兄弟，我明白你的困扰——主路由器没法新建VLAN，但又想把对外暴露的服务器和内网设备隔离开，防止外部攻击者通过服务器渗透到内网。好在你手里的TP-Link TL-SG105E是二层网管交换机，这就是解决问题的核心工具！下面给你一步步说怎么操作：

核心思路 #

我们利用二层交换机的VLAN功能，把服务器单独划分到一个专属VLAN，同时让服务器能正常访问外网（通过主路由），但和原内网的其他设备（主路由LAN、小米桥接路由、Wi-Fi中继下的设备）实现二层隔离，这样外部访问服务器时，就没法跳转到你的内网其他设备了。

具体操作步骤 #

1. 规划VLAN配置 #

我们给服务器分配一个独立VLAN（比如VLAN 10），原内网设备保留在默认的VLAN 1（主路由器仅支持这个VLAN）。

2. 配置TP-Link TL-SG105E交换机 #

• 首先登录交换机的管理界面（通常默认地址是192.168.0.1或192.168.1.1，账号密码看设备标签）。
• 进入「VLAN」→「802.1Q VLAN」页面，点击「添加」：
  • 输入VLAN ID为10，可以给它起个名字比如Server_VLAN。
  • 端口设置部分：
    • 找到连接服务器的那个端口（比如端口1），设置为Access模式，勾选VLAN 10的「Untagged」选项，确保服务器的流量不带标签进入VLAN 10。
    • 找到连接主路由器的那个端口（比如端口5），设置为Trunk模式，同时勾选VLAN 1和VLAN 10的「Tagged」选项，把这个端口设为能承载两个VLAN的流量通道；另外把这个端口的PVID设为1，保证主路由器发来的默认流量属于VLAN 1。
    • 其他连接内网设备的端口，保持默认的Access模式，属于VLAN 1即可。
• 保存配置，交换机重启后生效。

3. 设置服务器网络参数 #

给服务器配置静态IP地址，网段要和主路由器的LAN网段一致（比如主路由器LAN是192.168.3.1，服务器可以设为192.168.3.100），网关设置为主路由器的LAN IP，DNS可以用主路由器地址或者公共DNS（比如114.114.114.114）。

4. 验证隔离效果 #

• 用内网设备（比如连主路由器Wi-Fi的手机）ping服务器的静态IP，如果ping不通，说明VLAN隔离已经生效，内网设备无法直接访问服务器。
• 测试外网访问：用外部网络（比如手机流量）访问服务器的HTTP/HTTPS端口，能正常打开页面就说明服务器的外网访问没问题。

5. 可选优化（按需设置） #

如果需要特定内网设备访问服务器，可以在交换机的「ACL」功能里添加规则，允许指定IP地址访问服务器的特定端口（比如HTTP 80、HTTPS 443），默认保持隔离状态即可。

备注：内容来源于stack exchange，提问作者newman