我对网络主题还很陌生,所以我希望我能正确解释这个问题。
我有一个网络,它是一个连接到交换机的路由器,该交换机有一些用于连接 PC 的 LAN 端口和 2 个 AP。
我已经创建了 VLAN 20 和 39。但是,当我创建网络并分配 VLAN(例如 10、20 或 40)时,我无法再登录 WLAN。当 WLAN 网络没有分配 VLAN 时,它可以正常工作。
我的目标是:
除访客之外的所有 VLAN 都可以访问打印机,但是其余 VLAN 不能互相访问,只能在 VLAN 的 PC 之间进行连接,当然还可以连接到互联网。
我的装备是:
- 当前正在分配 DHCP 的 ISP 路由器
- 交换机TP Link Festa FS328GP
- 2 AP TP Link Festa F65
如何实现这个功能?
TP Link Festa 应该允许 VLAN 之间的静态路由。但是,您必须进行设置。
第一步当然是创建您的 VLAN,其中包含您的访问端口。
下一步是为每个 VLAN 添加子网。在 SOHO 环境中,您通常会将 192.168.10.0/24 用于 VLAN 10,将 192.168.11.0/24 用于 VLAN 11,依此类推,但选择权在您手中。
在第 3 层接口或 IP 配置部分,您将为 VLAN 接口分配一个 IP 地址。大多数人将 192.168.10.1 用于 VLAN10 子网等。该 IP 部分中还应该有一个 DHCP 服务器。
接下来是静态路由。如果希望这两个子网进行通信,请使用 ISP 作为默认路由,并在 192.168.10.0/24 和 192.168.20.0/24 之间设置路由。此外,还要设置返回路径(从 192.168.20.0/24 到 192.168.10.0/24)。
请注意,此描述基于我的一般网络知识和我找到的该交换机手册。您仍然需要进行一些实验才能在现实生活中完成此操作。
VLAN 不像访问组 - 它们的行为就像完全不相交的 LAN,每个 LAN 都有自己的 IP 子网(地址范围),并且像常规 LAN 一样,它们只能通过连接它们的路由器/网关进行通信。(VLAN 之间的访问控制将使用路由器的防火墙规则进行定义。)
因此,为了能够使用 VLAN,您需要一个支持 VLAN 的路由器 - 它需要理解您的交换机和 AP 使用的相同 802.1Q VLAN 标签,并为您计划使用的每个 VLAN 标签提供虚拟“VLAN 接口” - 包括自己的 IP 地址、自己的 DHCP 地址池等。
直接在“LAN”或“以太网”接口上配置的 IP 子网对应于默认或未标记的 VLAN,而在例如“VLAN 10”接口上配置的 IP 子网对应于标记的 VLAN。
因此,您首先需要配置连接到路由器的交换机端口,以便标记所有附加 VLAN,然后在路由器本身上创建相应的 VLAN,然后将路由器的“VLAN 10”接口配置为 192.168.10.1/24 并让其分配 DHCP 192.168.10.x,然后对 VLAN 20、VLAN 30 等重复上述操作。最后,您需要设置防火墙规则以允许打印机访问并拒绝其他跨 VLAN 访问。
(这不适用于交换机或接入点;它们只需要一个 VLAN 中的一个 IP 地址进行管理或配置,因此它们在未标记的 VLAN 上拥有的任何 192.168.1.x 地址就足够了。)