家庭网络分离 | 指南和示例

Question

我将描述您在家中进行此类设置的一般硬件选项。详细配置最好留到更具体的问题或聊天时再谈，尤其是因为它会根据您选择的硬件而有所不同。

关于速度的一些说明

我也忽略了整体网络吞吐量。通常，您应该在一个 VLAN 内实现全交换机速度。跨 VLAN 时，您将受到路由器的限制（取决于路由器 CPU 和硬件卸载）。对于互联网，您将再次受到路由器的限制（CPU 和卸载，这次包括 NAT）。对于低于 100 美元的路由器，通过 NAT 到互联网的速度限制约为 100-300Mbps 并不罕见。如果您的互联网连接速度更快，则需要更强大的硬件。

产品类型

VLAN 在商业/企业网络设备中相当标准。虽然这些设备通常是独立的，而不是全部放在一个盒子里，但它们通常可以满足您的要求。最好的办法是不仅查看规格表，还要查看手册以了解可用的配置选项。
消费级设备的自定义固件通常也支持 VLAN，但可能有所欠缺，这通常取决于您刷新的硬件。当然，自定义固件通常不支持，并且可能不稳定。您需要进行大量研究，阅读开发人员说明和论坛主题，以找到合适的硬件进行刷新。
- 纯软件路由通常可以工作，但配置可能很困难，这取决于您刷新的固件。
- 交换机可能工作也可能不工作，具体取决于硬件。一些消费级路由器将每个端口单独暴露给软件（因此您可以在软件中看到从 eth0 到 eth4 的端口），从而允许您应用基于端口的 VLAN 标记。其他路由器将使用硬件交换机（因此您可能会看到 WAN 端口为 eth0，所有 LAN 端口为聚合的 eth1），这意味着您无法区分自定义固件中的端口，并且需要单独的（托管）交换机来在到达路由器之前应用标记。
- 无线功能再次因硬件而异，范围从不稳定到稳定但不支持虚拟 AP，再到稳定并支持虚拟 AP（和 VLAN 标记）。
- 任何内置调制解调器功能可能无法使用。这是假设您没有单独的调制解调器。
您几乎可以忘记在现有固件中支持 VLAN 的消费级路由器。少数支持 VLAN 的路由器会让您的生活陷入困境，并且很可能不支持您设想的高级设置（我见过的最好的路由器是 Billion 设备，它有时允许您将端口“分组”到 VLAN 中）。
一个（相当复杂的）选项是构建自己的盒子。可以购买带有多个 NIC 的 x86 或 ARM 迷你服务器（类似于 NUC），然后您可以加载路由器操作系统（例如 pfSense；您甚至可以使用普通 Linux 执行此操作）并进行配置。您还可以在标准 ATX PC 中安装多个 NIC，添加 WLAN 卡等。这是最灵活的选择，但需要大量的工作和研究 - 而且也不便宜。这篇 Coding Horror 博客文章是一个很好的起点。

我将按照复杂程度递增的顺序介绍几个案例。

有线网络，有单独的网络设备

就 VLAN 网络而言，这是相当简单的。

你需要：

路由器。真正的路由器，而不仅仅是消费者网关。您正在查看的是商业/企业设备或自定义固件。它需要支持 VLAN、VLAN 之间的路由以及通往开放互联网的 NAT 网关。
托管交换机，可让您为端口分配 VLAN（标签）。虽然您确实需要 802.1Q 支持，但您也必须有管理界面！小心“智能开关“- 大多数都可以，但例如 TP-Link 的简单的Smart Switch 系列没有 Web UI，需要 Windows 程序来控制它们。

这相当简单。当帧进入交换机时，您可以标记它们，从而防止 VLAN 直接相互通信。然后，您可以在 VLAN 之间进行路由（就好像它们是完全独立的网络 - 您的路由器可能会将它们显示为单独的（虚拟）接口）。您可以根据路由器设置防火墙规则，以仅允许特定 VLAN 访问互联网，并且仅允许一个 VLAN 发起与另一个 VLAN 的连接（即单向）。

顺便说一句，不要忘记阻止 VLAN 访问您的网络设备的管理接口！

具有独立网络设备的无线网络

您需要在有线网络中添加什么才能使其变成无线网络？无线接入点！不幸的是，这对于家庭使用来说是一个有点模糊的要求，因此您必须坚持使用商业设备 - 或者浏览手册和论坛帖子。自定义固件可以也在这里工作。

还有一个穷人的解决方案，即拥有物理上独立的 AP，这些 AP 只需连接到交换机上的不同端口，然后让交换机处理标记。

对于支持 VLAN 标记的 AP，最简单的方法是按网络 (SSID) 进行标记。在一个 AP 上拥有多个无线网络的能力有时被称为虚拟接入点。

单一网络设备中的有线网络

有些商业/企业路由器具有多个端口，可以充当伪交换机（通过桥接）。自定义固件也可以工作，但需要注意上述注意事项（您的硬件需要将端口作为独立的 NIC 暴露给软件）。如果您有许多有线设备，您可能还需要添加额外的托管交换机。

单一设备中的无线网络

我不知道有任何商业/企业路由器也集成了接入点，所以你只能使用消费级硬件。这种设置可能可以通过自定义固件实现。寻找与自定义固件兼容的硬件每一个同时执行某些功能可能会比较困难。

快速推荐

我建议你看看多设备 Ubiquiti Unifi 系列，它设置简单，可靠。当然，这不是最便宜的选择。但是，它确实让你可以从一个中心位置管理多个设备。

如果做不到这一点，您可以考虑手动设置多设备。例如，我正在运行（作为可靠/便宜的中间地带）Ubiquiti ER-X（非Unifi）路由器，TP-Link 管理交换机（“智能交换机”，不是简单智能交换机（Easy Smart Switch）和 Unifi AP 均独立管理。价格更便宜，但稍微复杂一些。

最便宜的选择是使用消费设备并用自定义固件刷新它。dd-wrt 和 OpenWrt 都是选项，而这个做允许您实现单设备目标，但也是最麻烦且最容易失败的方法。再次提醒，请记住独立 NIC 要求，以及如果缺少端口，可能需要额外的交换机。

Answer 1

我将描述您在家中进行此类设置的一般硬件选项。详细配置最好留到更具体的问题或聊天时再谈，尤其是因为它会根据您选择的硬件而有所不同。

关于速度的一些说明

我也忽略了整体网络吞吐量。通常，您应该在一个 VLAN 内实现全交换机速度。跨 VLAN 时，您将受到路由器的限制（取决于路由器 CPU 和硬件卸载）。对于互联网，您将再次受到路由器的限制（CPU 和卸载，这次包括 NAT）。对于低于 100 美元的路由器，通过 NAT 到互联网的速度限制约为 100-300Mbps 并不罕见。如果您的互联网连接速度更快，则需要更强大的硬件。

产品类型

VLAN 在商业/企业网络设备中相当标准。虽然这些设备通常是独立的，而不是全部放在一个盒子里，但它们通常可以满足您的要求。最好的办法是不仅查看规格表，还要查看手册以了解可用的配置选项。
消费级设备的自定义固件通常也支持 VLAN，但可能有所欠缺，这通常取决于您刷新的硬件。当然，自定义固件通常不支持，并且可能不稳定。您需要进行大量研究，阅读开发人员说明和论坛主题，以找到合适的硬件进行刷新。
- 纯软件路由通常可以工作，但配置可能很困难，这取决于您刷新的固件。
- 交换机可能工作也可能不工作，具体取决于硬件。一些消费级路由器将每个端口单独暴露给软件（因此您可以在软件中看到从 eth0 到 eth4 的端口），从而允许您应用基于端口的 VLAN 标记。其他路由器将使用硬件交换机（因此您可能会看到 WAN 端口为 eth0，所有 LAN 端口为聚合的 eth1），这意味着您无法区分自定义固件中的端口，并且需要单独的（托管）交换机来在到达路由器之前应用标记。
- 无线功能再次因硬件而异，范围从不稳定到稳定但不支持虚拟 AP，再到稳定并支持虚拟 AP（和 VLAN 标记）。
- 任何内置调制解调器功能可能无法使用。这是假设您没有单独的调制解调器。
您几乎可以忘记在现有固件中支持 VLAN 的消费级路由器。少数支持 VLAN 的路由器会让您的生活陷入困境，并且很可能不支持您设想的高级设置（我见过的最好的路由器是 Billion 设备，它有时允许您将端口“分组”到 VLAN 中）。
一个（相当复杂的）选项是构建自己的盒子。可以购买带有多个 NIC 的 x86 或 ARM 迷你服务器（类似于 NUC），然后您可以加载路由器操作系统（例如 pfSense；您甚至可以使用普通 Linux 执行此操作）并进行配置。您还可以在标准 ATX PC 中安装多个 NIC，添加 WLAN 卡等。这是最灵活的选择，但需要大量的工作和研究 - 而且也不便宜。这篇 Coding Horror 博客文章是一个很好的起点。

我将按照复杂程度递增的顺序介绍几个案例。

有线网络，有单独的网络设备

就 VLAN 网络而言，这是相当简单的。

你需要：

路由器。真正的路由器，而不仅仅是消费者网关。您正在查看的是商业/企业设备或自定义固件。它需要支持 VLAN、VLAN 之间的路由以及通往开放互联网的 NAT 网关。
托管交换机，可让您为端口分配 VLAN（标签）。虽然您确实需要 802.1Q 支持，但您也必须有管理界面！小心“智能开关“- 大多数都可以，但例如 TP-Link 的简单的Smart Switch 系列没有 Web UI，需要 Windows 程序来控制它们。

这相当简单。当帧进入交换机时，您可以标记它们，从而防止 VLAN 直接相互通信。然后，您可以在 VLAN 之间进行路由（就好像它们是完全独立的网络 - 您的路由器可能会将它们显示为单独的（虚拟）接口）。您可以根据路由器设置防火墙规则，以仅允许特定 VLAN 访问互联网，并且仅允许一个 VLAN 发起与另一个 VLAN 的连接（即单向）。

顺便说一句，不要忘记阻止 VLAN 访问您的网络设备的管理接口！

具有独立网络设备的无线网络

您需要在有线网络中添加什么才能使其变成无线网络？无线接入点！不幸的是，这对于家庭使用来说是一个有点模糊的要求，因此您必须坚持使用商业设备 - 或者浏览手册和论坛帖子。自定义固件可以也在这里工作。

还有一个穷人的解决方案，即拥有物理上独立的 AP，这些 AP 只需连接到交换机上的不同端口，然后让交换机处理标记。

对于支持 VLAN 标记的 AP，最简单的方法是按网络 (SSID) 进行标记。在一个 AP 上拥有多个无线网络的能力有时被称为虚拟接入点。

单一网络设备中的有线网络

有些商业/企业路由器具有多个端口，可以充当伪交换机（通过桥接）。自定义固件也可以工作，但需要注意上述注意事项（您的硬件需要将端口作为独立的 NIC 暴露给软件）。如果您有许多有线设备，您可能还需要添加额外的托管交换机。

单一设备中的无线网络

我不知道有任何商业/企业路由器也集成了接入点，所以你只能使用消费级硬件。这种设置可能可以通过自定义固件实现。寻找与自定义固件兼容的硬件每一个同时执行某些功能可能会比较困难。

快速推荐

我建议你看看多设备 Ubiquiti Unifi 系列，它设置简单，可靠。当然，这不是最便宜的选择。但是，它确实让你可以从一个中心位置管理多个设备。

如果做不到这一点，您可以考虑手动设置多设备。例如，我正在运行（作为可靠/便宜的中间地带）Ubiquiti ER-X（非Unifi）路由器，TP-Link 管理交换机（“智能交换机”，不是简单智能交换机（Easy Smart Switch）和 Unifi AP 均独立管理。价格更便宜，但稍微复杂一些。

最便宜的选择是使用消费设备并用自定义固件刷新它。dd-wrt 和 OpenWrt 都是选项，而这个做允许您实现单设备目标，但也是最麻烦且最容易失败的方法。再次提醒，请记住独立 NIC 要求，以及如果缺少端口，可能需要额外的交换机。

家庭网络分离 | 指南和示例

设置和问题：

我想问的是这个问题

其他问题

答案1

关于速度的一些说明

产品类型

有线网络，有单独的网络设备

具有独立网络设备的无线网络

单一网络设备中的有线网络

单一设备中的无线网络

快速推荐

相关内容