創作立場宣告:開篇先申明一下,這篇文章僅僅自己折騰完以後分享一下自己折騰的結果,不教你怎麼家庭組網,你不要和我學,也請你們不要教我該怎麼做。我常和人說我家的網路就是個笑話,畢竟個人家庭使用那麼點需求,我竟然整了那麼大個機櫃,也確實比較誇張,這些我也都明白。所以各位好心人請壓制一下自己想開槓的衝動。如果真的忍不住的話,請先瞄準我們偉大的王校長,說服他家用真的不需要一臺七位數的伺服器。
前言
雖然這個帖子是為了參加UBNT論壇的一個活動寫的,也算是對我家網路的一個整體覆盤,在這裡分享一下。
我是一個Unifi的粉絲,但也算不上死忠粉,目前家用裝置從路由到交換機再到無線AP,使用的都是Unifi系列。其實,我最早對於網路產品並沒有太多品牌的概念,早先的概念中網路裝置高階一點的品牌就是思科、Aruba、Netgear、ASUS,本土品牌就是Huawei,Tplink,Dlink之類的,所以我最早是使用的網路裝置組合是Tplink企業級路由+思科POE交換機+Tplink無線控制器+Tplink無線AP,這套組合價格算下來也不算便宜,但是就是覺得無論是思科還是tplink的web介面真的有點土。後來遇到了偶發性斷流,處於個人偏見的原因,首先認為就是這一套裝置出了問題,最終整套換了。但整套換下後才發現其實是路由到光貓的網線出了問題,妥妥的背鍋俠。
其實我第一臺入手的UBNT裝置並非現在使用的UNIFI全家桶,而是一臺EdgeRouter 4,可惜我手頭已經沒有這臺裝置的上機照片了。當時出現網路問題後,我第一步考慮的是TP那臺路由器的問題,正好又看到有人推薦了EdgeRouter X,說是弱電箱神器。考慮到ERX不能安裝上櫃,於是選擇了ER4,透過官方配套支架安裝到機櫃裡。當時開啟設定頁面的感覺就非常的好,介面簡單直觀,可調的選項非常的多。而且調整完後,這臺路由執行效率的非常高,特別是開啟了硬體Offload後效能飆升,可玩性也極高。也是後來才知道,原來EdgeRouter的定位是專業的企業級路由,這套路由系統是可以和鼎鼎有名的ROS系統正面硬剛的,從此陌轉粉。直到現在,我手頭還留有一臺巴掌大小的EdgeRouter X,最佳路由備胎。
記得第一次讓我對UNIFI產品感興趣是在Chiphell論壇上看到一個壇友po出來他家裝修新裝的網路裝置,他使用的正是全套Unifi裝置。當我第一次看到帖子中Unifi的UI介面時,就震驚了,UI的設計如此簡潔但又精美,還可以直觀的顯示網路裝置的執行狀況。當時,恰好領導抱怨家裡Tplink的無線網路非常不穩定,網速也非常慢,所以升級網路裝置也就順理成章地被提上了日程,而Unifi全家桶是我當時唯一的目標。
家庭網路裝置佈局
先上家裡的平面圖。由於樓主不是工科出生,完全用不來CAD,自學了10分鐘後果斷放棄。所以在裝修前,我花了一整天,用VISIO畫出了這張平面圖。優不優秀?驕不驕傲?想不想打我?大哥我錯了,我不該問這問題!!!
房型圖
我買的這套是二手房,上家在裝修的時候把弱電箱挪到了位於餐廳A點的位置,現在還記得當時在看房的時候,他特地向我得瑟這個隔間,說拿他做家庭網路中心,空間大,足夠放裝置了。我轉頭就呵呵噠!一個高寬深僅僅350 x 350 x 300 mm的小空間,怎麼可能夠?
光纖入戶
位於書房B點的位置,是我目前放置機櫃的地方,當初要求工頭在AB兩點之間留一根空PVC管,裡面預置鐵絲。原計劃是用預置的鐵絲將光纖直接抽到書房,取消餐廳那個“巨大”的弱電箱,所有網路裝置在機櫃裡進行統一的管理。但是!電工害我!!!他在我PVC管裡還穿了一根七類遮蔽網線!!!好想死!!!然後就沒有然後了,待電信師傅上門把網線抽出來換成光纖的時候,發現這貨壓根就抽不動!!!電信師傅嘗試各種抽線姿勢,最後還是沒有抽動,只能放棄。最終這隻光貓只能被孤零零地留在A點的位置,實在是太悲催了。你說我請的電工優不優秀???
不知不覺已經碼了1400個字了,接著來。
當初在裝修時侯對網路的要求如下:
- 網路裝置不上桌面
- 吊頂設計不改,所以頂上不留線,放棄吊頂AP(後悔啊!!!)
- 主要生活區域,例如客廳、餐廳、臥室,至少保證1路網線
最後含光貓到路由的那路,一共在家裡拉了14路網線如下:
- 客廳共3路:無線AP,HTPC,IPTV
- 餐廳共2路:無線AP,路由上行鏈路(光貓到路由)
- 主臥共3路:無線AP,HTPC,IPTV
- 次臥共2路:無線AP,IPTV
- 書房共4路:無線AP,三面牆各留1路
裝修佈線
下圖可以看到我家Unifi裝置的擺放位置。不得不說,Unifi控制器裡面Floorplan這個功能真的不錯,可以比較直觀的模擬出家裡各個區域的無線訊號強度,和實際感受基本是一致的。但是新版介面下的Floorplan功能還沒開發完成,期待越改越好,千萬別開倒車啊!
Unifi Floorplan功能
Unifi Floorplan功能
目前實際使用下來,全屋5G毫無問題,無線漫遊正常。實話實說,Unifi的無線漫遊有時候還是會出現一些問題,主要集中在走廊位置,正好是4個無線AP訊號的重疊區域,偶爾會出現切換緩慢的情況。主衛由於四面都是混凝土承重牆造成的法拉第籠效應,訊號較弱,但也刷個網頁和微信也是夠用了。
裝置選擇
正如前面說的,我家的網路中樞設定在書房,裝修時候就在那裡規劃了一個機櫃。目前而言,我依舊覺得那是一個非常英明的決定。簡單介紹一下我目前使用的Unifi裝置。
機櫃
Unifi 拓撲圖
機櫃內
- 路由(安全閘道器):Next-Generation Gateway Pro
- 24口POE交換機:UniFi Switch 24 PoE Gen2
- 萬兆POE交換機:Switch XG 6 PoE
- Unifi控制器:UniFi Cloud Key Gen2 Plus
- UBNT六類網線若干(10cm,30cm,1m)
Unifi裝置圖
Unifi裝置圖
機櫃外
- 吸頂AP:UniFi AP SHD(數量1)
- 面板AP:UniFi HD In-Wall(數量4)
- 監控:UniFi Protect G3 FLEX Camera(數量1)
這些裝置都是用網線POE供電,非常的方便。
原先在書房規劃的也是IW-HD,但後來主力機附近的網口改萬兆後,就把IW- HD換成了Flex HD,安裝在機櫃側面的牆壁上。再到最近一次偶然的機會,入手了一臺SHD,從機櫃走了一根明線到壁櫥頂上,由於櫃門是一層薄薄的玻璃,目前看來對訊號影響是不大的。
UAP-AC-SHD大飛碟
IW-HD面板AP
G3 Flex攝像頭
家庭網路拓撲
在網路拓撲設計方面,我並沒有追求全屋萬兆。先不談全屋萬兆的搭建成本很高,單就我家裡的各類裝置目前而言大多也都用不到萬兆。
- 1080P監控:100 Mbps
- Wifi5無線AP:1 Gbps
- Apple TV:1 Gbps
- HTPC Intel NUC11:2.5 Gbps
- x86伺服器(兩臺):10Gbps
- 群暉RS1219+:10Gbps
- PC:10 Gbps
再來看看常見的應用對於網速的要求:
- 4K流媒體:全球平均40 Mbps,國內的假4K要求更低。
- 8K流媒體:油管8K風景片,連線速度要求<200 Mbps;如果是AV1編碼的,要求更低。總的來說,400 Mbps足夠支援任何8K流媒體播放了。
- 4K原盤:播放一部100G,100分鐘的4K藍光原盤,需要頻寬133 Mbps。
- 手遊:一般遊戲都有最佳化到支援4G行動網路速度,峰值100 Mbps,其實手機大多數時間的實際移動頻寬都到不了50 Mbps。相比頻寬而言,手遊其實對網路延時的要求更高。
- 極速下載:現在魔都最高為2Gbps頻寬,而P2P下載由於大多是小包資料轉發,所以就算頻寬給足了,SoC的算力不夠,頻寬也跑不滿。
而我對萬兆的需求大多集中在:
- 影片線上剪輯
- 無盤作業系統
- 遠端儲存和讀取遊戲檔案
- 大檔案的區域網內傳輸
所以我選擇的方案是主幹網以1Gbps為主,個別裝置需要萬兆網速的,增設一臺小型的萬兆交換機,增強體驗。這也就是我選擇Unifi第二代24口千兆POE交換機配合一臺XG 6萬兆POE++交換機的原因。
下面是我的網路拓撲:
網路拓撲圖
區域網規劃和部署
我家區域網一共劃分了6個網段:
- LAN:專門用來管理Unifi裝置,只有路由,交換機,無線AP,控制器,監控攝像頭
- VLAN 10:主力網段,正常上網裝置都使用
- VLAN 20:IoT智慧家居裝置專用的網段
- VLAN 40:主力網段,設定有旁路由第二閘道器,可以使用旁路由上的各類外掛
- Guest訪客網路
- L2TP遠端訪問
VLAN
關於為什麼在家裡要劃VLAN?答案其實很簡單,就是為了讓我能夠在一個平和的環境裡折騰網路。設想如果你把軟路由折騰趴了,全屋斷網,你家領導能坐得住嗎?透過虛擬區域網的切割,即使我在VLAN40裡面極盡所能的折騰,也不會對VLAN10產生任何的影響。哪怕我真的把軟路由搞炸了,領導也發現不了。
5個主要網段示意圖
Unifi的UI介面是真的好看!相當的簡潔直觀。在其他家必須要用命令列的設定,這裡只需要滑鼠點點點就可以實現了。
網路設定
關於使用VLAN的另一個原因是資料的安全性。現在乃至往後可以預想到,我會使用越來越多的智慧家居(IoT)物聯網產品。我非常喜歡智慧家居裝置帶來的便利,但是又對智慧家居裝置的網路安全感到非常擔憂。目前做智慧裝置的廠商多如牛毛,但是仔細看一下他們的廣告,基本沒有一家會提到自己裝置的安全性。可以這麼說,在智慧裝置行業,裝置的安全性是被忽視的。智慧裝置普遍售價都比非智慧的高,就是因為他更”智慧“,而非更”安全“。試想,作為消費者,同樣的兩款裝置放在你面前,功能都一樣,其中一個安全等級更高,但是要貴50%,你會選擇它嗎?試想,作為智慧裝置廠商,當你把裝置的資訊保安等級和產品的成本、外觀設計、遠端控制、裝置間聯動、跨平臺聯動等放在一起,你會把你手上那一丁點錢投向哪裡?目前主流智慧廠商,特別是初創企業的研發重點,我敢說絕不會落在裝置的網路安全上。所以,既然有所顧慮,那就把它關到籠子裡。
管理IoT裝置最麻煩的地方是,你不能簡單粗暴的使用訪客網路,因為訪客網路的裝置間通訊是隔離的,每臺裝置只能訪問外網,然而IoT裝置除了許多使用藍芽或者zigbee通訊方式的,很多還是需要和本地其他裝置相互溝通的,例如飛利浦的智慧LED燈就需要透過網路和Hue閘道器進行通訊。所以我使用防火牆在IoT裝置的VLAN和家庭主網的VLAN之間,砌了一道牆。透過修改防火牆設定來管理VLAN間路由,從而阻斷IoT向主網的單向通訊。
我主要參照了Unifi官方教程依樣畫葫蘆。UBNT在這方面做的還是相當不錯的,只要能看懂英文,難度幾乎為零。在UBNT的官方網站上可以找到各種網路設定的方法,圖文並茂。但有的教程顯然年代久遠,已經不適合現在最新的控制器了。另外,需要批評的是,本地化做的實在是太弱了。有些教程只有英文,找不到中文版,提高了系統的使用門檻。
旁路由
使用旁路由,歸根結底其實是要使用旁路由上的一些特色功能。簡單來說其實就是用OpenWRT的一些外掛,對資料流量進行加工,實現更快、更好地訪問網際網路。這些外掛基本是為了滿足一些定製化的需求而存在的,任何網路裝置大廠都不會把這些外掛整合到自己的路由系統裡面。一方面要享受Unifi全家桶帶來的高速、穩定的網路,另一方面又要享受這些定製化外掛帶來的便利,那最靈活的方式就是使用旁路由。關於這方面,我也寫過一篇簡單的筆記,記錄在Unifi系統下如何設定旁路由。Unifi下設定旁路由是非常簡單的,只需要在相關網路設定裡,修改DHCP伺服器裡的閘道器IP地址,讓它指向旁路由就可以了,剩下的就是在旁路由端的設定。
網路設定
遠端訪問
Unifi自帶了DDNS和遠端VPN伺服器兩項功能,透過配合使用,可以實現外網遠端訪問家庭區域網。我平時上班休息時間或者出差在外時,如果需要訪問家裡區域網裝置,就是使用Unifi的L2TP協議連線到本地區域網。這樣就和在家操作沒有任何差別了,透過IP地址就可以直接訪問本地的伺服器。
有的兄弟可能會說,遠端訪問我用埠轉發也同樣可以實現。是的,使用埠轉發同樣可以實現遠端訪問,但是有風險。轉發的埠就像你在防火牆上打洞,是沒有保護的。特別是一些常用埠,很容易被網際網路上居心不良的人掃描,甚至強行攻破。在一些微信群裡,我還看到有些人直接將OpenWRT、UNRAID之類的Web訪問埠轉發到了公網。要知道這類系統的安全級別幾乎為零,被掃描到後非常容易被攻破。這些自身安全性比較弱的裝置,還是應該安安靜靜的躲在防火牆後面才好。
遠端訪問
關於遠端訪問功能,我還是建議UBNT要開放OpenVPN方式的使用者遠端訪問,畢竟OpenVPN需要證書驗證,安全性上會略高於L2TP。
關於DDNS,我沒有使用Unifi控制器裡自帶的幾家DDNS供應商,而是沿用了之前一直使用的Aliyun DDNS。穩定性和更新速度都符合要求,也就沒必要換了。其實使用Unifi自帶的DDNS是更好的一個選擇,畢竟當外網IP發生變化後,閘道器會立刻通知域名供應商,更新IP地址。而我目前使用的DDNS更新方式,做不到那麼及時,但也夠用了。
動態域名
無線網路
Unifi最早吸引我的並不是他們家的路由和交換機,而是他們家的無線AP。但是近年來,儘管作為Unifi的死忠粉,還是不得不吐槽一下,Unifi在Wifi6 AP的產品開發方面,進度實在是太緩慢了。市面上完全找不到Unifi的一席之地。目前正式開售的Wifi6 AP只有兩款,Lite和LR,完全沒有嘗試的慾望。因此在Wifi6產品開售後,我堅定的入手了一臺SHD。總的來說,SHD作為一款旗艦級的高密度AP,訊號強度並不是最強,主要賣點是帶機量和穩定性。當然家用就不要考慮帶機量的問題,穩定性的確可以壓倒一眾AP。
在無線設定上,我建立了4個WIFI SSID,並且綁定了VLAN。當裝置連線到相應的SSID的那一刻,就自動進入了對應的VLAN裡面,獲取相應的網段IP。此外,Unifi還可以對每個SSID指定特定的無線頻段和無線AP,自由度非常的高。
無線網路
無線網路設定
在客戶端的介面上,也可以看到連線到不同SSID的裝置,及其所處的無線頻段,獲取的不同網段的IP地址,非常方便管理。
客戶端介面
在無線網路方面,有些人可能會為了追求更高的訊號覆蓋而盲目的提高裝置的傳輸功率。曾經我也有這樣的誤解,認為訊號越強,網速越快。但現實啪啪得打腫了我的臉。Unifi會自動設定AP的傳輸功率,維持在一個合理的設定上。相比先前手動調高發射功率,自動模式下實測頻寬還會略高於手動模式。當然,我相信如果你有專業的裝置和無線調教經驗,還是有更最佳化的空間。但是對於我而言,就沒必要了,交給Unifi來控制就行了。
AP射頻設定
威脅管理
Unifi另外吸引我的一個因素是他的威脅管理,也就是防火牆系統。當然相比專業的防火牆,這套系統在肯定是有差距的。但是比起其他的路由系統,這個功能就顯得強大了。在設定頁面,對於每一種網路威脅都可以透過單獨的開關進行開啟和關閉。只是開啟防火牆,會禁用路由的硬體加速功能,提高CPU的工作負荷,也會增加網路延遲,這是使用者自己需要權衡的。
威脅管理
在控制器介面,也可以檢視防禦威脅的情況。可以根據實際受到的攻擊調整威脅管理的設定。
介面視覺化
到目前為止,我確實沒看到哪家網路裝置商會像UBNT這樣,在視覺化上花費那麼多的精力。Unifi的介面設計絕對是業界一流的。新介面對之前老介面的一些功能也進行了調整和重構,使介面顯得更現代、更簡潔,挺不錯的。但是新介面在設定裡減少了選單層級,許多功能都被藏的更深了,一時間難以找到,反倒是老介面的設定更方便。例如,埠轉發的設定,被藏在非常深的位置。
新版介面
我特別喜歡新介面的資料統計模組,分類非常詳細。瀑布的顯示方式,也比較簡潔直觀。
流量統計
老介面的Dashboard是支援自定義的,雖然沒什麼卵用,基本也不會去看他。
老版介面自定義dashboard
實際效果
首先是用iperf3進行打壓測試,服務端是搭建在群暉上的。有線測速該千兆就千兆,該萬兆就萬兆,穩得很。主要看一下無線打壓測速。實測跨VLAN和不跨VLAN的頻寬差異不大。MBP的無線速度反倒沒有Samsung S21+的快,有點出乎我的意料。但基本上跑到600Mbps問題是不大的。我記得之前用iMac連SHD最高測速可以穩定在780~800Mbps。
無線網速實測
透過Ping上海電信的DNS伺服器,簡單的看一下網路延時情況。在無線網路下,平均延時在10ms左右。而有線網路就要快很多,也穩定很多,延時為4ms。但是,我曾經看到我一個南京的兄逮,Ping 114 DNS伺服器的延時在<1ms,感覺就和坐在伺服器上一樣。當然,其實並不是說Unifi的效能不行,而是我那個兄弟的網路延時太變態了。他使用了UBNT的EdgeRouterX SFP路由直連Ponstick,省去了光貓。此外,他還把DHCP伺服器和DNS閘道器之類都挪到了另一單獨立的伺服器上,ERX SFP只用來做NAT網路地址轉換,整個路由功能相當精簡。但這可能也不是全部的原因,可能他們小區本身外部網路就比我家更好。總的來說,我家目前實測的這個資料,我個人還是滿意的。
網路延時
漫遊方面,我是用三星S21+上的WiFi魔盒應用進行測試,在走動過程中,共發生10次漫遊,0次丟包,切換時間通常在70~80ms之間,測試的結果還算滿意。但印象裡這個速度相比思科和Aruba而言,還是慢了一些。如果是看影片流媒體,由於有快取的存在,基本可以零感知。但如果玩遊戲的話,在切換的時候可以想見的是肯定會卡一下。
無線漫遊
總結
Unifi全家桶這一整套佈置下來,價格不菲。但最後呈現出的效果還是相當不錯的,是我喜歡的樣子。一開始我只以為Unifi的無線很厲害,但到後來上了全家桶後才發現,原來Unifi的控制器才是它的靈魂。透過Unifi的控制器,他把原先割裂的各網路組成部分真正有機的捏合到了一起。加上完善的WebUI和資料視覺化,降低了Unifi網路部署的難度,讓我這樣一個只知道網路知識皮毛的門外漢可以根據自身的需求進行進階部署。當然,我並不是說Unifi的產品已經可以和思科之類的頭部企業相匹敵的地步,相反,我認為在硬體上,UBNT還有很多路要走,要加快產品的開發,開發出符合使用者需求的產品。但是,至少在對於網路的理解、網路應該是什麼樣的,未來該是什麼樣的,UBNT的創始人的確是有自己的憧憬和願景的。
本文經“什麼值得買”社群作者@弓佬授權轉載,文章內容僅代表作者觀點,與本站立場無關,未經授權請勿轉載。
