如何隔离家里的 homelab ip 段和家里设备访问 wifi 访问的 ip 段

家用路由器基本上都不支持静态路由表，https://v2ex.com/t/1093348#reply23

最简单的方法是，家里的设备访问的 WiFi 路由器上设置 DHCP ，homelab 内虚拟机全部挂载到另一个 openwrt 上，这样就天然隔离开了

如果你的需求是让部分 wifi 设备只能上网不能访问局域网，开启无线路由器的 guest 网络即可。

guest 网络有特殊安全性，导致有些 lot 设备不能配置 guest 网络，你手机 wifi 共享配成 guest 网络一样的 ssid 和密码，能让 lot 设备连上 guest 同名的 ssid ，之后关闭手机 wifi 共享就行了

最方便的是设置两个 vlan ，一个放 homelab 相关，一个其他设备，
还可以让两个 vlan 对应两个不同的 wifi ssid ，用哪个连哪个，印象里能刷 openwrt 的无线路由都支持这么搞。

理论上隔离广播域可以在二层用 vlan 交换机做，也可以三层用路由器做。

楼上说 wifi 路由器的 guest 实现方式是 vlan 子网划分和独立 dhcpd 服务。

可以在支持 openwrt 的路由器上自行实现类似的功能。

买支持多 lan 的路由器（或者软漏油），在路由器上设置防火墙规则不允许不想要的互访就行

猜你想要：防火墙
1 ）免费的 PfSense 、OPNSense
2 ）硬件 FortiGate 、PaloAlto 、CheckPoint 啥的
如果是简单单向不想给访问，如果条件允许 网关开在三层交换机上，写个 ACL 就好了

只是隔离 wifi 和 homelab ，不用 vlan, openwrt 配置策略就行，具体方式可以问 LLM 。

普通路由器很难，顶多 Wi-Fi 上用访客网络做隔离，但这种隔离功能很有限，譬如无法做到局域网内特定设备访问或隔离部分设备的互联网访问之类。企业路由或软路由的话很简单，这也是我换掉领势的原因之一，当初觉得 HomeKit 路由（ MX/AX4200 支持 HomeKit 安全路由）功能很强，实际各种难用

上闲鱼买台二手的防火墙，两个网口分两个安全域，有互访需要做策略放通，没需求做策略禁止。

路由器换成 ikuai 的，京东 100 多块钱，homelab 设备用 ip 分为一组，禁止访问 homelab 的分为一组，然后添加一个禁止访问的策略；另外 wifi 也可以设置禁止访问内网。

用不上 VLAN ，OpenWrt 开两个网络接口配置不通的 DHCP 网段就行

非常好的一个延伸。现在智能设备多了，各种莫名其妙漏洞也多了，家庭内网二层网络的访问控制就很有必要了。商用的交换机和 AP 似乎都支持端口隔离，家用的话按 mac 或 ip 划分独立 vlan 似乎是个简单的方案。

cidr+防火墙或者 cidr+网管交换机

综上所述，懂得自然懂，不懂的怎么讲弄都看不懂。
openwrt 、mikrotik 、 类 Linux 路由（爱快） 都能满足。
但隔离后又可能需要安全互访，又需要集成度高，可配置性强。那就只有 openwrt mikrtok 之流。爱快那些还是有居多局限性。即使你买一台商用的防火墙，也可能无法满足家用的场景和需求（因为商用防火墙只做防火墙功能）
家用的产品，如果对网络配置需求旺盛，那么只有瑞士军刀类的产品才能满足。不会出现我期望配置某个功能，但当前的设备软件达不到我要的效果。

但是复杂的配置意味着使用难度高，使用门槛高的问题。对网络原理不熟悉，可能连最基本的拨号上网都配不懂 NAT 也搞不懂（因为可配置的方法太多了，看着教程有可能配成不适合自己的方案）

例如 Tplink 那种商业路由 ER 系列的，连最基本的源地址路由都不支持。还敢叫自己定位是企业级路由。佩服。底层是 openwrt 只是软件没做出来而已。然后固件一大堆 bug ，更新到公开下载最新的固件，依然存在 DHCP 分配的租约 9999 年的问题。哪家企业敢用。

把路由器刷一个 OpenWRT 吧，自带的 VLAN 和防火墙功能可以满足你的需求。
不建议用 DHCP 划不同子网的方式，很容易被绕过。VLAN 的安全性会好很多。

@yinmin 有点意思，我试试

@yinmin IoT （ Internet of Things, 大写 i ）而非 loT （小写 L ）。