高恪固件进阶指南:多VLAN隔离、全屋漫游扩展与旁路由联动全攻略

前言

在家庭网络配置中,为了使家人网络和客人网络有效隔离,我们需要设置多个 VLAN 网段,并将不同的 SSID 分别绑定在不同的 VLAN 上,以此达到网段间的物理隔离。同时,通过这种配置,不同的网段还可以在多个路由器之间进行漫游扩展,从而实现家里多楼层、无死角的 WiFi 覆盖,让设备在不同楼层、房间移动时依然能稳定漫游,并保持不同用途设备之间的互相隔离。

专家视点:这种方案的核心在于 802.1Q 协议。我们不仅仅是在做覆盖,而是在通过逻辑切分(VLAN)和主干链路(Trunk)技术,构建一个具备企业级安全特性的家庭内网。

组网设备与环境准备

  • 核心设备:1 台 R2S(充当旁路由),2 台路由器(刷上高恪固件)。
  • 角色分配:一台作为主路由(简称 A),另一台作为 AP(简称 B)。
  • 固件建议:不要使用最新版本固件。因为高恪在最新固件中取消了关键的“交换机”管理功能。建议使用 5.2.2.21653 版本,这是目前公认的功能最全、组网最灵活的版本。

一、 主路由 A:新增多 VLAN 网段

按照下图进行设置。注意:所有的 VLAN 绑定接口都必须选用同一个物理接口,例如在本案例中,我统一选用 LAN:4

[此处插入图片:image_15c9c5.png] [此处插入图片:image_15c9c8.png]

由于系统中已有一个默认的内网口网段(LAN),因此我们只需额外增加 2 个 VLAN 段:

  • LAN(默认):用于主力设备,计划用于科学上网。
  • LAN_V20:用于智能家居等不需要科学上网的设备(实现安全隔离)。
  • LAN_V30:用于访客网络。

工程师点评:将所有 VLAN 绑定在 LAN:4 口,本质上是将该口配置成了 Trunk 模式。它像一条高速公路的多条车道,同时承载了不同 VLAN 的标记(Tag)数据。

二、 配置 DHCP 服务器

为了让不同网段的设备能自动获取 IP,需要针对每个接口开启 DHCP 服务。

三、 无线 SSID 与网段的精准绑定

这一步是将虚拟的网段落实到可见的 WiFi 信号上。将无线 SSID 分别绑定在上述 3 个网段上。

设置完成后,主路由 A 上的 VLAN 和 WiFi 状态如下:

  • LAN 网段(IP 段:192.168.10.X,WiFi 名称:Local):绑定科学上网流量。
  • LAN20 网段(IP 段:192.168.20.X,WiFi 名称:Iot):绑定家庭智能设备。
  • LAN30 网段(IP 段:192.168.30.X,WiFi 名称:Guest):绑定客人网络。

到此为止,主路由 A 已经完美实现了不同网络的物理隔离。

四、 AP 路由 B:同步 VLAN 配置

为了让漫游到路由 B 上的设备依然保持网段隔离,我们需要在路由 B 上重复 A 路由的设置,步骤完全一致。

注意有两个关键细节:

  1. 管理 IP 避让:B 上的网关(管理地址)要跟 A 不同,但必须在同一个网段内。例如 A 是 192.168.10.1,则 B 设为 192.168.10.2。
  2. 关闭 DHCP:在路由 B 上,必须关掉所有 DHCP 服务

技术要点分析:AP 节点关闭 DHCP 是为了将 IP 分配权统一交给主路由 A,防止内网出现两个 DHCP 服务器导致设备获取 IP 混乱。

五、 建立主干链路:连接 A 和 B 的 LAN:4 口

注意:必须是 LAN:4 口,其它口不行。因为 A 和 B 的 VLAN 都是绑定在 LAN:4 口上面的。

专家级解析:在网络工程中,这根连接两个 LAN 4 口的网线被称为 Trunk 链路。因为你在步骤一中将 VLAN 20 和 30 绑定在该物理口,这意味着该端口现在能够识别 802.1Q 标签。当主路由 A 的数据通过此口发出时,会自动给 IoT 数据打上 VLAN 20 标签,给访客数据打上 VLAN 30 标签。如果连接其他非绑定端口,由于缺乏标签识别能力,AP 路由 B 将无法区分流量,导致 VLAN 隔离失效。

六、 连接验证

到这一步,就已经完成设置了,已经实现不同多 VLAN 多子网在多个路由器之间的漫游,并且不同设备之间的网络隔离。

专家建议的验证清单:

  • 漫游测试:拿手机连接 WiFi_Iot,从 A 路由房间走到 B 路由房间,观察 IP 是否始终保持在 192.168.20.X 段且网络不中断。
  • 隔离测试:尝试用连接 WiFi_Guest 的手机去 Ping 连接 WiFi_Local 的 NAS 地址(如 192.168.10.10),正常的反馈应该是无法 Ping 通。
  • 覆盖一致性:确保在 B 路由下获取的网关、DNS 均由主路由 A 下发,且属性与 A 端完全一致。

七、 设置 R2S 为旁路由模式

电脑直连 R2S,进入后台设置 LAN 口。将网关和 DNS 指向接口 LAN。

网管技术细节:

  • 静态 IP:将 R2S 的 LAN 口设为静态 IP 192.168.10.3(需在主路由 LAN 网段内且不冲突)。
  • 物理网关指向:R2S 自身的 IPv4 网关必须指向主路由 A 的 IP(192.168.10.1)。
  • DNS 指向:R2S 的 DNS 同样建议指向主路由 A 或公网 DNS(如 223.5.5.5),确保其自身能够正常拉取规则。
  • 防火墙:记得在 R2S(通常是 OpenWrt)中开启“IP 动态伪装”(MSS 锁定),这是旁路由模式下流量顺利回流的关键。

八、 R2S 与主路由物理连接

用网线把 R2S 的 LAN 口连接到主路由 A 的任意普通 LAN 口(非 LAN:4 亦可,只要处于同一个 VLAN1 逻辑下)。

深度解析:由于旁路由 R2S 只需要为默认的 LAN 网段(192.168.10.X)提供加速服务,因此它只需要接入主路由 A 的普通物理网口(这些网口默认属于 VLAN 1)。千万不要接在 LAN:4 口上,除非你对 R2S 也进行了 VLAN 划分,否则会导致 R2S 无法识别 Trunk 链路上的标记数据。

九、 修改主路由 A 的 DHCP 指向

这是实现“按需加速”的关键。进入主路由 A 的 LAN 接口设置,将 DHCP 的网关和 DNS 服务改成 R2S 的地址(本案中为 192.168.10.3)。

专业级操作:通过修改 DHCP 下发的网关地址,我们实现了流量的“逻辑重定向”。当新设备连接到 WiFi_Local 时,主路由 A 会告诉它:“你的网关是 192.168.10.3(R2S)”。于是,主网流量会先跳到 R2S 进行处理,再由 R2S 发送回主路由 A 出站。

注意:仅修改 LAN 接口的 DHCP,保持 LAN_V20 和 LAN_V30 的网关仍指向主路由自己(192.168.20.1 和 192.168.30.1),这样就实现了旁路由只影响特定网段的效果。

十、 最终验证

全部设置完成!现在,客人网络和家庭网络完全分开,且支持不同路由间的无缝漫游。连接 WiFi_Local(LAN 网段)的设备可以享受科学上网,而其他网段设备保持直连,稳定互不干扰。

十一、 进阶知识:为什么“交换机”功能必不可少?

前文提到为什么不用高恪最新固件,核心原因就在于最新固件取消了“交换机”管理功能。

在目前的组网情况下,如果你有 PC 等有线设备插在 A 或 B 的普通 LAN 口,它默认获取的是 VLAN1(192.168.10.X)的地址。如果有线设备也想加入其他网段(如 VLAN20)该怎么办? 这就需要用到“交换机”功能。

在 VLAN 的技术标准中,数据包是带着“标签”传输的。要理解具体操作,必须先搞清楚 已标记(Tagged)未标记(Untagged) 和 关闭(Off) 这三个核心动作的含义:

1. 核心术语科普

  • 已标记 (Tagged / 已标记):数据包通过该端口时,保留其 VLAN 标签。用于“路由与路由”或“路由与交换机”之间的连接。在您的设置中(如 image_4b4336.png),端口 4 针对 VLAN 20 和 30 都设为“已标记”。
  • 未标记 (Untagged / 未标记):数据包进入网口时,路由器帮它打上标签;数据包离开网口发给电脑时,路由器把标签撕掉。用于连接普通的电脑、电视等“非 VLAN 识别设备”。
  • 关闭 (Off / 关闭):该端口不属于该 VLAN,任何属于该 VLAN 的数据都不准从此口进出。

2. 实战场景:如何让有线 PC 加入 VLAN 20?

先看现在的交换机里面的设置情况:VLAN20、VLAN30对应的端口4 状态是:已标记。

假如我们想让插入 端口 3 的有线设备获取 VLAN20 的网络(192.168.20.X),你应该按下图所示进行配置:

  • 第一步:将 VLAN 1 在端口 3 设为“关闭”。每一个物理网口只能拥有一个“未标记(U)”身份。为了防止冲突,必须先切断它与默认 VLAN 1 的联系。
  • 第二步:将 VLAN 20 在端口 3 设为“未标记”。当 PC 包进入端口 3 时,路由器自动贴上“VLAN 20”标签。当数据回传时,路由器剥离标签,PC 就能正常通信。

专业原则:每个物理端口可以“已标记”多个 VLAN(用于 Trunk,如端口 4),但每个物理端口只能“未标记”一个 VLAN(用于 Access 接入,如端口 3)。

这样,当你将网线插入端口 3 时,该口就成了 VLAN20 的专用口。

十二、 深度问答:关于 VLAN 标记的进阶思考

1. 为什么原设置中,VLAN 1 的端口 4 是“未标记”也能正常通信?

这涉及到 Native VLAN(本征 VLAN) 的机制。

  • 逻辑:在一个 Trunk 链路(如端口 4)上,可以有一个 VLAN 是不打标签传输的。主路由 A 发出不打标的包,AP 路由 B 收到后,默认将其归为自己的默认网段(VLAN 1)。
  • 好处:这种设置增加了兼容性。如果你在端口 4 上临时插一个不懂 VLAN 的普通电脑,它依然能直接连上 VLAN 1 上网。

2. 能不能把 VLAN 1 的端口 4 也改为“已标记”?

完全可以,而且这在专业组网中更严谨。

  • 操作:你需要同时将主路由 A 和 AP 路由 B 的端口 4 在 VLAN 1 下都修改为“已标记”。
  • 意义:这样全屋所有网段的数据在网线里传输时都带有明确的 ID,消除了逻辑误判的可能,安全性更高。
  • 代价:修改后,端口 4 将彻底失去对普通 PC 的直接兼容性。

工程师推荐参考

  • 用最野的路子教你布局家庭网络@第二期 —— 通过 VLAN 实现单网口软路由网口复用。
  • OpenWrt 实现多 VLAN 多子网在多个路由器之间的扩展 —— 实现全域不同设备之间的网络隔离,护航网络安全和个人隐私安全。

教程完毕!

关于“交换机” 更专业更详细的教程参考下面2个:

1:用最野的路子教你布局家庭网络@第二期——通过VLAN实现单网口软路由网口复用

2:openwrt实现多VLAN多子网在多个路由器之间的扩展,实现全域不同设备之间的网络隔离,护航网络安全和个人隐私安全

留下评论

您的邮箱地址不会被公开。 必填项已用 * 标注

相关文章