软路由实现家庭网络隔离：操作指南（实战向）

用软路由给家庭网络“划区设防”：从零搭建安全隔离架构

你有没有想过，家里的扫地机器人可能正在“窥探”你的电脑？听起来像科幻片，但现实比想象更接近。一台固件过时的智能摄像头被攻破后，完全可以扫描整个局域网，找到NAS、手机甚至路由器管理界面——而这一切，在传统家用路由器下几乎是畅通无阻的。

这不是危言耸听。随着智能家居设备数量激增，家庭网络早已不再是“可信区域”。真正的安全，不是祈祷每台设备都坚不可摧，而是提前设防，限制破坏力扩散的范围。就像城市修防火墙防止火灾蔓延，我们也要为家庭网络做“分区隔离”。

本文不讲概念堆砌，也不甩术语轰炸，而是带你一步步用软路由 + VLAN + 防火墙策略，亲手搭建一套真正实用的家庭网络隔离系统。全程基于 OpenWrt 实战操作，配置可复制，效果立竿见影。

为什么普通路由器扛不住现代家庭的安全挑战？

先说个扎心的事实：市面上大多数家用路由器，本质上就是个“带Wi-Fi的NAT转发器”。它能让你上网，但对内网之间的通信几乎毫无控制能力。

举个典型场景：
- 你新买的智能灯泡连上Wi-Fi；
- 它不仅能和云端通信，还能主动扫描192.168.1.x网段；
- 发现了一台IP是.100的设备（可能是你的笔记本）；
- 尝试访问其SMB共享或未关闭的调试端口……

只要在同一子网，这种横向渗透轻而易举。而传统路由器默认放行所有内网流量，等于把大门钥匙交给每一个进来的设备。

软路由的价值就在这里：它不只是“能联网”，更是网络行为的掌控者。你可以决定谁可以访问谁，谁只能上网不能串门，甚至记录每一笔可疑连接。

核心思路：三层隔离，层层设卡

我们要建的不是一个大通间，而是一个有门禁、有监控、有分区的“智能住宅楼”。实现方式分三步走：

1. 物理层逻辑分割 —— VLAN 划分子网
2. 通信许可审批 —— 防火墙策略控制
3. 自动入住登记 —— DHCP 分配与管理

这三者协同工作，才能让隔离既严格又不影响正常使用。

第一步：用 VLAN 把一张网变四张网

VLAN（虚拟局域网），听起来高深，其实原理很简单：在数据包上贴标签，告诉交换机“我是哪个小区的住户”。

比如：
- VLAN 10：主网络（电脑、手机、iPad）→ 信任区
- VLAN 20：IoT设备（灯泡、插座、空调）→ 受限区
- VLAN 30：访客网络（客人手机）→ 只准上网
- VLAN 40：监控专网（摄像头+NVR）→ 完全封闭

它们虽然跑在同一根网线上传输，但在逻辑上互不相见，广播包都传不过去。

✅ 关键前提：你的交换机必须支持 802.1Q VLAN Tagging。便宜的“即插即用”非网管交换机会直接剥离标签，导致VLAN失效。推荐使用 TP-Link TL-SG105E、UniFi Switch Lite 或刷了 OpenWrt 的二手企业级交换机。

如何配置？以 OpenWrt 为例

假设你的软路由有两个网口：eth0接光猫（WAN），eth1接交换机（LAN Trunk）。

你需要在软路由上创建多个虚拟接口，每个对应一个 VLAN ID：

# 创建 VLAN 20 接口（智能家居） uci add network interface uci set network.@interface[-1]=interface uci set network.@interface[-1].proto='static' uci set network.@interface[-1].ipaddr='192.168.20.1' uci set network.@interface[-1].netmask='255.255.255.0' uci set network.@interface[-1].device='eth1.20' # 注意写法：物理接口.VID uci commit network

然后重启网络：

/etc/init.d/network restart

此时，软路由已经能处理来自 VLAN 20 的数据帧了。接下来，去交换机后台设置：
- 上联口（接软路由）设为 Trunk 模式，允许 VLAN 10/20/30/40 通过；
- 各房间端口按用途设为 Access 模式，PVID 分别设为对应 VLAN ID。

例如，客厅电视柜旁的端口接各种IoT设备，就设成 PVID=20。

这样，设备一插上网，就被自动归入指定“小区”。

第二步：防火墙出手，禁止乱串门

有了VLAN只是画好了边界，真正起作用的是防火墙规则。OpenWrt 使用的是 Linux 的iptables（或较新的nftables），我们可以通过 UCI 命令或 Web 界面添加 FORWARD 规则来控制跨子网访问。

场景实战：禁止 IoT 设备访问主网络

目标很明确：允许IoT设备上网，但不准它们探测或连接主网设备（如PC、NAS）。

# 禁止从 IoT 网络 (VLAN 20) 主动访问主网络 (VLAN 10) iptables -I FORWARD -i br-lan.20 -o br-lan.10 -j REJECT --reject-with icmp-port-unreachable # 允许主网络发起的请求能收到回应（保持可用性） iptables -I FORWARD -i br-lan.10 -o br-lan.20 -m state --state RELATED,ESTABLISHED -j ACCEPT # 但反过来不行：禁止主网回应之外的任何从 IoT 到主网的流量 iptables -I FORWARD -i br-lan.20 -o br-lan.10 -j REJECT --reject-with icmp-port-unreachable

📌 解释一下关键点：
--i表示入口接口，-o表示出口接口；
-REJECT比DROP更友好，会返回错误提示，避免客户端长时间等待；
-RELATED,ESTABLISHED是状态追踪机制，确保你从电脑访问摄像头时能收到回复，但摄像头不能反向发起连接。

这些规则插入到 FORWARD 链中，意味着它们只影响跨子网转发的流量，不影响各自内部通信或对外上网。

你可以在/etc/firewall.user文件中永久保存这些命令，系统重启后依然生效。

第三步：DHCP 自动分配，让设备“对号入座”

光有网络结构还不够，还得让设备接入后自动获得正确的 IP 地址和网关。这就是 DHCP 的任务。

OpenWrt 默认使用odhcpd或dnsmasq提供 DHCP 服务。我们可以为每个 VLAN 配置独立的地址池。

示例：为 VLAN 20 配置专属 DHCP 服务

# 添加名为 'iot' 的DHCP段 uci set dhcp.iot=dhcp uci set dhcp.iot.interface='iot' # 对应前面创建的接口名 uci set dhcp.iot.start='100' # 起始IP：192.168.20.100 uci set dhcp.iot.limit='50' # 最多分配50个地址 uci set dhcp.iot.leasetime='12h' # 租期12小时 uci set dhcp.iot.dhcp_option='option:dns-server,192.168.20.1' # 强制使用本地DNS uci commit dhcp

刷新服务：

/etc/init.d/odhcpd restart

这样一来，所有接入 VLAN 20 的设备都会自动获取192.168.20.x段的地址，并将网关指向192.168.20.1（即软路由），后续所有外发流量都会经过软路由的防火墙检查。

实际组网拓扑怎么搭？

理论讲完，来看一张典型的物理连接图：

[互联网] ↓ (PPPoE / DHCP) [软路由] | eth0 → WAN | eth1 → Trunk (VLAN tagged) ↓ [支持802.1Q的网管交换机] ├─ Port 1: PVID=20 → 智能音箱、灯泡等 ├─ Port 2: PVID=30 → 客人临时接入 ├─ Port 3: PVID=40 → NVR 和摄像头（物理闭环） └─ Port 4: PVID=10 → 书房PC、NAS

无线部分怎么办？建议搭配支持 VLAN 的 AP：
- 设置多个 SSID，如Home,IoT,Guest；
- 每个SSID绑定不同VLAN ID；
- 手机连Home进入 VLAN 10，手机连IoT则进入 VLAN 20。

常见支持方案：
- UniFi 系列 AP（通过控制器设置SSID-VLAN映射）；
- 刷了 OpenWrt 的路由器作 AP 模式使用；
- Xiaomi AX3600/AX6000 开启开发版后也可有限支持。

常见问题与避坑指南

❌ 问题1：设备能获取IP，但无法上网

排查方向：
- 检查软路由是否开启了 NAT：确保 WAN 区域启用了 Masquerade（伪装）；
- 查看防火墙日志：logread | grep DROP是否有被拦截的记录；
- 确认交换机 Trunk 配置正确，未过滤 VLAN。

❌ 问题2：VLAN 之间仍然可以互相 ping 通

最大可能原因：你在软路由上把多个 VLAN 接口桥接到了同一个br-lan桥中！

⚠️ 错误示范：

uci set network.lan.device='eth1.10,eth1.20' # 千万别这么干！

这样做相当于手动打通了两个VLAN，前功尽弃。每个VLAN应作为独立接口存在，由防火墙统一控制是否允许互通。

进阶玩法：不止于隔离

一旦你掌握了这套体系，就可以玩出更多花样：

• 广告过滤：部署 AdGuard Home 作为上游 DNS，全网去广告；
• 带宽整形：使用 SQM-QoS 插件，保证视频会议优先于下载；
• 远程访问：配置 WireGuard VPN，安全回家连内网；
• 日志审计：将syslog发送到外部服务器，长期留存异常行为；
• 零信任雏形：结合 MAC 白名单 + 动态防火墙脚本，实现设备准入控制。

写在最后：安全不是功能，而是习惯

很多人觉得“我家就几台设备，没必要搞这么复杂”。但正是这种心态，让无数家庭成了物联网僵尸网络的温床。

网络隔离的意义，从来不是为了应对“已经发生的攻击”，而是降低风险敞口，把‘万一’变成‘有备’。

软路由的价值也远不止于此。它是你理解网络本质的窗口，是你掌控数字生活的起点。当你第一次看到防火墙日志里那条被成功拦截的IoT扫描请求时，你会明白：真正的安全感，来自于你知道防线在哪里。

如果你已经开始动手配置，欢迎留言交流遇到的问题。如果还没开始——现在就是最好的时机。

🔧 关键词索引：软路由、VLAN、网络隔离、OpenWrt、防火墙、DHCP、交换机、网络安全、访问控制、Trunk模式、子网划分、路由器配置、家庭网络、802.1Q、策略路由