请帮助我设置拆分家庭网络。这是我的前提:
- 一根外线(这将是连接到我的 ISP 访问 Internet 的 WAN 电缆)
- 一台路由器(ISP 的或我自己的;外线插入 WAN 端口)
- 具有 VLAN 管理功能的交换机
- 路由器和交换机之间的链接(显然:))
- 设置 VLAN 这一步旨在将我的网络分成两部分:一个是我的“受信任”网络(我的笔记本电脑、电话等),另一个是“不受信任”(访客、智能设备等)
- “输出”电缆(我将在下面稍后解释)
所以这是前提,这是我的要求。正如我所说,我想要有 2 个 Intranet。VLAN0 将是受信任的,VLAN1 将是“不受信任”的。我的公寓里有几个房间,每个房间都有一根以太网电缆(因此是“一根输出电缆”的前提)。
显然,在每个房间里我都会有两套设备,例如智能电视或访客(链接到不受信任的接入点)和我自己的笔记本电脑/平板电脑/手机(链接到受信任的接入点)。
我的问题(让我们对一个房间进行简化并解决这个问题):有没有办法使用一根 eth 电缆,比如在客厅,连接 2 个接入点?(一个 AP 将具有不受信任的 SSID,另一个将具有受信任的 SSID)
我在想电缆会进入一个集线器,集线器会分成 2 个 AP/扩展器/小型路由器。我认为这里的问题是,由于单根电缆从交换机出来,并且交换机设置了 VLAN,那么它出来的接口(比如说 VLAN0 - 受信任)会将电缆与那个 VLAN 相匹配,并且会是无法向另一个 VLAN(VLAN1 - 不受信任的 VLAN)提供 DHCP 或其他信息。
所以基本上我的问题是:有没有办法使用一根电缆来“连接”两个接入点,每个接入点都属于自己的 VLAN?如果是这样,怎么办?(我还没有决定路由器或交换机是否执行 DHCP - 我在考虑路由器,但由于我在 2 个 Intranet 之间拆分网络,也许交换机应该执行逻辑?)
我想到的另一件事可能更容易(但更昂贵)是不要在顶层使用 2 个 vlan,使用每个房间的单线并将它们插入交换机(然后将其拆分为 VLAN)。我不确定他们会以这种方式分裂多少,因为我的想法是,如果我在一个房间里有空调,在另一个房间里有一台电视,在第三个房间里有暖气,他们都会看到对方集线器,但与其他设备(如我的笔记本电脑或手机)分开。这里需要确认。
还有一个问题:如果最顶层会通向路由器(通向互联网),这是否也意味着路由器会桥接 VLAN,因为它是 L3 设备?
提前致谢 :)
尽管后两个类从您的角度来看是“不受信任的”,但从彼此的角度来看,它们也是“不受信任的” 。您的访客是否可以无限制地访问您的空调/供暖/物联网设备?如果不是,那么至少有 3 个 VLAN。
使用 802.1Q 标记来分隔同一电缆上的多个 VLAN 很容易做到这一点。(实际上所有“具有 VLAN 功能”的交换机都将支持 802.1Q。)但是,接收端的设备需要了解标签,因此理想情况下,每个房间都应该有支持 802.1Q VLAN 的交换机。
非托管的非 VLAN 交换机只能在一定程度上发挥作用——它们会将所有设备置于相同的默认 VLAN (PVID) 中。只有能够自行进行 802.1Q 标记的设备才能使用额外的 VLAN,但电视不能,游戏机不能,打印机不能,其他物联网设备也不能。
此外,不要使用 VLAN 0。在 802.1Q 标记中,VLAN ID 不允许为零 - 有效范围为 1–4095,“默认”VLAN 通常为 1。
(ID 为 0 的 802.1Q 标记被认为根本没有任何 VLAN ID - 这些标记仅用于指定 QoS 数据包优先级。)
可以,只要两端都支持 VLAN 标记(802.1Q 标记)。在客厅一侧,它可以是一个交换机或一个花哨的 AP。
因此,如果您有第二台具有 VLAN 功能的交换机,则将其放在起居室中,并将每个 AP 连接到具有所需 VLAN 的“访问”端口。房间之间的电缆——两个 VLAN 交换机之间——然后连接到同时承载多个标记 VLAN 的“主干”端口。
如果您只有一个非托管的非 VLAN 交换机,那么它可能是可能的,但这完全取决于 AP 正在运行的固件。您越接近“商业级”AP,它们就越有可能支持数据的 VLAN 标记。OpenWRT 也应该能够做到这一点。
大多数企业/企业 AP 甚至支持同一AP上不同 VLAN 上的多个 SSID 。(基本上与家用路由器上的“Guest SSID”技术相同,只是更加灵活,您可以选择哪个 VLAN 对应哪个 SSID。)
许多交换机实际上只是 L2 交换机,不处理 DHCP,也不处理 VLAN 之间的路由。如果您不想使用单独的路由器,那么您需要一个“L3 交换机”(即一个具有 L3 路由功能的精美 L2 交换机)。
但是 DHCP 不如实际拥有一个在这些 VLAN 和 Internet 之间执行路由的设备重要。(从技术上讲,重要的不是哪个设备生成 DHCP 响应,而是在这些响应中指定了哪个“网关”IP 地址,所以如果设备 A 发出 DHCP 租约但指向设备 B 进行实际路由/网关,或者任何。)
一般来说——没有。(桥接是 L2 操作。)路由器应该在 VLAN 之间路由。
然而,为了使用单根电缆工作,路由器本身必须支持 VLAN 标记。(它会将每个 VLAN 视为一个虚拟以太网端口,具有自己的 IP 地址和所有内容。)
如果路由器不支持 VLAN 标记,那么它需要能够在 L2 上完全分离其 LAN 端口。也就是说,如果你有一个普通的 4 端口家用路由器(带有内置 LAN 开关的那种),它必须能够关闭它所有 LAN 端口之间的内置交换,以便你可以分配一些端口连接到“LAN 1”,其他端口连接到“LAN 2”。
如果路由器不支持上述任何一项(即它严格来说是一个 LAN 设备,其所有 LAN 端口都永久桥接)......那么是的,最好的情况是它根本不起作用,最坏的情况是它会意外地桥接所有你的 VLAN 在一起,你最终将无法拥有两个独立的网络。
这不是一个替代计划——为了正确使用 VLAN,您已经应该这样做。如果一个房间需要多个 VLAN,那么它应该有一个支持 VLAN 的交换机。
嗯,没错,但是如果你没有这些 VLAN 一直到你的路由器,那么它们也将被完全封锁,无法访问 Internet。(除非你的交换机也有 L3 路由功能。)
正如其他人指出的那样,以太网需要将一个 IP 与一个 MAC 相关联,因此您需要其中两个。
我认为 WiFi 是您可能要为您的访客网络考虑的更好的解决方案。大多数家用路由器都内置了一个名为“访客网络”的功能,可以完全满足您的需求。那么您的整个网络就是受信任的以太网和 WiFi 以及 WiFi 访客网络。
另一个未提及的选项是您可以使用软件设置虚拟 LAN。执行此操作的简单方法是使用大多数虚拟机软件附带的虚拟网络功能。有了这些,您就可以创建虚拟以太网卡。
有关此软件的示例,请尝试https://www.vmware.com/或https://www.virtualbox.org/。
此外,您可以使用软件在任何网络之间建立隧道。查看 SSH 隧道。
https://putty.org/ 或 https://www.microsoft.com/en-us/p/ssh-tunnel/9nr7p38pklt4
这些软件解决方案都没有超越这样一个事实,即在某些时候,如果您在另一个网络上有实际的硬件,您需要实际的以太网端口将该硬件物理连接到网关。