迁移智能家居至专用VLAN后，我遭遇了哪些意想不到的问题？

将智能家居设备放在自己的 VLAN 上在理论上看起来是个相当简单的任务。你将物联网设备隔离，从而增强安全性，并保持你的主网络不受干扰。实际上，这比想象中要复杂得多。

当你开始对你的 智能家居 进行分段时，你会发现有多少设备默默依赖广播发现、跨子网通信，或者假设你家里的所有设备都在 同一个扁平网络 上。我最近决定将大部分智能家居设备移到一个 隔离的 VLAN 上，虽然这个过程相对简单，但后果却是立竿见影。事情运作得很好……直到它们真的不再工作。

为什么你会想要将所有智能家居设备放在专用 VLAN 上

这主要是为了安全

大多数消费级物联网设备并不以安全性闻名。它们将数据发送到云端，更新频率不如应有的那么高，许多设备运行的是简化版的操作系统，这些系统可能会随着时间的推移变得脆弱，原因可能是缺乏支持或其他因素。将它们放在自己的 VLAN 上可以让你将它们与主设备隔离开来。你的 PC、笔记本电脑、NAS 以及任何真正重要的设备将位于自己的子网中，与这些安全性较低的物联网设备隔离开来。

专用 VLAN 还可以减少广播流量。智能插头、灯泡和摄像头在网络上不断发送信息。当它们被隔离时，可以独立运行，而不会用 mDNS 或 SSDP 流量淹没你的局域网。

将 IoT 设备划分到自己的 VLAN 中的最实际的理由（除了安全性）可能就是它带给你的控制权。你可以决定哪些设备被允许与主网络通信，哪些可以访问互联网，以及哪些完全隔离开。

我换了些什么

摄像头、电视、智能家居助手……任何不是实际电脑的东西

我一创建 VLAN，就立刻把大部分智能家居迁移过去。摄像头是第一个加进去的，因为它们看起来是最大的安全隐患。接下来是智能家居助手，因为它能控制我放在 VLAN 里的其他所有设备。然后我又加了 HomePod、电视和智能插头。

我基本上换掉了所有不是我直接用的裸金属电脑。像我的家庭实验室电脑、工作站、沙发电脑、笔记本等，都没加到这个 VLAN，因为那样就违背了安全的初衷。我一完成，事情就开始变得奇怪起来。

出了什么问题

我怎么修复的

当所有设备都接入新的 VLAN 后，几样东西几乎立刻就不工作了。首先，设备发现完全失效，因为 mDNS 和 SSDP 默认情况下大多数情况下不跨 VLAN，所以像显示投射、智能插头和 HomePod 这些功能基本上都没用了。连 AirPlay 也完全不能用了。

Home Assistant 的集成功能完全失效了。任何依赖本地发现的设备都不工作了，比如 ESPHome 和 Tuya 的设备。摄像头也无法从 VLAN 外部访问，这其实是可以理解的。对于这样一个‘智能’家，我确实弄了不少‘傻’设备，但修复它们还算简单。

解决方案很简单

解除对多播和发现协议的限制

当我发现大多数问题都是因为多播和发现协议被阻止时，修复起来就简单多了。我在主局域网和物联网 VLAN 之间启用了 mDNS/Bonjour 反射器，这立刻恢复了 AirPlay、HomePod 的可见性以及 Home Assistant 的发现功能。允许 SSDP 流量跨子网传输解决了投射问题。对于摄像头，我设置了一些特定的规则，这样我的 NVR 就可以在不暴露其他 VLAN 的情况下访问它们。

有些供应商的应用程序仍然有问题，所以在配置时，我暂时把手机连接到物联网 VLAN，设置好设备后再切换回来。之后，这些设备在我创建的 VLAN 规则下运行良好。最后，只需要结合多播转发、一些特定的防火墙例外，以及选择允许与主局域网通信的设备。

VLAN 不一定复杂

把我的智能家居迁移到专用 VLAN 可没那么简单，就像翻个开关一样，但结果却是值得的。现在一切都正常运作，网络也感觉更清爽了，我对哪些物联网设备可以访问有了更多的掌控。