相关文章推荐
腹黑的刺猬  ·  真的没有办法提高 ...·  1 年前    · 
含蓄的电影票  ·  python库 Pywin32使用 - ...·  1 年前    · 

为何要给路由器配置多个VLAN?

目前家庭上网设备越来越多。手机、电视上网大家都已经很熟悉了,可随着物联网(IoT)的发展,诸如指纹锁、扫地机器人、冰箱等设备也都纷纷上网。 上网设备的多样性增加了网络环境的复杂性,也给网络安全提出了更高的要求。

为此,我们可以在OpenWrt里给这些设备分类,把不可信的设备(诸如IoT设备,或家里访客的手机)与可信设备(自己手机)分离,以提升网络的安全性,也排除了彼此之间潜在的干扰。

本例将建立3个彼此隔离的VLAN,每个VLAN获得不同的IP地址段,相互之间也无法路由:

MyWIFI: 连接可信设备,比如自己的手机和平板,使用5G频率,地址段为10.10.1.X,管理地址 .1

IoT: 连接不可信设备,比如物联网/家电,使用2.4G频率,地址段为10.20.1.X,管理地址 .1

Guest: 连接不可信设备,比如访客手机,使用2.4G频率,地址段为10.30.1.X,管理地址 .1

给OpenWrt配置多个VLAN(比如访客网络),彼此隔离以提高网络安全性_物联网

首先用笔记本,或者PC的无线网卡,以2.4G频率 无线登陆 到OpenWrt。

共有4步:建立防火墙区域→添加VLAN→添加新的VLAN接口→将其挂载到无线AP。

建议先恢复出厂设置,这是第三方固件的标准操作,以避免各种奇怪问题。

本文以刷了OpenWrt的斐讯K2为例讲解,如果你的设备与此不同,可能路径稍有差异,请酌情修改。

1、建立防火墙区域

“区域”是防火墙的一个“规则集”。点击网络→防火墙→新增,“名称”为IoT,其它参数不动,下方“允许转发到目标区域”选择WAN口,因为IoT设备也要上网,点击保存:

给OpenWrt配置多个VLAN(比如访客网络),彼此隔离以提高网络安全性_物联网_02

给OpenWrt配置多个VLAN(比如访客网络),彼此隔离以提高网络安全性_访客网络_03

2、添加VLAN

网络→接口→设备→在“ br-lan 网桥设备”的右侧点“配置”→网桥VLAN过滤,点新增,做如下配置后点击保存:

给OpenWrt配置多个VLAN(比如访客网络),彼此隔离以提高网络安全性_访客网络_04

给OpenWrt配置多个VLAN(比如访客网络),彼此隔离以提高网络安全性_相互之间隔离_05

刷新浏览器页面,可见增加了一个VLAN20的桥接设备:

给OpenWrt配置多个VLAN(比如访客网络),彼此隔离以提高网络安全性_相互之间隔离_06

3、添加新的VLAN接口

点左上角:接口→添加新接口,添加名为IoT的接口,并进行如下配置:

给OpenWrt配置多个VLAN(比如访客网络),彼此隔离以提高网络安全性_给OpenWrt配置多个VLAN_07

给OpenWrt配置多个VLAN(比如访客网络),彼此隔离以提高网络安全性_访客网络_08

给OpenWrt配置多个VLAN(比如访客网络),彼此隔离以提高网络安全性_访客网络_09

给OpenWrt配置多个VLAN(比如访客网络),彼此隔离以提高网络安全性_相互之间隔离_10

4、挂载无线AP到新添加的接口

网络→无线,选择无线AP挂载到2.4G(802.11bgn)还是5G(802.11acn)的无线接口,本例选择2.4G,因为IoT设备很多是2.4GHz的频率,穿墙能力强。

给OpenWrt配置多个VLAN(比如访客网络),彼此隔离以提高网络安全性_相互之间隔离_11

去掉“网络”中原来的LAN,替换为IoT:

给OpenWrt配置多个VLAN(比如访客网络),彼此隔离以提高网络安全性_相互之间隔离_12

点保存,最后点“强制应用”:

给OpenWrt配置多个VLAN(比如访客网络),彼此隔离以提高网络安全性_访客网络_13

以新的IP:10.20.1.1登陆OpenWrt,网络→接口,可见IoT接口已经起来了,获得了10.20.1.1地址:

给OpenWrt配置多个VLAN(比如访客网络),彼此隔离以提高网络安全性_相互之间隔离_14

删掉LAN接口,它已经没有用了:

给OpenWrt配置多个VLAN(比如访客网络),彼此隔离以提高网络安全性_物联网_15

至此,我们成功的建立了一个名为IoT的VLAN并挂载到2.4G的网络,设备连接到该网络获得的是10.20.1.X的网段。

5、创建VLAN 10和MyWIFI无线AP

按照步骤1~4,建立名为 MyWIFI 的防火墙区域、VLAN 10,创建新接口并将其载到5G的无线AP,配置过程不再赘述。

6、创建多个无线AP

按照步骤1~4建立名为 Guest 的防火墙区域、VLAN 30,创建新的接口并挂载挂载到2.4G的无线AP

由于要在2.4G频段上创建新的无线信号Guest,所以上文第4步有所不同。在2.4G频段上点“新增”:

给OpenWrt配置多个VLAN(比如访客网络),彼此隔离以提高网络安全性_物联网_16

按照如下配置:

给OpenWrt配置多个VLAN(比如访客网络),彼此隔离以提高网络安全性_物联网_17

隔离客户端,也就是通常所说的“AP隔离”,接入的设备彼此之间无法通信。如果发现设备工作异常就不要配置此项:

给OpenWrt配置多个VLAN(比如访客网络),彼此隔离以提高网络安全性_访客网络_18

保存并应用。

至此,出现了3个无线信号:IoT,MyWIFI和Guest,各自属于自己的VLAN区域,不同VLAN之间无法路由。本文并没有讨论加密选项,如果要给WIFI加上密码,点击上图的“无线安全→加密”。


小技巧:

如果想要多个VLAN之间相互路由该怎么做?

在第1步的网络→防火墙→区域,把想要相互路由的防火墙区域添加给对方。例如IoT与MyWIFI之间可以路由:

给OpenWrt配置多个VLAN(比如访客网络),彼此隔离以提高网络安全性_给OpenWrt配置多个VLAN_19

在以上情况下怎样做无线中继?

见这篇博客,从第3步开始看: 新版OpenWrt配置无线中继(AP)和有线接入(STA)教程