Розділення VLAN

This article relies on the following:

This article may contain network configuration that depends on migration to DSA in OpenWrt 21.02

Вступ

Ця інструкція демонструє, як віртуально відокремити один із Ethernet-портів пристрою для використання не в LAN-мережі. Наприклад, ви можете надати цей порт для гостей або для ізольованої зони, у якій буде підключено офісний комп’ютер, відокремлений від домашньої LAN.

Ця інструкція демонструє лише створення додаткового VLAN-комутатора. VLAN, створений у цьому посібнику, потрібно зв’язати з окремим інтерфейсом та окремою зоною фаєрвола в наступних кроках.

Інструкції через веб-інтерфейс

Типова конфігурація

Типова конфігурація в LEDE на домашньому маршрутизаторі з 5 LAN-портами виглядає приблизно так (в Luci: Network - Interfaces - Devices - оберіть інтерфейс - Configure - Bridge VLAN filtering):


VLAN
ID 		Верхній рівень:
HW switch ↔ драйвер eth0 		Нижній рівень:
HW switch ↔ фізичні порти
Local LAN 1 LAN 2 LAN 3 LAN 4 WAN
1 true untagged untagged untagged untagged off
2 true off off off off untagged

Ця стандартна конфігурація містить два VLAN-комутатори:

  1. VLAN ID 1: VLAN-комутатор для 4 LAN-портів (прив’язаний до інтерфейсу LAN)
  2. VLAN ID 2: VLAN-комутатор, прив’язаний до WAN-порту

Змінена конфігурація

Оскільки ми не можемо фізично додати нові порти, ми просто перепризначимо LAN 1, створивши новий віртуальний комутатор:


VLAN
ID 		Верхній рівень:
HW switch ↔ драйвер eth0 		Нижній рівень:
HW switch ↔ фізичні порти
Local LAN 1 LAN 2 LAN 3 LAN 4 WAN
1 true off untagged untagged untagged off
2 true off off off off untagged
3 true untagged off off off off

Зверніть увагу на новий третій рядок і зміну в перетині VLAN 1 і LAN 1. Оновлена конфігурація означає, що тепер у вас є 3 VLAN-комутатори:

  1. VLAN ID 1: для залишених 3 LAN-портів (які залишаються у LAN)
  2. VLAN ID 2: для WAN-порту
  3. VLAN ID 3: новостворений VLAN-комутатор для одного порту LAN 1. Наразі цей порт не має функціональності — його слід призначити новому інтерфейсу (через вкладку «Physical Settings» при створенні інтерфейсу).

Примітки:

  • У цьому прикладі LAN 1 більше не використовується для SSH або LuCI, якщо тільки ви явно не призначите йому наявний LAN-інтерфейс через VLAN eth0.3. (Зазвичай, цей VLAN буде прив’язаний до нового інтерфейсу і нової зони фаєрвола.)
  • Поки хоча б один LAN-порт залишено у VLAN 1, ви матимете доступ до LuCI/SSH через нього. Якщо ви випадково або навмисно вимкнете всі порти у VLAN 1, то у більшості випадків ви ще зможете отримати доступ через Wi-Fi.
  • Номери LAN-портів, які використовуються у веб-інтерфейсі LuCI або у файлах конфігурації (UCI), можуть не відповідати позначенням на корпусі пристрою. У деяких моделях виробники використовують обернений порядок (наприклад, 4=1, 3=2, 2=3, 1=4).
This website uses cookies. By using the website, you agree with storing cookies on your computer. Also you acknowledge that you have read and understand our Privacy Policy. If you do not agree leave the website.More information about cookies
  • Last modified: 2025/06/11 11:58
  • by vazaz