我的网络——UniFi Vlan 划分和互访规则

什么是 Vlan?

virtual local area network (VLAN) is a virtualized connection that connects multiple devices and network nodes from different LANs into one logical network.

这方面 Cloudflare 的文章更通俗易懂。

网段规划

我暂时就计划将家里划分成4个网段,一个网段 24 位地址也足够我家使用了。

  • Main Net:正常网络。最常规的需要联网的设备。
  • Surge:国际联网网络。需要走 Surge 网关实现国际联网的设备,如 Apple TV 等。爸妈有时候想看国外新闻了,也可以连上这个来看看。
  • Iot:物联网网络。留给智能家居设备,如米家网关,热水器、扫地机器人等。
  • WireGuard:VPN 子网。用来远程控制家里设备和我出国时候当作回国代理使用。
Name Vlan ID Sebnet Gateway Description
Main Net 1 172.16.0.0/24 172.16.0.1 正常网络
Surge 103 172.16.103.0/24 172.16.103.1 代理网络
lot 203 172.16.203.0/24 172.16.203.1 lot 设备
WireGuard 203 192.168.2.0/24 192.168.2.1 回家 VPN

Main Net 和 Surge Vlan是权限最高的,可以访问其他所有的子网。而 lot 设备易受到攻击并且存在隐私问题,所以只可以被其他 Vlan 访问,而不可以主动访问其他 Vlan。我们在下面进行更详细的设置介绍。

Networks 设置

Main Net

因为是默认的网络,所以除了设置 子网地址 外,其他基本保持默认即可。IPv6 我也选择开启。

高级选项里需要打开 组播 DNS 选项,这可以让苹果 AirPlay和一些其他组播流量通过该子网。

Proxy

我已经在之前的文章中进行详细描述,请查看对应文章。

我的网络 —— UniFi 网关搭配 Surge 接管家庭设备
UniFi 网关控制台精制的 UI 让人印象深刻,其功能也非常强大。本篇记录我如何让 UniFi 和 Surge Mac 协同工作实现接管需要代理的设备。 你可以获得什么? * 你可以通过不同的 WiFi 密码接入同一个 WiFi,输入指定的密码即可被 Surge 接管。 * 例:名为 Sebastian 的 WiFi 拥有2个密码,设备输入surgesebatsian密码连接 WiFi 即可被 Surge 接管。而输入directsebastian则不被接管。 * 注意!该方法不支持 WPA 3 ,即该方法无法启用 Wi-Fi 6e/ Wi-Fi 7 的 6 GHz Wi-Fi。 * 你可以通过接入指定的的 WiFi 名称(ssid)被 Surge

lot

lot 网络也差不多,改一下 子网地址 和 VLAN ID 即可。并且打开 IGMP 侦听 和 组播 DNS。IPv6 我选择关闭。

Wi-Fi 设置

UniFi 可以设置多个 Wi-Fi (SSID),并且绑定不同的 Vlan,我们可以按需设置。

默认 Wi-Fi

名称就选你想要的 Wi-Fi 名字,网络就选刚刚设置的 Main Net。默认的 Wi-Fi 我决定把最新的科技全部上,权限也是最高的。6 Ghz,WPA3,快速漫游 (802.11r) 全开,争取达到最好的体验。

代理Wi-Fi

还是请查看这篇文章。你可以不设置额外的 Wi-Fi,而通过不同的密码连接到不同的 Vlan,或者还是继续设置一个不同的 Wi-Fi。

我的网络 —— UniFi 网关搭配 Surge 接管家庭设备
UniFi 网关控制台精制的 UI 让人印象深刻,其功能也非常强大。本篇记录我如何让 UniFi 和 Surge Mac 协同工作实现接管需要代理的设备。 你可以获得什么? * 你可以通过不同的 WiFi 密码接入同一个 WiFi,输入指定的密码即可被 Surge 接管。 * 例:名为 Sebastian 的 WiFi 拥有2个密码,设备输入surgesebatsian密码连接 WiFi 即可被 Surge 接管。而输入directsebastian则不被接管。 * 注意!该方法不支持 WPA 3 ,即该方法无法启用 Wi-Fi 6e/ Wi-Fi 7 的 6 GHz Wi-Fi。 * 你可以通过接入指定的的 WiFi 名称(ssid)被 Surge

IoT WiFi

同理设置 Wi-Fi 名称和 网络。由于物联网设备的网卡基本只支持 2.4 GHz ,所以我们只需要开启 2.4 GHz频段,并且将加密切换至 WPA2。

设置 Firewall

这部分主要参考了 ryoma1836 的文章。就如我们之前所属,我们主要对 IoT 网络进行限制,不允许这个网络内的设备对其他内网的设备进行访问,但允许其他设备访问该子网。

设置 Profiles

我们先设置几个预设。

如果你之前的网络地址和我设置的是一样的,那你直接抄下面的就行了

设置策略

按照下面的设置。然后调整执行顺序,第一条一定是 Allow established/related sessions,最后一条是 Block Inter-VLANs Routing。

Sebastian Luo

我做了DNA测试 我100%是人