物联网独立子网：建议和反馈

我读到的所有内容都表明 VLAN 设置需要管理型交换机

是的，但这不是唯一的事情。

“托管”只是意味着它具有某种配置界面，“非托管”则没有。因此，非托管交换机无法进行 VLAN 设置，因为没有办法对其进行配置。如果交换机有设置屏幕（甚至有串行端口），那就根据定义使其成为一个可管理的。

然而，相反的情况并不总是正确的——“托管”并不意味着具有 VLAN 支持。如今，大多数托管交换机都支持 802.1Q VLAN 标记，但这并不能 100% 保证。（2000 年代早期的旧交换机通常会省略此功能；它们仍然是“托管”的，因为您可以配置其他事物……只是不是 VLAN。）

作为一个快速实验，我在家里设置了一个 VLAN，但无法访问或 ping 该子网上的设备，因此看起来确实需要管理型交换机（但如果它应该与非管理型交换机一起使用，那么我很可能做错了什么）。

有两个因素可使交换机完全具备 VLAN 功能：

• 有能力携带VLAN 标记流量按原样传输。大多数交换机（甚至是非托管交换机）都可以很好地完成此操作（唯一的要求是 MTU 限制略高）。

• 有能力添加/删除VLAN 标签，或者指定哪些端口可以接收哪些 VLAN。这是由您配置的，因此根据定义，它需要托管设备。（但不一定是交换机：许多路由器也可以标记/取消标记 VLAN，Linux/BSD 系统也可以。）

因此，如果您有两个具有 VLAN 配置的设备（无论是两个托管交换机，还是路由器和 WiFi AP），那么直接连接它们还是通过较新的非托管交换机连接它们都不重要：所有 VLAN 标签都会按原样通过。

再次，什么是非管理型交换机不能要做的是添加/删除 VLAN 标签，或指定哪些端口可以接收哪些 VLAN。非托管交换机上的所有端口都是等效的。因此，在任何不同端口需要不同 VLAN 权限的地方都需要托管交换机。

但实际上，如果您的所有 IoT 设备都是无线的，而唯一的有线设备是 a) LAN 设备和 b) 多 SSID（支持 VLAN）Wi-Fi 接入点，那么大多数情况下，您只需使用非托管交换机即可。这是因为 Wi-Fi 接入点本身将强制执行 VLAN 标记（它们必须这样做），而 PC 只会忽略标记的数据包。

（大多数情况下，带有英特尔以太网卡的 Windows PC 会将标记的数据包视为未标记的数据包。这在尝试在标记的 VLAN 上部署 IPv6 时会导致问题。）

但我的问题是关于无线路由器的。我使用的是华硕的网状设置，但我没有在他们的文档中看到任何指示托管或非托管的内容，所以我假设这意味着它们是非托管的

它们可能只是接入点，而不是路由器。（“无线路由器”这个名称最初是指有线路由器，还具有 Wi-Fi 接入点功能。）

它们是托管设备，因为它们提供了一些更改 Wi-Fi 设置的方法（例如更改 SSID 或 PSK）。但再次强调，“托管”并不意味着“支持 VLAN”，从快速搜索来看，华硕 AiMesh 设备不要完全支持 VLAN。（您仍然可以将它们全部放在一个 VLAN 中，它们的工作方式与往常一样……但您不能拥有具有不同 VLAN 的多个 SSID。）

---

因此，总而言之，如果你想要将 Wi-Fi PC 和 Wi-Fi IoT 设备分开，你需要至少需要：

a) 一组具有 VLAN 标记和多 SSID 功能的 Wi-Fi 接入点（它们将自行强制分离），或

b) 两组“正常”（非 VLAN）Wi-Fi 接入点，每个 SSID 一个，和具有 VLAN 功能的托管交换机，用于在 Wi-Fi AP 连接的所有地方强制执行 VLAN 分离。

在我看来，选项 a) 会更干净。