最近对家里的网络设备做了一次升级,更新了Unifi全家桶(Unifi Dream Machine Pro、Unifi FlexHD、Unifi IW-HD),给台式机装了一张双光口万兆网卡,搭配上之前的QNAP的NAS和万兆交换机,也算是组成了万兆内网。在折腾的过程中参考了很多大神们的配置建议,给家庭网络做了VLAN的划分布局,今天就给大家介绍下为什么要划分VLAN以及在Unifi的设备上如何划分VLAN
为什么要划分VLAN
过去好多年时间我一直都是没有划分VLAN的,相信对于大多数家庭而言,甚至连支持划分VLAN的交换机都没有,那划分VLAN的意义到底在哪里,结合这些天的摸索,我总结了以下几点:
1.划分广播域:通常来说一个局域网内所有的机器都在一个广播域内,在一个交换机下,所有的设备在发送消息时,都是广播给所有局域网内的机器的,再由这些机器进行过滤筛选自己需要的数据,显然,当局域网内的机器比较多时,广播占据的交换带宽变高,用户带宽自然就变小了,因此通过划分VLAN可以把广播域划分开来,节省带宽,提升网络处理能力。
2.增强安全性:不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,必须通过路由器进行。目前家庭环境下接入网络的设备越来越多,其中相当一部分是常年不更新的智能家居设备,这些设备极易受到攻击,一旦发生问题,如果和家里的NAS等重要设备在一个域内,就有可能产生安全风险,因此给这些设备划分单独的VLAN很有必要。有的人会给访客单独划分VLAN,也可以避免访客访问家庭的核心数据。
3.单线复用:有的家庭弱电箱到电视只有一根网线,但是同时需要看IPTV和连网,通过VLAN可以方便的实现单线服用,两边都使用支持VLAN的交换机,通过这跟网线TRUNK,即可实现一根网线同时传输IPTV和互联网服务,互不干扰。
4.按需科学上网:这个估计是我的特别需求,我家并没有在主路由上直接部署科学上网服务(UDM-PRO也不支持),我在局域网内单独有一台机器部署了旁路的科学上网服务,但是如果直接在DHCP设置网关和DNS,这会导致所有机器都会通过旁路上网,如果不通过DHCP这又导致需要科学上网的机器要手动设置IP、网关和DNS。通过划分VLAN,可以给不同的VLAN开启不同的DHCP服务,把VLAN绑定到SSID后,即可实现家里多SSID,需要科学上网时只需要切换连接的wifi即可。
在Unifi网络中如何设置VLAN
Unifi的VLAN设置和传统交换机略有差异,感觉把二层和三层的应用做了一层打包整合,对于用户来说显得非常方便,下面介绍下步骤:
创建网络
在Unifi控制器的设置–网络中,可以很方便的创建网络,如上图所示,我们根据需要创建了一个给智能家居使用的VLAN网络,Vlan ID为10,并且为这个网络设置了 192.168.20.1/24的网段,在这个网段内设置了 192.168.20.6-192.168.20.254 的DHCP服务器,当然,在这一步中,如果需要实现刚才介绍中的按需科学上网,那么可以在这一步中DHCP域名服务器和DHCP网关IP的地址,把网关IP和DNS设置为你的旁路科学上网设备的IP,即可实现连接这个VLAN就自动使用旁路设备进行上网的需求。
完成网络创建后,在设置–配置管理–交换机端口中,即可看到刚才创建的网络配置
绑定VLAN到SSID
这一步非常简单,在设置–无线网络中,创建一个无线网络,其他配置按需设置即可,只需要注意上图中箭头所指的地方,在VLAN中勾选“使用VLAN”,并填入刚才在网络中设置的Vlan ID即可。
绑定VLAN到交换机端口
针对有线网络如果需要绑定VLAN的话,也非常方便,只需要在设备中找到你的交换机,在端口中,选择你需要配置VLAN的端口,点击“编辑”后,在“交换机端口配置”中选择你创建好的网络配置即可。
测试效果
重复上述的步骤后,即可完成所有VLAN的创建,根据不同的SSID或者端口连接相应的设备后,在客户端中即可验证效果,可以看到所有的智能家居设备都连接在了iot网络上,并分配到了192.168.20开头的网段地址,其他设备则连接在了normal的常规网络上,并分配到了192.168.10开头的地址,VLAN之间测试并不能互通,完美实现了上述的1-4的需求。
Unifi的全家桶还有很多值得分享的内容,后续会专门抽空给大家做个介绍。