为何要给路由器配置多个VLAN?
目前家庭上网设备越来越多。手机、电视上网大家都已经很熟悉了,可随着物联网(IoT)的发展,诸如指纹锁、扫地机器人、冰箱等设备也都纷纷上网。
上网设备的多样性增加了网络环境的复杂性,也给网络安全提出了更高的要求。
为此,我们可以在OpenWrt里给这些设备分类,把不可信的设备(诸如IoT设备,或家里访客的手机)与可信设备(自己手机)分离,以提升网络的安全性,也排除了彼此之间潜在的干扰。
本例将建立3个彼此隔离的VLAN,每个VLAN获得不同的IP地址段,相互之间也无法路由:
MyWIFI:
连接可信设备,比如自己的手机和平板,使用5G频率,地址段为10.10.1.X,管理地址 .1
IoT:
连接不可信设备,比如物联网/家电,使用2.4G频率,地址段为10.20.1.X,管理地址 .1
Guest:
连接不可信设备,比如访客手机,使用2.4G频率,地址段为10.30.1.X,管理地址 .1
首先用笔记本,或者PC的无线网卡,以2.4G频率
无线登陆
到OpenWrt。
共有4步:建立防火墙区域→添加VLAN→添加新的VLAN接口→将其挂载到无线AP。
建议先恢复出厂设置,这是第三方固件的标准操作,以避免各种奇怪问题。
本文以刷了OpenWrt的斐讯K2为例讲解,如果你的设备与此不同,可能路径稍有差异,请酌情修改。
1、建立防火墙区域
“区域”是防火墙的一个“规则集”。点击网络→防火墙→新增,“名称”为IoT,其它参数不动,下方“允许转发到目标区域”选择WAN口,因为IoT设备也要上网,点击保存:
2、添加VLAN
网络→接口→设备→在“ br-lan 网桥设备”的右侧点“配置”→网桥VLAN过滤,点新增,做如下配置后点击保存:
刷新浏览器页面,可见增加了一个VLAN20的桥接设备:
3、添加新的VLAN接口
点左上角:接口→添加新接口,添加名为IoT的接口,并进行如下配置:
4、挂载无线AP到新添加的接口
网络→无线,选择无线AP挂载到2.4G(802.11bgn)还是5G(802.11acn)的无线接口,本例选择2.4G,因为IoT设备很多是2.4GHz的频率,穿墙能力强。
去掉“网络”中原来的LAN,替换为IoT:
点保存,最后点“强制应用”:
以新的IP:10.20.1.1登陆OpenWrt,网络→接口,可见IoT接口已经起来了,获得了10.20.1.1地址:
删掉LAN接口,它已经没有用了:
至此,我们成功的建立了一个名为IoT的VLAN并挂载到2.4G的网络,设备连接到该网络获得的是10.20.1.X的网段。
5、创建VLAN 10和MyWIFI无线AP
按照步骤1~4,建立名为
MyWIFI
的防火墙区域、VLAN 10,创建新接口并将其载到5G的无线AP,配置过程不再赘述。
6、创建多个无线AP
按照步骤1~4建立名为
Guest
的防火墙区域、VLAN 30,创建新的接口并挂载挂载到2.4G的无线AP
由于要在2.4G频段上创建新的无线信号Guest,所以上文第4步有所不同。在2.4G频段上点“新增”:
按照如下配置:
隔离客户端,也就是通常所说的“AP隔离”,接入的设备彼此之间无法通信。如果发现设备工作异常就不要配置此项:
保存并应用。
至此,出现了3个无线信号:IoT,MyWIFI和Guest,各自属于自己的VLAN区域,不同VLAN之间无法路由。本文并没有讨论加密选项,如果要给WIFI加上密码,点击上图的“无线安全→加密”。
小技巧:
如果想要多个VLAN之间相互路由该怎么做?
在第1步的网络→防火墙→区域,把想要相互路由的防火墙区域添加给对方。例如IoT与MyWIFI之间可以路由:
在以上情况下怎样做无线中继?
见这篇博客,从第3步开始看:
新版OpenWrt配置无线中继(AP)和有线接入(STA)教程