openwrt系统下划分vlan并下联二层交换机

网络规划要求：
1、分4个VLAN（1为默认VLAN）
2、VLAN4不允许上网
3、VLAN3允许上网，单与VLAN1、2、4隔离

具体具体设置步骤及方法：
1、首先建立3个VLAN（VLAN1系统已默认建立）
菜单：网络->接口->添加新接口
名称：VLAN2
协议：静态地址
接口：自定义输入 eth0.2
(注意：这里的eth0.2代表的就是VLAN2，同理eth0.3就代表VLAN3，以此类推)
然后点击“创建接口”，完成VLAN2的创建。

名称：VLAN3
协议：静态地址
接口：自定义输入 eth0.3
然后点击“创建接口”，完成VLAN3的创建。

名称：VLAN4
协议：静态地址
接口：自定义输入 eth0.4
然后点击“创建接口”，完成VLAN4的创建。

名称：VLAN100
协议：静态地址
接口：自定义输入 eth0.100
然后点击“创建接口”，完成VLAN100的创建。

小贴士：

VLAN（英文全称：VirtualLocalAreaNetwork，虚拟局域网），通过在支持VLAN的交换机上添加VLAN，并且动态的调整每个端口所属VLAN（默认端口都属于VLAN1），实现一台物理交换机上可以有多个LAN，每个LAN称作VLAN，VLAN之间的广播互不可达，VLAN间互不影响。

每个VLAN是一个独立的广播域，如果不同VLAN中的节点想要互相访问，需要通过一台三层或三层以上设备才能实现（比如路由器、三层交换机、防火墙等）。这样就增加了安全性，可以在三层设备上配置访问列表来达到流量控制的目的。

为了提高处理效率，交换机内部的数据帧一律都带有VLANTag，以统一方式处理。当一个数据帧进入交换机接口时，如果没有带VLANTag，且该接口上配置了PVID（PortDefaultVLANID），那么，该数据帧就会被标记上接口的PVID。如果数据帧已经带有VLANTag，那么，即使接口已经配置了PVID，交换机不会再给数据帧标记VLANTag。

理论上一台交换机最多可以分4096个VLAN ID。

除去VLAN1 1002-1005 0 还有 4095

所以一般是2-1001为可分配基本VLAN

1006-1024系统保留VLAN

1025-4094扩展VLAN

关于这个1006-1024某些厂商的设备是可以当作扩展VLAN使用的。

2、由于是在三层交换机上划分VLAN,所以接下来就是为每个VLAN设置IP地址并设置DHCP

以VLAN2为例：
菜单：网络->接口->编辑VLAN2





这样VLAN2的设置就算完成了！以此类推设置其他VLAN的IP及DHCP
3、设置路由器和二层交换机的级联端口，这里我们准备用路由器的LAN2口作为与二层交换机的级联端口
菜单：网络->交换机


上图为设置好的状态
原则是：如果端口需要通过VLAN信息就设置为“标记”，不需要通过VLAN信息就设置为“未标记”，没有或不让VLAN信息的数据通过的就选择“关闭”

本例中要求是通过LAN2网口和二层交换机级联，但是VLAN1的数据可以任意通过，所以就按上图做了设置！