feat: update post wrt

Author: minortex

content/posts/wrt_configuration/image.webp

@@ -163,4 +163,45 @@ IPv6相比v4的b就是不同，就是邻居协议取代ARP，RA实现了DHCP的
 1. 连接到网络，先生成一个地址，用`::`发送到这个地址，看自己生成的`fe80::/16`有没有冲突，没有就使用。
 2. 向`ff02::`发送RS，寻找路由器。
 3. 路由器默认会每隔几分钟发送RA，接收到RS后，会尽快回复RA消息。
-4. 客户端自己生成一个全球唯一的可路由地址，然后再看有没有冲突，没冲突就开始使用这个地址上网。
+4. 客户端自己生成一个全球唯一的可路由地址，然后再看有没有冲突，没冲突就开始使用这个地址上网。
+
+## VLAN划分
+
+出于管理需要，我决定在路由器上面划分VLAN了,不过我其实并没有另一台VLAN的交换机，所以说并不是满血的VLAN。同时由于是新手，对于VLAN的理解肯定有不到位之处，请多包涵。
+
+### 简单的概念
+
+- trunk：在这个通道上面跑的是打上不同ID的VLAN。
+- access：某个端口，一般来说一个端口只分配给一个VLAN ID。
+
+在某个端口上面，选择了VLAN ID，有不同的标志可以分配：
+
+- 不属于：这个VLAN不分配到这个端口。
+- tagged：通过这个端口的数据包，都会被打上这个VLAN的ID。
+- untagged：通过这个端口的数据包，如果有VLAN ID，将会被删除掉。
+- 是主VLAN：如果从这个接口进来的数据包没有任何标记，就认为他是这个VLAN ID的。
+
+### 划分
+
+我的想法是，`.1`的网段分配给熟悉的设备上网，`.2`的网段分配给物联网设备，`.3`的网段分配给访客网络。
+
+所以我在设备上的`br-lan`的网桥VLAN过滤是这么配置的：
+
+![VLAN Settings](image.webp)
+
+这个本地指的是路由器的CPU可以识别这个VLAN的内容，从而对它进行设置DHCP服务器之类的操作。
+
+路由器有三个口，我全部分配给了VLAN1，同时设置为主VLAN接口（显示为*），这是因为我大概不会在这上面接物联网设备（因为都是2.4G的设备）和插入访客的网线。
+
+这时候在接口里面就可以看到这些虚拟的VLAN设备了，为它们设置DHCP服务器，防火墙，保存。
+
+在无线里面，可以创建很多个同频段的SSID（不会有人才知道吧），但是信道是一样的，接口配置里面可以选择关联的网络，这里选上你设置防火墙的接口，这时候通过这个SSID收到的数据就会自动地被交换机打上VLAN ID了。
+
+在防火墙里面可以做更加细致的管理，比如使用`conntrack`，只允许LAN区段的设备主动发起到IOT设备的连接，隔离访客网络和信任网络的区段，非常灵活。
+
+这时原有配置使用`br-lan`的应用，记得修改为`br-lan.1`。
+
+> 这里有一个我刚开始不明白的问题：
+> 外部网络根本不识别VLAN ID，那么转发到WAN的流量为什么会自动把VLAN头给去掉呢？
+
+其实不是主动去掉的，因为VLAN是二层的东西，路由（三层）和VLAN是两个相对独立的过程，跨局域网的时候需要换二层封装，所以VLAN ID自然没有了。