TP-Link ER系列路由器多网段划分及VLAN设置指南

如果就是简单的想分几个VLAN，可以参见官网文章:https://security.tp-link.com.cn/service/detail_article_4230.html
大致总结的思路步骤就是：
1、路由器添加VLAN，管理接口：如果需要通过这个子网访问路由器界面，则勾选，如不需要，可不勾选。
2、修改端口PVID
3、添加新增的VLAN的DHCP服务器
至此，路由器划分多网段功能完成。电脑接在端口3下接的交换机可获取到vlan2网段地址；接在端口4下接的交换机可获取到vlan3网段地址，均可以连接外网。各VLAN直接直接可以互访。

那问题来了！如果我不想各VLAN直接可以互访，或者VLAN1可以访问VLAN2，而VLAN2不能访问VLAN1等等有如何在路由器里操作呢？
这就需要参考官网另外一篇文章：https://smb.tp-link.com.cn/service/detail_article_4488.html
大致总结的思路步骤就是用路由器的访问控制配置各个VLAN之间的访问策略
1、点击“对象管理＞地址管理>地址”，新增VLAN10地址名称，如下图：

2、点击“对象管理＞地址管理>地址组”，新增VLAN10地址组名称，如下图：

3、以此类推把需要做访问控制的VLAN地址和地址组全部建立起来
4、点击“安全管理＞访问控制”，设置阻止某个VLAN访问其他网段的规则条目，如下图：

　　这里需要注意的是，如果已经建立好的策略，你修改后需要重启路由器才能生效，但是如果你删除策略重新建立后的策略则立即生效。例如上图中的策略已经生效，是阻止VLAN10和LAN通讯的，这时如果你把阻塞修改为放行，那么不会立即生效，需要重启路由器后才能生效！但是如果你新建一条允许的策略，然后把上面的阻塞策略删除后则立即生效！以上内容亲测有效！希望能帮助到大家！有问题欢迎跟帖留言！