LEDE实现SSID绑定VLAN功能（Trunk）-OpenWrt/LEDE-Zavier's Blog

先介绍一下VLAN：

VLAN是Virtual Local Area Network的缩写，中文名“虚拟局域网”。

VLAN广泛应用于企业，通过VLAN技术可以实现广播域的控制、不同用户组的隔离。不同VLAN之间的通信必须通过路由器来实现，因而可以通过路由器对不同用户组的上网行为进行控制。

VLAN技术多用于企业的有线内网中，同时也可以用于无线网络中。

举个高端的应用例子：

某些实力较强的企业或者机关事业单位、火车站，其无线网络覆盖方案采用的是和运营商合作的方式，即运营商提供若干AP，每个AP会同时配置2-3个SSID。如和中国电信合作，会配置“ChinaNet”公共热点，同时再配置一个定制的SSID，如南昌铁路局的某些高铁、火车站，会配置SSID为“AirStation-FreeWiFi”的免费wifi，实际上这两者都是由同一台无线AP发出的，通过网线连接到后端三层交换机或者AC无线控制器。但是用户连接到两个不同的wifi时，其获取的IP地址网段、认证的方式、出口IP却截然不同，其原因就是该无线组网采用了ssid绑定vlan的方式。

解释一下原理：

无线AP在该数据交换中实际是扮演了一台无线三层交换机的角色，通过SSID配置的VLAN ID号，采用IEEE 802.11Q来封装VLAN数据帧，将对应的VLAN ID号透传到后端的三层交换机，后端的三层交换机通过VLAN ID号将用户分配到不同子网。这种VLAN的透传实际上在主流的专业网络设备内叫做"Trunk"模式。

通过IEEE 802.11Q，可以轻松地通过单条链路来共享多个不同的、互相隔离的子网。

实际上该技术也可应用于有线，常见的应用场景就是家庭IPTV的“单线复用”，因为有些运营商强制用户的IPTV机顶盒必须连接光猫的“ITV”接口，业内称为组播接入，这样减少了运营商的带宽压力，但是给用户带来了不小麻烦，如果你家的电视和光猫离得很远，而你又只有一根网线，那就非常麻烦了。而通过VLAN则可以实现“单线复用”的功能，无需多拉线。关于“单线复用”，到时候我会再写一篇相关的操作教程。

实战：

在以往，SSID绑定VLAN的技术只有CISCO、H3C、华为等专业的无线AP才可以实现，应用场景也只局限于企业，但我认为个人用户也很有必要，因为某些客人来你家的时候，连接了你家的wifi，而总有那么一些人手机内的wifi万能钥匙偷偷地将你的密码分享并且上传到了云端，这么一来，有些糙蛋的邻居或者陌生人就能随意地通过wifi万能钥匙来连接你的网络，这就极大地增加了家庭网络的安全隐患。

而现在，我们可以通过刷了openwrt或者LEDE的无线路由器来实现。

手头上正好有两台网件的NETGEAR wndr3800，我将一台作为主路由，另一台作为无线AP，来配置其实现SSID绑定VLAN。

设备：NETGEAR WNDR3800*2

系统：LEDE

附上接线图（LAN1口作为Trunk口）：

WNDR3800接线图.png