首先,感謝您能夠在這裡提出我的問題。我很高興很快就能搬進我自己的第一個 4 堵牆,並且覺得現在是解決網路安全和隔離問題的最佳時機。像往常一樣,從一開始就做可能是最好也是最簡單的。
到目前為止我檢查過的資源:
我檢查了其他資源,例如線上課程,但它們沒有產生任何快速總結的結果。
設定和問題:
我的公寓裡會有幾個物聯網設備 - 飛利浦 Hue 燈泡、Raspberry Pi [可能連接乙太網路]、智慧插座、亞馬遜 Fire 電視棒等 [這些都將透過無線連接],以及兩台筆記型電腦 [也無線],並且在未來的某個時候,可能會使用家庭伺服器來儲存正在分析的圖片、電影或大數據[如果可能的話,透過乙太網路]。
我想做的是將筆記型電腦放在自己單獨的VLAN 上,物聯網設備放在另一台上,伺服器放在另一台上,可能會將Raspberry Pi 放在第四台上- 它將用於控制流量。
出於安全考慮,我想這樣做,特別是對於物聯網設備。因此,我需要正確配置我的防火牆 - 任何資源,尤其是這方面的資源,都將受到高度讚賞。
我想透過這個問題尋找什麼
我正在尋找兩件事:
- 我希望在一台設備中擁有路由器、交換器和數據機(以及無線接入點) - 我將使用的路由器。是否有(價格合理的設備)能夠以無線方式設定 VLAN?大多數現代路由器一般都支援這一點嗎?
- 如何從產品規格中讀出設備是否能夠執行此操作?需要支援哪些標準? 802.1Q?
附加問題
- 據我所知,大多數物聯網設備都在本地進行通訊 - 這是真的嗎?換句話說,如果我想關閉智慧插座,我是否必須在同一個網路上(我自己嘗試過,但我還沒有這些設備...)
- 防火牆將具有簡單的規則:即IotDevice.VLAN - 不允許發起出站連線。
不過如果有些VLAN可以這樣做就完美了。例如,privateLaptop.VLAN 應該能夠連接到 storageServer.VLAN 和 raspberryPi.VLAN。在這種情況下,是否建議簡單地放棄 VLAN 的想法並考慮實施防火牆規則?或者 VLAN 與防火牆規則一起使用是更好的主意嗎?
我願意在路由器上安裝自訂固件,如果這樣做可以幫助我實現這些目標。
我也非常感謝我可以用來閱讀該主題的任何其他資源。
謝謝!
PS:這就是我想像的網路: 
答案1
我將描述您在家中進行此類設定的一般硬體選項。進入詳細配置最好留給更具體的問題甚至聊天,特別是因為它會根據您選擇的硬體而有所不同。
關於速度的一些注意事項
我也有點忽略整體網路吞吐量。通常,您應該在一個 VLAN 內實現全交換器速度。跨 VLAN 您將受到路由器的限制(取決於路由器 CPU 和硬體卸載)。對於互聯網,您將再次受到路由器的限制(CPU 和卸載,這次包括 NAT)。對於 100 美元以下的路由器,透過 NAT 存取互聯網的速度限制在 100-300Mbps 左右並不罕見。如果您有更快的互聯網連接,您將需要更強大的硬體。
產品類型
- VLAN 在商業/企業網路設備中相當標準。雖然這些設備通常是單獨的設備,而不是全部整合在一個盒子中,但它們通常可以滿足您的需求。最好的選擇不僅是查看規格表,還要查看手冊以了解可用的配置選項。
- 消費性設備的客製化韌體通常也支援 VLAN,但可能缺乏,這通常取決於您刷新的硬體。當然,通常需要注意的是,自訂韌體不支援並且可能不穩定。您需要做大量研究、閱讀開發筆記和論壇主題,才能找到合適的快閃硬體。
- 純軟體路由通常可以工作,但配置可能很困難,具體取決於您刷新的韌體。
- 該開關可能工作也可能不工作,具體取決於硬體。一些消費者路由器將每個連接埠單獨暴露給軟體(因此您可以在軟體中看到 eth0 到 eth4),從而允許您應用基於連接埠的 VLAN 標記。其他人將使用硬體交換器(因此您可能會看到 WAN 連接埠為 eth0,所有 LAN 連接埠為聚合 eth1),這意味著您無法區分自訂韌體中的端口,並且需要一個單獨的(託管)交換器來應用在到達路由器之前標記。
- 無線功能同樣因硬體而異,範圍從不穩定到穩定但不支援虛擬 AP 到穩定且支援虛擬 AP(和 VLAN 標記)。
- 任何內建調變解調器功能可能無法運作。這是假設您沒有單獨的調製解調器。
- 您幾乎可以忘記庫存韌體中支援 VLAN 的消費者路由器。少數這樣做的人會讓你的生活變得一團糟,並且很可能不支援你所設想的高級設定(我見過的最好的設定是在有時讓你將連接埠「分組」到VLAN 中的Billion 設備上)。
- 一種(更複雜的)選擇是建造自己的盒子。可以購買具有多個 NIC 的 x86 或 ARM 迷你伺服器(類似於 NUC),然後您可以載入路由器作業系統(例如 pfSense;您甚至可以使用普通 Linux 來執行此操作)並進行設定。您還可以在標準 ATX PC 中安裝多個 NIC,添加 WLAN 卡等。這篇《編碼恐怖》部落格文章是一個很好的起點。
我將按照複雜性逐漸增加的順序介紹幾個案例。
具有獨立網路設備的有線網絡
就 VLAN 網路而言,這是相當簡單的。
你需要:
- 路由器。一個合適的路由器,而不僅僅是消費者網關。您正在尋找商業/企業設備或客製化韌體。它需要支援 VLAN、VLAN 之間的路由以及通往開放網際網路的 NAT 閘道。
- 託管交換機,允許您為連接埠指派 VLAN(標記)。雖然您確實需要 802.1Q 支持,但您還必須有管理介面!小心“智慧開關「 - 大多數都可以,但例如 TP-Link 的簡單的智慧開關係列沒有 Web UI,需要 Windows 程式來控制它們。
這相當簡單。您可以在訊框進入交換器時對其進行標記,從而防止 VLAN 之間直接通訊。然後,您可以在 VLAN 之間進行路由(就好像它們是完全獨立的網路一樣 - 您的路由器可能會將它們顯示為獨立的(虛擬)介面)。您可以根據您的路由器設定防火牆規則,僅允許特定 VLAN 存取互聯網,並且僅允許一個 VLAN 發起與另一個 VLAN 的連線(即單向)。
順便說一句,不要忘記阻止 VLAN 存取您的網路設備的管理介面!
具有獨立網路設備的無線網絡
您在有線網路中添加什麼才能使其成為無線網路?無線接入點!不幸的是,這對於家庭使用來說是一個有點模糊的要求,因此您必須堅持使用商用設備 - 或瀏覽手冊和論壇帖子。客製化韌體可以也在這裡工作。
還有一個窮人的解決方案,即擁有物理上獨立的 AP,它們只需連接到交換機上的不同端口,並讓交換機處理標記。
對於支援 VLAN 標記的 AP,最簡單的方法是按網路 (SSID) 進行標記。在一個 AP 上擁有多個無線網路的能力有時稱為虛擬存取點。
單一網路裝置中的有線網絡
有一些具有多個連接埠的商業/企業路由器可以充當偽交換器(透過橋接)。自訂韌體也可以工作,但需要注意上述問題(您的硬體需要將連接埠作為獨立的 NIC 公開給軟體)。如果您有許多有線設備,您可能還需要新增額外的託管交換器。
單一裝置中的無線網路
我不知道有任何商業/企業路由器也整合了存取點,因此您只能使用消費性硬體。使用定制韌體可以實現這樣的設定。尋找與定制固件配合使用的硬件每一個立即發揮作用可能會很困難。
快速推薦
我建議您考慮多設備 Ubiquiti Unifi 系列,以獲得一些簡單、設置相對簡單且可靠的東西。當然,這不是最便宜的選擇。但是,它確實允許您從一個中心位置管理多台設備。
如果做不到這一點,您可以考慮手動多設備設定。例如,我正在運行(作為可靠/便宜的中間平台)Ubiquiti ER-X(非 Unifi)路由器、TP-Link 託管交換器(“智慧交換器”、不是「Easy Smart Switch」)和 Unifi AP,全部獨立管理。更便宜,但更複雜一些。
最便宜的選擇是搭配消費性設備並使用客製化韌體進行快閃記憶體。 dd-wrt 和 OpenWrt 都是選項,這個做讓您實現單設備目標,但也是最繁瑣且可能最容易失敗的方法。再次請記住獨立網路卡的要求,以及如果缺少連接埠則可能需要額外的交換器。