请在此处查看我的网络设置的图示:
我想确保连接到这三个设备WiFi 网络彼此之间是完全隔离的。
理想情况下,应该有三个不同的子网,每个子网都有自己的 DHCP 服务器。每个子网都应分配给其中一个 WiFi 网络。连接到该 WiFi 的设备应该只从该子网获取 IP,并且它们应该只能与同一子网中的设备通信。所有三个子网都应该能够访问路由器上可用的负载平衡互联网连接。
有些设备直接使用以太网电缆连接到交换机。根据它们连接到哪个端口,它们应该是三个网络之一的一部分。
我知道需要使用 VLAN。我知道需要创建多个子网和 DHCP 服务器。但我不确定如何配置所有这些内容。有三类不同的设备:
- pfSense 路由器。
- 可通过网络管理的智能交换机。
- Unifi 控制器管理 Unifi AP。
有人能给我提供一些基本指导,告诉我在每台设备上应该做什么才能实现我想要的效果吗?谢谢!
答案1
首先为每个子网选择一个 VLAN ID。您现有的“LAN”子网是 VLAN 1,新子网需要在 2–4095 范围内。
可通过网络管理的智能交换机。
交换机制造商和固件类型之间差异很大。
一般来说,路由器和 AP 端口的所有 VLAN 都必须以“标记”形式分配(现有管理 LAN 除外,其仍为“未标记”)。
有些交换机首先要求您将多 VLAN 端口设置为“常规”或“混合”模式(而不是默认的“访问”),然后才能开始添加标记的 VLAN。
确保每个端口只有一个未标记的 VLAN(并非所有交换机都禁止这样做),并确保每个端口的“PVID”(如果是单独的设置)与未标记的 VLAN 的 ID 相匹配。
pfSense 路由器。
在下面接口 → 分配 → VLAN,首先为 pfSense 交换机端口上的每个标记 VLAN 创建一个虚拟 VLAN 端口。
剩下的就是确切地就像您有多个实际以太网端口一样:
- 总的来说接口分配选项卡,将虚拟端口分配给 pfSense 接口。
- 通过接口菜单,在每个接口上配置名称和 IP 地址(例如 IoT VLAN 为 192.168.3.1/24,PC VLAN 为 192.168.4.1/24)。
- 在服务,为每个接口启用 DHCP 和 IPv6 路由器通告。
- 在防火墙 → 规则,指定允许从每个接口进行哪些通信。您可能需要两条规则:1) 拒绝访问 192.168.0.0/16,2) 允许其他所有内容。
Unifi 控制器管理 Unifi AP。
打开网站的设置页面(齿轮图标)。在无线网络,创建所需的 SSID。配置网络 (SSID) 时,您会在高级选项。
(我不知道为什么 UniFi 将其限制为 4009。)
由于 AP 只是桥梁,它们不需要每个 VLAN 的 IP 地址,因此无需为此进行任何配置。
不要创建太多的 SSID。(另外,可能还需要返回到您的交换机并仔细检查 AP 端口是否确实标记为每个所需 VLAN 的成员,以防万一。)
答案2
您可以通过编辑文件 /etc/resolv.conf 将 DNS 服务器添加到 Linux 机器。添加名称服务器 xxxx,其中 xxxx 是 Linux 机器可访问的 DNS 服务器。如果您正在讨论无线网络的配置,您可能需要参考设备用户手册。