VLAN 端口隔离

企业网管交换机可以用命令实现同VLAN下的不同端口进行物理隔离。而家用网管交换机的端口模式和VLAN模式用时只能使用一种，要不是VLAN要不端口。Google了一下，成功利用VLAN实现同VLAN下端口之间隔离的功能。

背景起因

京东云无线宝路由器，京东在2019年12月上架的一台CDN路由器，和迅雷赚钱宝一样，利用用户的宽带的做CDN节点进行资源上传，然后得积分。积分可换京豆，比例1：1。

京东云无线宝路由器，MTK处理器，无线芯片是被玩烂了的7621，2.4G WIFI外置了LNA和PA，提供了较好的信号覆盖范围。5G为内置的iPA和iLNA，但信号质量也不错。

发现的问题

2020年1月9日更新的最新的版本，2.3.6.r1888，正式开启了CDN功能。但因其固件的封闭与Bug，对它十分失望。

Bug：访客网络，只是单纯划了个网段，但主网与访客网络可以互ping通，正常通信。

DNS劫持：强制拦截所有发往公网的DNS(UDP 53端口)请求，然后由它自身向外请求并做回应。即无论你是向114还是阿里或是腾讯的DNS服务器发起DNS查询，都由京东云返回查询结果。详细测试见我在恩山发的帖子。

又因其固件的封闭，对它不放心了，用VLAN对其做了端口隔离，与私网隔离开了。

网管交换机设置

• 端口在哪个VLAN就可以接收哪个VLAN的数据包。
• 端口的PVID为几就只能往哪个VLAN发送不打Tag的数据包。
• 端口属于哪几个VLAN，就可以往哪个VLAN转发打Tag的数据包。

1. 端口1：它属于 VLAN1 和 VLAN99，

• 接收：可以接收 VLAN1 和 VLAN99 的数据包。
• 发送：因为它的PVID为1,所以只能往VLAN1转发不打TAG的数据包。
• 发送：因为它属于VLAN99，所以可以转发打Tag的VLAN99数据包。

2. 端口2：属于VLAN99，所以它只能接收和转发VLAN99的数据包。
3. 端口3：它属于 VLAN1 和 VLAN20。

• 接收：可以接收来自 VLAN1 和 VLAN20 的数据包。
• 发送：因PVID为1,所以可以往VLAN1转发不打Tag的数据包。

4. 端口4/5：属于VLAN1，所以只能接收和转发VLAN1的数据包。
5. 端口6：属于VLAN1和VLAN20

• 接收：可以接收来自 VLAN1 和 VLAN20 的数据包。
• 发送：因PVID为20,所以可以往VLAN20转发不打Tag的数据包。

根据上图(VLAN Settings)得知，京东云(端口6)虽然可以接收VLAN1的消息，但它只能往路由器(端口3)发送数据，这就造成了它不能与端口1/4/5进行通信。所以京东云(端口6)和其它端口的设备隔离开了却还可以正常上网。
这样我们就用VLAN实现了对京东云的隔离。

References:
VLAN 详解
恩山发的测试帖子