家庭网络vlan间通信问题

暗影翔

家庭网络升级，更换了宿主机，宿主系统，升级了交换机。
原来的网吧垃圾交换机，随便弄了一下vlan隔离，现在换了某为的s1720，想试试如何跨vlan通信。
先上家庭网络拓扑

vlan设置在线上标注了。主路由是op x86，备路由是小米wr30u，考虑的是万一调整pve虚拟机宿主或者升级op等，家庭网络不会断，主备路由通过HA配置。
主备路由的wan口和光猫的lan设置vlan 2，主备路由的lan口和其他内网设置vlan 1，已经实现了vlan1、2互相无法通信，现在家庭内网设备无法登录光猫页面，想调整光猫需要单独连接光猫的其他lan。
现在想跨vlan通信，看了这个页面：
https://blog.csdn.net/mengmeng_921/article/details/130949094
但是无法实现，想问问泥潭大佬。
补充一个网络贴图

ambivalence

不懂你们这些家里面一共没几个设备还要起多个vlan的，最简单的做法就是网关三层接口全部起在同一台设备上

ork

主路由上op系统里增加个网络接口，物理接口是vlan2，上网方式选dhcp。

killyu

确实不懂为啥要折腾vlan，一般家用要用到vlan也就因为布线问题要单线复用给机顶盒和路由拨号啥的，很少人用到网络隔离，lz用到了又想互通，实际上就是要有一个路由器同时接入多个vlan做路由转发

—— 来自 Xiaomi 22081212C, Android 13上的 S1Next-鹅版 v2.5.2-play

阴摩罗鬼之眼

你把你的1720换成5720,然后每个VLAN 启VLANIF
你的1720一个纯2层交换机怎么做VLAN间通信

暗影翔

ork 发表于 2024-1-14 22:04
主路由上op系统里增加个网络&# ...

没搞明白，请详述方法

暗影翔

ambivalence 发表于 2024-1-14 21:18
不懂你们这些家里面一共没几个设备还要起多个vlan的，最简单的做法就是网关三层接口全部起在同一台设备上 ...

隔离wan端和lan端，wan端只有ar1和ar2的wan口、光猫的lan口

ork

我这个是硬路由刷的op，你的虚拟机op自己看着改一下

不要叫水狗做主人

要在openwrt的防火墙给不同vlan分配不同的防火墙区域，然后把被访问的区域加入到需要访问区域的forward里面

不要叫水狗做主人

killyu 发表于 2024-1-14 22:29
确实不懂为啥要折腾vlan，一般家用要用到vlan也就因为布线问题要单线复用给机顶盒和路由拨号啥的，很少人用 ...

一个vlan分配给wan,一个给iptv,一个给lan,一个给智能家居

Saker_bobo

你想要达成的LAN口直接访问光猫并不需要调vlan 保证IP网段不重复的情况下 在主副路由器新建个DHCP客户端的接口 绑定设备为WAN口

ambivalence

暗影翔 发表于 2024-1-14 22:43
隔离wan端和lan端，wan端只有ar1和ar2的wan口、光猫的lan口

呃,让我现实一点说,你这一点意义都没有
如果你只是想管理光猫的话,光猫起个vlan1的子地址接到vlan1上,用这个地址去管理就行了

HSJ1992

"考虑的是万一调整pve虚拟机宿主或者升级op等，家庭网络不会断，主备路由通过HA配置。"
那你把它作为旁路网关整静态路由不就好了？OP不可达的时候直接静态路由就失效，不影响与主路由的通信。
vlan在家庭网络里除了IPTV这种需求外都没有什么用它的意义。

ls2021

假如openwrt的路由器有个网口是eth0，你把交换机的trunk口接这个网口，openwrt里添加eth0.1和eth0.2就分别对应vlan1和vlan2
不过话说你交换机有vlan吗？看不出来

jie2000

真心建议想要在家里折腾vlan的人去学一下hcia，这个拓扑看着不知道从何吐槽

阴摩罗鬼之眼

暗影翔 发表于 2024-1-14 22:43
隔离wan端和lan端，wan端只有ar1和ar2的wan口、光猫的lan口

wan/lan 隔离又不是靠的 vlan，靠的是 nat 和防火墙啊

—— 来自 OPPO PHN110, Android 14上的 S1Next-鹅版 v2.5.4

superlattice

1720纯二层啊

拓扑看的很怪，vlan2是wan侧，vlan1是lan侧，那小米硬路由和op软路由vrrp浮动地址不就行了

op连光猫的话，我菊花ma5671管理地址192.168.100.1，算是untag，两个路由器wan口新建个别名（@wan），选固定地址设192.168.100.2，就能访问了，别的光猫应该也差不多

糊状物

一般家庭用, 不是出租屋房东不需要搞vlan隔离, 非要搞vlan就在三层交换机或路由器上搞vlan间通讯(很吃路由器性能) .

NOIP117

三层交换机直接起svi接口
二层交换机通过路由器做单臂路由
你这个17是个二层交换机，把网关起在路由器上，再打dot1q标签就可以

raimouse

楼友说的挺对的，闲得无聊家庭网都想搞vlan的，学个hcia吧，自学顶天5天就看完了。

暗影翔

我在交换机里看到了这个选项，是不是可以理解为这个交换机可以跨vlan通信
——————————————————————————
既然上面这么多大佬都推荐我去学下hcia，我就抽空去学一下吧，利用宝贵的睡眠时间。**工作

404489039

就这点设备脱了裤子放屁

暗影翔

ork 发表于 2024-1-14 22:44
我这个是硬路由刷的op，你的& ...

搞定了，lean的lede好像无法通过luci界面设定vlan，只能直接编辑配置文件。
我现在就是按照你的方法，打开光猫的dhcp，这样新加的man口就可以正常获取到与光猫同网段的ip了，否则只能获取到与lan侧同网段的ip
————————————————————————
另外，如果不在交换机上设置vlan隔离，只要在网卡配置里增加多个ip地址，多个网关，比如光猫是1.1，其余是0.1，那么也可以访问到光猫。

raimouse

暗影翔 发表于 2024-1-16 23:25
我在交换机里看到了这个选项，是不是可以理解为这个交换机可以跨vlan通信
——————————————— ...

他这不是说的很清楚了么，交换模式2层互通，三层隔离。
你要跨VLAN通信要切路由模式，就是不知道是用VLANIF实现还是单臂路由了。

暗影翔

raimouse 发表于 2024-1-17 21:25
他这不是说的很清楚了么，交换模式2层互通，三层隔离。
你要跨VLAN通信要切路由模式，就是不知道是用VLAN ...

是的。但是上面有个大佬说的s1700是二层的，要三层需要上s5700。
我决定试一下。

raimouse

暗影翔 发表于 2024-1-17 21:53
是的。但是上面有个大佬说的s1700是二层的，要三层需要上s5700。
我决定试一下。 ...

不需要s5700，那是真真正正商用的，起步都是24口吧没记错的话。
我看了下京东的页面像S1720-10GW-2P已经是三层交换机了，只不过三层功能不算全罢了
反正都有web网管了，上去看看有啥功能就完事了
单臂路由也不难搞

暗影翔

raimouse 发表于 2024-1-17 22:05
不需要s5700，那是真真正正商用的，起步都是24口吧没记错的话。
我看了下京东的页面像S1720-10GW-2P已经 ...

目前不知道路由下一跳的地址，填192.168.0.253、192.168.1.1都提示错误

ashunicorn

学学HCIA的教材，拿个ENSP什么的做做实验就行了真的

阴摩罗鬼之眼

我觉得LZ没搞清VLAN用来做啥的
1，你这个玩意的居然是核心连光猫，这怎么可能的.....
2，按照你的伪需求的做法我画个拓扑图，我把设备网络和业务网段分开

于是你可以大概这样配置
起一个启一个VLAN1,VLAN2,VLAN3(如果你需要把无线网络的用户也单独分配一个用户)
然后再启动
interface Vlan-interface1
ip address 192.168.1.254 255.255.255.0
#这个就当作你的设备网段


interface Vlan-interface2
ip address 192.168.2.254 255.255.255.0
#这个当作的业务网段
interface Vlan-interface3
ip address 192.168.3.254 255.255.255.0
#这个当作你的无线设备的网段


然后配一个静态路由，指向你的防火墙/路由器，假定你的路由器的IP是192.168.1.253，那么就这样写
ip route-static 0.0.0.0 0.0.0.0 192.168.1.253

路由器上的静态路由表也要包含192.168.1.0/24,192.168.2.0/24,192.168.3.0/24 (也可以只把需要上网的网段放上去),然后下一跳指向你的交换机（交换机地址就写VLAN IF 1的地址把，192.168.1.254）



类似这样

这里要注意的地方，防火墙和交换机连接的口子只要access口就行了，你的PC1.PC2连接核心交换机也是使用access口
只有你的AP需要使用和交换机连接的是trunk口，你的PVE如果管理口和业务混合着跑，那么那个口子也需要trunk


然后这样就完了

你要控制跨网段之间互访，在上面这个拓扑，只能在交换机写ACL了，因为交换机做了VLAN 路由，而且还是起了3层

如果你需要使用防火墙控制网络间互访，那么就不能用5720启动3层（不需要vlan if）
配置还能简单点

阴摩罗鬼之眼

如果你使用一个纯粹2层交换机和防火墙相连，又需要划分不同的网段
那么你的路由器/防火墙就需要支持vlan
比如下面这张图

这个设备就是把VLAN IF启在了防火墙里面，来保证不同网段之间通信
当然这里所有的前提，你的路由要能写静态路由表

暗影翔

看了各位大佬的回复，果然我的知识不支持我太多的想法，我还是去看看hcia的课程吧，谢谢

流水不腐

借楼问一下，所谓的IPTV单线复用，是不是相当于把网口设置为trunk，在同一链路传播两个vlan？

—— 来自 vivo V1981A, Android 12上的 S1Next-鹅版 v2.5.4

phorcys02

你访问光猫要啥vlan通信啊

前面楼友不是说的很明白了么openwrt 添加一个wan设备，dhcp 接受光猫分配的ip，zone划给WAN
这不就自动nat转发了么

leafleaf

网络这东西纯凭感觉捣鼓容易走火入魔。。。

—— 来自 S1Fun

暗影翔

phorcys02 发表于 2024-1-19 18:36
你访问光猫要啥vlan通信啊

前面楼友不是说的很明白了么openwrt 添加一个wan设备，dhcp 接受光猫分配的ip， ...

现在新的问题出现了，某个手机一直获取光猫分配的ip，导致无法上网。其他手机都正常获取路由器的分配的ip。
只好手动设置这个有问题的手机ip地址。

jie2000

流水不腐 发表于 2024-1-19 17:52
借楼问一下，所谓的IPTV单线复用，是不是相当于把网口设置为trunk，在同一链路传播两个vlan？

—— 来自 v ...

看哪种，路由拨号然后用updproxy的不是，透传给机顶盒拨号的是

blackeyed

你如果设备全部都是自己的, 没有安全性问题……

只是单纯想隔离…… 那为什么不直接划分网段…… 1.x和2.x和3.x, 这样都不需要交换机上配, 想上什么段IP配上就行了

lhw369

主路由是啥？op软路由的话，需要一台vlan交换机来做单臂路由（就是给op扩lan口）。这种建议软路由lan网口10g防止多网段路由带宽瓶颈。交换机可以买现在流行的realtek的8口2.5和1口10g sfp+带简单网管那个。也就不到300现在，还是300出头来着。
如果软路由有多个网口，可以每个内网网口建立一个接口，防火墙页面属于lan，写不同的内网IP段就行了。每个网口一个网段，连接不同的设备就行。每个lan接口需要分别配置DHCP。
其实最简单还是买个三层交换机，一个vlan做和路由器对接，剩下的vlan做网段划分。每个口都是access就行。然后交换机默认路由指向路由器就Ok了。交换机来做DHCP server也好，做dhcp relay到DHCP服务器也好。看你喜欢了。

—— 来自 HUAWEI ALN-AL00, Android 12上的 S1Next-鹅版 v2.5.4