UniFi 全家桶之 VLAN 划分

最近对家里的网络设备做了一次升级，更新了 UniFi 全家桶（Unifi Dream Machine Pro、UniFi FlexHD、Unifi IW-HD），给台式机装了一张双光口万兆网卡，搭配上之前的 QNAP 的 NAS 和万兆交换机，也算是组成了万兆内网。在折腾的过程中参考了很多大神们的配置建议，给家庭网络做了 VLAN 的划分布局，今天就给大家介绍下为什么要划分 VLAN 以及在 UniFi 的设备上如何划分 VLAN。

过去好多年时间我一直都是没有划分 VLAN 的，相信对于大多数家庭而言，甚至连支持划分 VLAN 的交换机都没有，那划分 VLAN 的意义到底在哪里，结合这些天的摸索，我总结了以下几点：

1.划分广播域：通常来说一个局域网内所有的机器都在一个广播域内，在一个交换机下，所有的设备在发送消息时，都是广播给所有局域网内的机器的，再由这些机器进行过滤筛选自己需要的数据，显然，当局域网内的机器比较多时，广播占据的交换带宽变高，用户带宽自然就变小了，因此通过划分 VLAN 可以把广播域划分开来，节省带宽，提升网络处理能力。

2.增强安全性：不同 VLAN 内的报文在传输时是相互隔离的，即一个 VLAN 内的用户不能和其它 VLAN 内的用户直接通信，必须通过路由器进行。目前家庭环境下接入网络的设备越来越多，其中相当一部分是常年不更新的智能家居设备，这些设备极易受到攻击，一旦发生问题，如果和家里的 NAS 等重要设备在一个域内，就有可能产生安全风险，因此给这些设备划分单独的 VLAN 很有必要。有的人会给访客单独划分 VLAN，也可以避免访客访问家庭的核心数据。

3.单线复用：有的家庭弱电箱到电视只有一根网线，但是同时需要看 IPTV 和连网，通过 VLAN 可以方便的实现单线复用，两边都使用支持 VLAN 的交换机，通过这跟网线 TRUNK，即可实现一根网线同时传输 IPTV 和互联网服务，互不干扰。

4.按需科学上网：这个估计是我的特别需求，我家并没有在主路由上直接部署科学上网服务（UDM-PRO 也不支持），我在局域网内单独有一台机器部署了旁路的科学上网服务，但是如果直接在 DHCP 设置网关和 DNS，这会导致所有机器都会通过旁路上网，如果不通过 DHCP 这又导致需要科学上网的机器要手动设置IP、网关和 DNS。通过划分 VLAN，可以给不同的 VLAN 开启不同的 DHCP 服务，把 VLAN 绑定到 SSID 后，即可实现家里多 SSID，需要科学上网时只需要切换连接的wifi即可。

UniFi 的 VLAN 设置和传统交换机略有差异，感觉把二层和三层的应用做了一层打包整合，对于用户来说显得非常方便，下面介绍下步骤：

在 UniFi 控制器的设置–网络中，可以很方便的创建网络，如上图所示，我们根据需要创建了一个给智能家居使用的 VLAN 网络， VLAN ID 为 10，并且为这个网络设置了 192.168.20.1/24 的网段，在这个网段内设置了 192.168.20.6-192.168.20.254 的 DHCP 服务器，当然，在这一步中，如果需要实现刚才介绍中的按需科学上网，那么可以在这一步中 DHCP 域名服务器和 DHCP 网关 IP 的地址，把网关 IP 和 DNS 设置为你的旁路科学上网设备的 IP，即可实现连接这个 VLAN 就自动使用旁路设备进行上网的需求。

完成网络创建后，在设置–配置管理–交换机端口中，即可看到刚才创建的网络配置。

这一步非常简单，在设置–无线网络中，创建一个无线网络，其他配置按需设置即可，只需要注意上图中箭头所指的地方，在 VLAN 中勾选“使用 VLAN”，并填入刚才在网络中设置的 VLAN ID 即可。

针对有线网络如果需要绑定 VLAN 的话，也非常方便，只需要在设备中找到你的交换机，在端口中，选择你需要配置 VLAN 的端口，点击“编辑”后，在“交换机端口配置”中选择你创建好的网络配置即可。

重复上述的步骤后，即可完成所有 VLAN 的创建，根据不同的 SSID 或者端口连接相应的设备后，在客户端中即可验证效果，可以看到所有的智能家居设备都连接在了 iot 网络上，并分配到了 192.168.20 开头的网段地址，其他设备则连接在了 normal 的常规网络上，并分配到了 192.168.10 开头的地址，VLAN 之间测试并不能互通，完美实现了上述的 1-4 的需求。