0%

VLAN 端口隔离

落日

企业网管交换机可以用命令实现同VLAN下的不同端口进行物理隔离。而家用网管交换机的端口模式和VLAN模式用时只能使用一种,要不是VLAN要不端口。Google了一下,成功利用VLAN实现同VLAN下端口之间隔离的功能。

背景起因

京东云无线宝路由器,京东在2019年12月上架的一台CDN路由器,和迅雷赚钱宝一样,利用用户的宽带的做CDN节点进行资源上传,然后得积分。积分可换京豆,比例1:1。

京东云无线宝路由器,MTK处理器,无线芯片是被玩烂了的7621,2.4G WIFI外置了LNA和PA,提供了较好的信号覆盖范围。5G为内置的iPA和iLNA,但信号质量也不错。

发现的问题

2020年1月9日更新的最新的版本,2.3.6.r1888,正式开启了CDN功能。但因其固件的封闭与Bug,对它十分失望。

Bug:访客网络,只是单纯划了个网段,但主网与访客网络可以互ping通,正常通信。

DNS劫持:强制拦截所有发往公网的DNS(UDP 53端口)请求,然后由它自身向外请求并做回应。即无论你是向114还是阿里或是腾讯的DNS服务器发起DNS查询,都由京东云返回查询结果。详细测试见我在恩山发的帖子

又因其固件的封闭,对它不放心了,用VLAN对其做了端口隔离,与私网隔离开了。

网管交换机设置

Port Function

VLAN Settings

  • 端口在哪个VLAN就可以接收哪个VLAN的数据包。
  • 端口的PVID为几就只能往哪个VLAN发送不打Tag的数据包。
  • 端口属于哪几个VLAN,就可以往哪个VLAN转发打Tag的数据包。
  1. 端口1:它属于 VLAN1 和 VLAN99,
    • 接收:可以接收 VLAN1 和 VLAN99 的数据包。
    • 发送:因为它的PVID为1,所以只能往VLAN1转发不打TAG的数据包。
    • 发送:因为它属于VLAN99,所以可以转发打Tag的VLAN99数据包。
  2. 端口2:属于VLAN99,所以它只能接收和转发VLAN99的数据包。
  3. 端口3:它属于 VLAN1 和 VLAN20。
    • 接收:可以接收来自 VLAN1 和 VLAN20 的数据包。
    • 发送:因PVID为1,所以可以往VLAN1转发不打Tag的数据包。
  4. 端口4/5:属于VLAN1,所以只能接收和转发VLAN1的数据包。
  5. 端口6:属于VLAN1和VLAN20
    • 接收:可以接收来自 VLAN1 和 VLAN20 的数据包。
    • 发送:因PVID为20,所以可以往VLAN20转发不打Tag的数据包。

根据上图(VLAN Settings)得知,京东云(端口6)虽然可以接收VLAN1的消息,但它只能往路由器(端口3)发送数据,这就造成了它不能与端口1/4/5进行通信。所以京东云(端口6)和其它端口的设备隔离开了却还可以正常上网。
这样我们就用VLAN实现了对京东云的隔离。

References:
VLAN 详解
恩山发的测试帖子

---- The End Thanks ----
Donate if you like the article.