小白设置京东云无线宝路由器当访客网络的超简单办法

购买理由

家里有一台6盘NAS，有一个软路由，有一个万兆光猫（LAN千兆），有一套H3C的AC+AP。总的来说就是耗电100多瓦。合计着，家里有100M上传，闲着也是闲着。用京豆能把电费赚回来就行。并且AC+AP的无线网络是WIFI5的，体验一下WIFI6。还有H100 AC模式没有访客网络，顺便把这个功能补齐。因为只是电费回本就行，我不追求跑最大收益。

顺便吐槽，H3C的硬件不错，软件和UI惨不忍睹。当真是舍不得给你多一点点功能。稳定是稳定，总是缺一些小众功能。大概面向企业端的都是这个毛病吧。

写这个文章主要是当笔记，顺便给有需要的人提供思路。

文章可能会有很多括号，主要是给“不持观点，但是不满文章这里没讲那里没提”的人补充阅读的。希望能增强阅读体验。

方案展示

首先说一下基本情况，我有公网IP，需要在出差的时候优雅回家，也需要远程使用家里的nas（我知道有内网穿透等等方案，我选最方便的）。我看了看京东云的配置界面，精简的设置和我的AC快一样了（夸张说法，我知道可以SSH，但是我不会，也麻烦不想学，谁知道谁发给文章教教大家，评论给我没有意义）。并且有4K留学需求。所以，还是用OPENWRT当主路由，京东云当二级路由，不折腾京东云路由了。而且使用全锥NAT收益还可以。

既然当了二级路由，并且要作为访客网络。那么，不能访问一级路由网段就是需要的功能。因为1级路由网段为192.168.0.0下有NAS，有各种安全性不好说的智能家居，有安防摄像头，有电视盒子，有NVR，有路由和交换机设置页面，有台机笔记本手机。带密码不带密码的，一旦局域网内不能信任，设置的学习和工作的量就很大。对我来说2级路由192.168.65.0的设备不能访问192.168.0.0的网段就安全一些。（家里附近没有专业黑客，估计只有按照教程利用漏洞进行攻击的小青年，防御对象假想为他们）。

方案有很多种，我只介绍想到的几种，供大家参考。我没能力全部说明。请补完党自行开文章补全。麻烦了 。我都不敢发文了。

1、VLAN隔离，这种方法网上特别好。但是OPENWRT的VLAN教程有些晦涩。京东云界面也没看到VLAN ID的页面。流通/屏蔽功能都可以，但是对于我没有搞定默认ID为1的包怎么加上其他VLAN ID，所以放弃。有办法的可以评论区留言， 。谢谢。

2、防火墙隔离。最简单的是京东云路由上配置防火墙，直接禁用192.168.0.0网段。可是京东云路由正常UI没有防火墙的详细配置。HOSTS修改对于网段没有成功（有高玩知道京东云怎么配置的，可以指条路） 。再接下来，就是在OPENWRT的界面上配置路由器防火墙了。UI界面还是用iptables进行端口屏蔽，和IP屏蔽，没有成功。不想折腾，放弃了。（这里，实测过的可以给讲一下。知道怎么弄的大佬，可以另开文章详细讲讲，我没有找到介绍openwrt防火墙做端口或者IP内网隔离的文章）。

3、ACL方法。这个相对来说就简单了。在没有配置静态路由的情况下，192.168.0.0无法访问二级路由192.168.65.0网段。那么配合ACL再隔离下192.168.65.0到192.168.0.0的网段访问就可以了。实现双向隔离。

先说一下，由于是二级路由，对于京东云路由及其下属设备来说，192.168.0.0网段就是外网，所以自带的访客网络隔离不起作用。

ACL根据你的交换机设备（绝大部分硬路由本身自带交换机芯片和交换机功能）有IP屏蔽和MAC屏蔽。MAC屏蔽相对更简单，所以我们说一下IP屏蔽。用我的QNAP M408S万兆VLAN交换机为例：

首先，指定京东云路由的wan口IP是192.168.0.2。

然后在交换机ACL页面里，来源填上192.168.0.2，子网掩码255.255.255.255。子网掩码的意思是就这个IP，而非IP段。所有京东云路由wan口出去的都会被标记为192.168.0.2。等于是涵盖了所有192.168.65.0网段的设备。（IP伪装有没有用没有测试，不放心MAC屏蔽也加上。如果邻居还能突破，亲，这边建议你直接投降呢）

目标里写上192.168.0.0，和255.255.255.0.含义是整个192.168.0.0网段。

端口简单点，选全部（或者选特定的那个端口）。

权限选择拒绝。弄成下图的样子就可以了，超简单吧。

使用测试

设置完后连接京东云路由。使用二级网段开始对一级网段的NAS和路由页面进行测试。如果访问不了，成功了一半。再测试外访能否成功，成功那就大功告成了。

总结

超简单的隔离方法。有需要的朋友可以试试。

作者声明本文无利益相关，欢迎值友理性交流，和谐讨论～