小张在一家20人规模的广告公司做IT支持,最近老板提了个要求:财务部的电脑不能访问设计部的NAS,销售部的Wi-Fi也不能连到内部OA系统。听起来复杂,其实用对方法,在现有宽带设备上就能搞定网络隔离。
一、VLAN是最常用也最靠谱的方式
多数中端以上企业级路由器(比如华为AR系列、H3C MSR系列)和可网管交换机都支持VLAN。简单说,就是把物理网络逻辑切分成几个互不相通的‘虚拟子网’。比如:
- 财务VLAN(ID 10):只允许访问ERP服务器和打印机
- 设计VLAN(ID 20):可访问NAS和渲染集群,但封掉外网下载限速
- 访客VLAN(ID 99):仅开放443/80端口,走独立WAN出口
在路由器后台配置时,关键一步是开启VLAN间路由策略——默认是不通的,必须手动加ACL规则放行特定流量。例如只允许VLAN 10访问192.168.10.0/24网段,其他全拒:
rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.1.0 0.0.0.255二、用双WAN口+策略路由分流向
如果手头只有TP-Link TL-R470T+或华三ER3200G2这类双WAN路由器,也能做基础隔离。做法是:一个WAN口接主宽带(给办公网),另一个WAN口接副宽带(专供访客或测试环境),再通过‘源IP地址→指定WAN出口’的策略路由实现分流。
比如把192.168.3.100-192.168.3.150这段IP固定分配给销售部,策略设为‘所有来自该段的流量强制走WAN2’,而WAN2的DNS和防火墙规则里直接屏蔽内网段,自然就隔开了。
三、无线AP侧做SSID隔离更省事
很多企业忽略了一点:Wi-Fi本身就能隔离。像Ubiquiti U6-Pro、锐捷RG-AP860-L这些AP,后台有个‘客户端隔离(Client Isolation)’开关,打开后同SSID下的手机和笔记本彼此ping不通;再配合多SSID功能,给不同部门发不同名称的Wi-Fi(如‘Design-secure’‘HR-guest’),每个SSID绑定独立VLAN,连配置核心路由器都省了。
四、别忘了DHCP地址池也要分开
光划VLAN不够,还得让设备自动拿到对应网段的IP。在路由器DHCP设置里,不能只开一个192.168.1.100-200的大池子。要按VLAN建多个作用域:
VLAN 10 → 192.168.10.100-150,网关192.168.10.1,DNS指向内网AD服务器
VLAN 20 → 192.168.20.100-150,网关192.168.20.1,DNS指向本地缓存这样新插进来的设计部电脑,插上网线自动获取到20网段IP,根本连不到财务系统的10网段,连误操作的机会都没有。
五、家用级路由器也能凑合用
小公司预算有限?用OpenWrt刷机的旧路由器(比如小米R3P)也能干这事。装上luci-app-vlan插件,划分两个LAN口:一个接财务电脑,一个接前台打印机,再在防火墙里加一条‘forwarding: lan1 → lan2 = reject’,物理上插错口都不怕串网。