目标:我的目标是创建 2 个 VLAN,1 个用于主网络,1 个用于家庭 IP 摄像头。这两个 VLAN 需要分开,并且不同 VLAN 上的设备不应以任何方式相互联系。
我的第一个想法是使用具有 VLAN 功能的交换机,下图代表网络:
互联网 - 路由器 - 交换机 - 2 个 VLAN
到目前为止一切都还好。但是有了这些设置,VLAN1 上的设备就可以到达另一个 VLAN 上的设备,因为数据包会经过路由器,对吗?
问题:如何才能完全分离两个 VLAN 之间的流量,同时保持对摄像机 VLAN 的远程访问?路由器上的某些 ACL 是否禁止两个 VLAN 之间的流量?如果是,我是否把事情搞得太复杂了?
我可能遗漏了很多方面,我对这个话题真的很陌生。谢谢!
答案1
如何才能完全分离两个 VLAN 之间的流量,同时保持对摄像机 VLAN 的远程访问?路由器上的某些 ACL 是否禁止两个 VLAN 之间的流量?如果是,我是否把事情搞得太复杂了?
简短回答:这是正确的设置方法。您的路由器应该允许您设置规则,规定主 VLAN 上的哪些主机可以连接到摄像头 VLAN。这取决于路由器/软件 - 大多数消费级路由器不具备此功能,但大多数专业级(dd-wrt、openwrt)和专业路由器软件(pfSense 等)都具备此功能。您还需要一个能够运行多个 VLAN 的交换机。同样,大多数消费级交换机不具备此功能,但大多数专业级或企业级交换机具备此功能。