IP地址。

另外，我不需要定义任何静态的路由来获得互联网接入，我很难理解这是如何可能的，因为路由器A网关不平。

Answer 1

所谓“安全”，我假设您的意思是安全，因为在一个网络上的设备无法与另一个网络上的设备通信。

在您的场景中，您将两个网络物理连接在一起，因为路由器A的网络插入路由器B上的交换机端口，这意味着它们都是同一个广播域和链路本地网络的一部分。

因此，使用上述定义的“安全”，这是完全不安全的。虽然以这种方式配置的设备将无法与另一个网络通信，但要做到这一点，只需添加另一个网络上的辅助IP地址即可。ARP欺骗等攻击在整个网络中都是可行的。

正确的解决方案是将网络物理分离，并使用防火墙规则管理它们之间的通信量。

Answer 2

如果您将来自路由器A和B的两个LAN端口连接在一起，那么您只是在连接交换机，而不是在这些机箱之间使用路由功能。如果要隔离网络，至少应该使用不同的网络和媒体，并引入一些安全规则。

仅仅通过在这些设备之间配置路由规则来实现安全性可能会失败。应该有一些安全规则来进行安全配置。NAT将把地址隐藏在路由器的内部，但是没有规则阻止接口之间的数据包流。