Настройка VLAN в маршрутизаторе Zyxel Keenetic

В маршрутизаторе Keenetic (с микропрограммой V2) на одном физическом LAN-порту можно настроить два разных VLAN, например, чтобы один VLAN имел полный доступ к ресурсам локальной сети и к Интернету, а другой VLAN (гостевой) имел бы доступ только в Интернет.

Для реализации данной задачи в маршрутизаторе Keenetic (с микропрограммой V2) требуется создать два VLAN, например: 
VLAN 3
 – для доступа к локальным ресурсам и Интернету,
VLAN 4 – для гостевого доступа.

Примечание: VLAN 2 является служебным. По умолчанию он используется для порта 5 (WAN).

Для каждой VLAN требуется настроить свой DHCP Pool (диапазон IP-адресов, назначаемых по DHCP).
Ограничить доступ к локальным ресурсам и управлению маршрутизатором можно с помощью встроенного межсетевого экрана (Firewall).
Настройку VLAN произведем, например, на 4-м физическом LAN-порту встроенного Ethernet-коммутатора Keenetic’а. Настройки LAN-портов 1-3 и беспроводной сети Wi-Fi в процессе создания VLAN не затрагиваются.

Настройку маршрутизатора удобнее выполнять из режима командной строки (CLI) устройства.

1. Подключитесь к интернет-центру через telnet-подключение, используя его IP-адрес и пароль по умолчанию (если не меняли).

telnet 192.168.1.1

Password: 1234

2. Создайте VLAN 3, VLAN 4 и привяжите их к LAN-порту 4 интернет-центра.

(config)> interface Switch0
(config-if)> port 4
(config-if-port)> mode trunk

Trunk mode enabled

(config-if-port)> trunk vlan 3

Vlan added to trunk

(config-if-port)> trunk vlan 4
Vlan added to trunk

(config-if-port)> exit
(config-if)> exit

3. Установите IP-адрес для интерфейсов Switch0/VLAN3Switch0/VLAN4 и активируйте созданные интерфейсы. В нашем примере для локальной сети назначаем подсеть 192.168.3.0/24, для гостевой – 192.168.4.0/24.

(config)> interface Switch0/VLAN3
(config-if)> ip address 192.168.3.1/24
Network address saved.
(config-if)> security-level private
Interface set as private(config-if)> up
Interface enabled.

(config-if)> exit

(config)> interface Switch0/VLAN4

(config-if)> ip address 192.168.4.1/24
Network address saved.
(config-if)> security-level private
Interface set as private

(config-if)> up
Interface enabled.

(config-if)> exit

4. Создайте DHCP Pool для VLAN 3 (192.168.3.33 — 192.168.3.43) и VLAN 4 (192.168.4.33 — 192.168.4.43).

(config)> ip dhcp pool HOME3
pool «_HOME2″ has been created.
(config-dhcp)> range 192.168.3.33 192.168.3.43
pool «_HOME3″ range has been saved.
(config-dhcp)> bind Switch0/VLAN3
pool «_HOME3″ bound to interface Switch0/VLAN3.
(config-dhcp)> exit(config)> ip dhcp pool HOME4
pool «_HOME4″ has been created.
(config-dhcp)> range 192.168.4.33 192.168.4.43
pool «_HOME2″ range has been saved.

(config-dhcp)> bind Switch0/VLAN4
pool «_HOME4″ bound to interface Switch0/VLAN4.
(config-dhcp)> exit

5. Настройте межсетевой экран (Firewall) для блокировки доступа с VLAN 4 к управлению интернет-центром Keenetic и к ресурсам корпоративной сети.

(config)>access-list _WEBADMIN_VLAN4

(config-acl)>deny tcp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.0

ACL rule added.

(config-acl)>deny udp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.0

ACL rule added.

(config-acl)>deny icmp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.0

ACL rule added.

(config-acl)>deny tcp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.0

ACL rule added.

(config-acl)>deny udp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.0

ACL rule added.

(config-acl)>deny icmp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.0

ACL rule added.

(config-acl)>deny tcp 0.0.0.0 0.0.0.0 192.168.4.1 255.255.255.255

ACL rule added.

(config-acl)>deny udp 0.0.0.0 0.0.0.0 192.168.4.1 255.255.255.255

ACL rule added.

(config-acl)>deny icmp 0.0.0.0 0.0.0.0 192.168.4.1 255.255.255.255

ACL rule added.

(config-acl)>exit

(config)>interface Switch0/VLAN4

(config-if)>ip access-group _WEBADMIN_VLAN4 in

Access group applied

(config-if)>exit

6. Включите NAT (функция трансляции сетевых адресов) для интерфейсов Switch0/VLAN3 и Switch0/VLAN4.

(config)>ip nat Switch0/VLAN3

NAT rule added.
(config)>ip nat Switch0/VLAN4
NAT rule added.

7. Сохраните конфигурацию.

(config)>sys config-save

Saving configuration

(config)>exit