可以设置 VLAN 吗？

我将简要介绍 VLAN 配置。我使用 TP-Link 智能交换机作为参考 - Easy Smart Switch 系列略有不同，但应该可以以相同的方式完成。请参阅第 6.3 章和第 6.4 章在手册中。

1. 您想要配置 802.1Q VLAN，而不是更基本的“基于端口”的 VLAN。
2. 输入要配置的VLAN ID（例如1）
3. 选择标记端口。这意味着属于此 VLAN 的帧将通过哪些端口发送，带有 VLAN 标记. 将其用于通向其他 VLAN 感知设备（如路由器或其他托管交换机）的端口。
4. 选择未标记端口。属于 VLAN 的帧也将发送到这些端口，但在输出时会剥离 VLAN 标记。将此用于通向主机（包括您的计算机、服务器和摄像头）的端口。
5. 设置您的 PVID，以便未标记端口上的传入帧获得默认标记。

就您而言，VLAN 1 将在路由器端口上被标记，并在您的计算机连接到的任何端口上不被标记（在那些端口上具有 PVID 1）。VLAN 2 将在路由器端口上被标记，并在服务器端口上不被标记（在该端口上具有 PVID 2）。VLAN 3 将在路由器端口上被标记，并在摄像头端口上不被标记（在这些端口上具有 PVID 3）。

您还需要配置 EdgeOS：

1. 添加 VLAN 接口，并为它们各自提供自己的 IP 地址和子网（为了简单起见，我假设192.168.1.1/24、192.168.2.1/24和192.168.3.1/24。这意味着路由器在其 VLAN 3 接口上使用子网192.168.3.1中的地址。）192.168.3.0/24
2. 添加为每个 VLAN 提供服务的 DHCP 服务器，并为它们提供自己的子网。
3. 配置 DHCP 服务器以将网关（“路由器”）设置为 EdgeOS 设备。这应该与您在 #1 中指定的 IP 地址相匹配。
4. 如果您希望 VLAN 能够访问路由器的缓存 DNS 服务器，请将 VLAN 添加为 DNS 监听接口。

---

现在，默认情况下，EdgeOS 将在其所有接口之间路由数据包。 您希望在特定情况下阻止此操作，这可以使用 EdgeOS 防火墙来实现。

1. 您要做的第一件事是添加一个规则集，阻止 VLAN（2 和 3？）访问路由器的管理接口。它应该看起来像：

   1. 默认操作：删除
   2. 编辑规则集并将其设置为应用于接口 => 在方向中添加您的 VLAN 接口local。确保您要从中管理路由器的 VLAN 仍然具有访问权限！
   3. 添加规则以接受端口 53 上的 TCP 和 UDP，从而允许 DNS
   4. 添加规则以接受 TCP 和 UDPEstablished状态Related（高级选项卡）

2. 为单向 1 => 3，默认创建一个新规则集Accept。确保对其进行编辑并将其仅应用于 VLAN 1 和 3 接口。现在您需要按顺序添加规则。我建议：

   1. 添加一条规则，Accept从Source 192.168.1.0/24到Destination 192.168.3.0/24。这允许 1 => 3 到发起连 接。
   2. 在状态或中添加一条Accept从Source 192.168.3.0/24到的规则。这允许 TCP 和 UDP 有 3 => 1 个响应（网络是双向的！）。Destination 192.168.1.0/24EstablishedRelated
   3. 添加一条规则，Drop从Source 192.168.3.0/24到Destination 192.168.1.0/24。这是后备方案，拒绝规则 #2 不允许的任何内容，即 3 => 1 无法发起新连接。
3. 您可能还想添加防火墙规则来阻止 VLAN 3 访问互联网。

这里有一些讨论：https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691

如果您不采取任何措施阻止它，那么 1 <=> 2 和 2 <=> 3 应该从一开始就有效。请记住，如果 2 上存在漏洞，那么攻击者就有可能通过 3 => 2 => 1 绕过您的路由器防火墙。

还请记住，此示例设置实际上是默认允许的，并明确阻止 3 => 1 - 但 3 仍然可以访问您设置的任何未来 VLAN。更安全（但稍微复杂）的配置是默认阻止（阻止作为192.168.0.0/16规则集中的最后一条规则）并明确允许 1 <=> 2、2 <=> 3 和 1 => 3。它遵循相同的一般原则；您只需添加明确允许 2 并阻止其余的规则。