1、为什么要隔离智能家居设备

主要就是智能家居厂家接入到内网后，可能存在扫描内网设备，甚至扫描内网流量，或者进行数据采集，广告推送等行为，这种新闻都曝光过了，所以能避免还是尽量避免下。

刚好智能家居设备基本都是使用2.4G无线，自己用手机或者电脑基本都是使用有线或者5G无线，这样就可以5G ssid使用默认vlan，给手机 电脑使用，2.4G ssid使用另一个vlan，专门给智能设备使用，做到智能设备单独的vlan隔离，还可以在2.4G的wifi上开启二层隔离，进一步增强安全性。

这样做可以达到如下的效果，手机或者电脑，还有电视，ap这些使用的是Charlotte_5G这个ssid，vlan1 ip地址是192.168.233.0/24，智能设备使用的是Charlotte的ssid，vlan2 ip地址是192.168.200.0/24，并且因为有二层隔离所以扫描不到内网的设备或者流量。

2、先决条件

因为是需要使用vlan进行隔离，所以需要网络上的设备都可以支持vlan，特别是如果有交换机，不能使用傻瓜交换机。

交换机和路由器互联有条件的话最好使用双链路，一个vlan一条链路，如果没有多余的接口，就需要在交换机上trunk上联，然后在路由器上做子接口实现。

无线设备也需要支持多vlan，不过一般的无线ap或者路由器应该都是支持的。

其他就没有什么特别的要求，主要是vlan能打通，就可以实现。

3、部署指南

3.1、网络规划

首先需要规划ssid，ip，vlan这些信息。我这里使用的是unifi的ap，两个交换机也是unifi的，使用docker进行统一的管理，进行vlan配置这些，出口路由器使用的是openwrt，规划了以下信息

大概画了一个TOP，POE交换机和路由器用的是双线连，Lan1代表vlan1的，IOL代表vlan2的。openwrt路由器其实是一个pve里的一个虚拟机，另外还有个专门用来做docker的虚拟机，在docker里装了unifi的管理平台。

3.2、路由器需要的配置

由于我这里是双线上联，vlan会在路由接口上终结，所以路由器不用管vlan的信息，直接两个接口配置不同网段的网关就好了。

不过这个也只是虚拟接口，需要在里面绑定相对应的物理接口

openwrt的接口一定要分配到相对应的区域，要不然怎么都不会通，有一次配置的时候忘记了懵了好久

正常的在两个内网接口开启对应的dhcp就好了。

如果是虚拟机，把接口穿透过来就好了，我就是用的pve的虚拟机，把3个接口透传过来了的。

如果是只有一条线，要做子接口就不是这样了，openwrt做子接口其实也不麻烦吧。找以下想对应的教程应该就可以。

3.3、交换机需要的配置

我这里需要配置的交换机其实也就是和路由器直连的8口poe交换机。

首先需要新建vlan2，作为智能设备使用的vlan。

然后在接口上进行配置，5口是vlan1的上联，默认配置就可以了，6口是vlan2的上联，需要把他划分到vlan2，然后连接两个ap的接口需要同时可以传输vlan1和vlan2，有一些交换机默认只能通vlan1，需要配置为trunk，然后再放通vlan2，我这里应该是默认可以通所以创建的vlan了，所以对接ap的接口没有做配置，这样交换机的配置就完成了。

3.4、无线ap和控制器需要的配置

无线在创建ssid的时候需要让他加入到对应的vlan网络和频段。

智能设备使用的ssid可以开启二层隔离，增加安全性

有的设备可能需要放通ap上联接口的vlan，不过一般都不需要吧，大部分ap只要开启了对应的vlan，上联就可以通。 其他就没什么了。

4、测试

经过以上配置就完成了，用手机或者电脑测试连接一下两个ssid看看能不能拿到对应的ip地址和上网吧，如果测试拿不到ip一般就是vlan没通，需要排查一下。

—————完——————