我的工控机用来作为路由器、开发环境、服务器以及远程电脑之外，还打算搭建一些特殊测试环境。我对特殊测试环境网络的需求是，其网络是单独隔离的。即家里局域网要有两个网段，其中一个网段是日常上网所用，另一个是测试环境所用，常用网络可以访问测试环境的网络，测试环境的网络必须无法访问常用网络。

之前在iKuai路由器里配置了两个lan口，lan1是192.168.9.254，lan2是192.168.33.254，lan1用于日常上网网络，lan2用于特殊测试环境。一开始我以为在lan1禁止其他LAN访问，在lan2允许其他LAN访问的配置就可以实现我的需求。结果，两个网段的系统互相访问不通，但都可以访问对方的网关。我于是把lan1也配置了允许其他LAN访问，测试结果是lan2下的系统可以ping通lan1下的系统，lan1下的系统无法ping通lan2的系统。配置了静态路由，也没法解决问题，搜索一下发现在ikuai论坛的一个帖子里有人也遇到双lan无法互通的情况，便觉得这可能是iKuai的bug，于是没有再多做研究，想着等下一个系统更新了就能好。

昨天发现iKuai系统有了新的版本，把系统更新了，结果却情况依旧。我觉得应该是其他问题导致的，比如win10系统默认禁ping了，一查果然如此。对测试环境的win10系统启用远程ping，两个lan口都允许其他LAN访问的情况下，两个网段的系统终于可以访问彼此了。

接下来就是解决只能单向访问的问题。

iKuai路由器多lan口互通，必须都勾选了允许其他LAN访问这个配置。可这么一来就没法做到单向访问控制，我需要测试环境网络不会对日常上网网络产生安全隐患的需求无法实现。尝试关闭lan1的允许其他LAN访问配置，然后另外配置路由实现lan1对lan2的访问，依然无法实现目标。在即将放弃之时，突然想起来是否可以通过防火墙安全设置来解决问题，一试之下便得尝所愿。

我一共配置了两个ACL规则。其一是：任意协议任意源地址访问lan1网段的“转发方向”流量都进行阻断，这样就可以禁止lan2网络下的系统无法访问lan1下的任何设备；其二是：任意协议任意源地址访问lan1网关(192.168.9.254)的“进方向”流量全部阻断，这样可以保证lan2网络下的系统都无法访问lan1的网关。

在家庭网络环境里做网络隔离，目的除了我需要一个特殊的测试环境外，还可以用于隔离智能家居设备，避免一些可能的安全隐患。比如在同一个网络下智能家居设备因为存在漏洞被劫持后，可能会影响电脑、NAS等设备的数据安全。