今天給大家帶來了第二期的嗲案例《打造極度舒適的150平小平層家庭網路》,來看看作者究竟是怎樣打造他的家庭網路的。
前 言
非常感謝 Ubiquiti 論壇組織的本次分享活動,希望這樣的精品活動多多益善,造福我們粉絲。我是一個 UniFi 的死忠粉,目前家用裝置從路由到交換機再到無線 AP,使用的都是 UniFi 系列。其實,我最早對於網路產品並沒有太多品牌的概念,早先的概念中網路裝置高階一點的品牌就是思科、Aruba、Netgear、ASUS,本土品牌就是 Huawei,Tplink,Dlink之類的,所以我最早是使用的網路裝置組合是 Tplink 企業級路由+思科 POE 交換機+Tplink 無線控制器+Tplink無線 AP,這套組合也不是不能用,但無論是最直觀的網速,還是長期的網路穩定性,亦或者是網路配置的方便程度,以及可玩性都非常的差。Tplink 可能也知道他們家裝置的不穩定,所以在無線控制器裡面有一個選項是定時重啟無線 AP,簡單粗暴。
直到我接觸了 Ubiquiti 的產品,我就徹底成為了 Ubiquiti 的粉絲了。其實我第一臺入手的 Ubiquiti 裝置並非現在使用的 UNIFI 全家桶,而是一臺 EdgeRouter 4,可惜我手頭已經沒有這臺裝置的上機照片了。當時對 Tplink 路由的效能非常不滿意,正好又有人推薦了我 EdgeRouter X,說是弱電箱神器。考慮到 ER-X 不能安裝上櫃,於是選擇了 ER-4,透過官方配套支架安裝到機櫃裡。當時開啟設定頁面的感覺就非常的好,介面簡單直觀,可調的選項非常的多。而且調整完後,這臺路由執行效率的非常高,特別是開啟了硬體 Offload 後效能飆升,可玩性也極高。也是後來才知道,原來 EdgeRouter 的定位是專業的企業級路由,這套路由系統是可以和鼎鼎有名的 ROS 系統正面硬剛的,從此陌轉粉。直到現在,我手頭還留有一臺巴掌大小的EdgeRouter X,最佳路由備胎。
我記得第一次讓我對 UniFi 產品感興趣是在 Chiphell 論壇上看到一個壇友 po 出來他家裝修新裝的網路裝置,他使用的正是全套 UniFi 裝置。當我第一次看到帖子中 UniFi 的 UI 介面時,就震驚了,UI 的設計如此簡潔但又精美,還可以直觀的顯示網路裝置的執行狀況。當時,恰好領導抱怨家裡 Tplink 的無線網路非常不穩定,網速也非常慢,所以升級網路裝置也就順理成章地被提上了日程,而 UniFi 全家桶是我當時唯一的目標。
廢話有點多,不過這也算是我之前折騰網路裝置的一次小小的總結,下面才是主菜。
簡單梳理一下
後面的文章主要會涉及到以下幾個部分
1. 家庭網路裝置佈局
2. 裝置選擇
3. 家庭網路拓撲
4. 區域網規劃和部署
5. 無線網路
6. 威脅管理
7. 介面視覺化
8. 實際效果
9. 總結
家庭網路裝置佈局
先上家裡的平面圖。由於樓主不是工科出生,完全用不來 CAD,自學了 10 分鐘後果斷放棄。所以在裝修前,我花了一整天,用 VISIO 畫出了這張平面圖。優不優秀?驕不驕傲?想不想打我?大哥我錯了,我不該問這問題!!!
我買的這套是二手房,上家在裝修的時候把弱電箱挪到了位於餐廳 A點 的位置,現在還記得當時在看房 的時候,他特地向我得瑟這個隔間,說拿他做家庭網路中心,空間大,足夠放裝置了。我轉頭就呵呵噠。一個高寬深僅僅 350 x 350 x 300 mm 的小空間,怎麼可能夠?
位於書房 B 點的位置,是我目前放置機櫃的地方,當初要求工頭在 AB 兩點之間留一根空 PVC 管,裡面預置鐵絲。原計劃是用預置的鐵絲將光纖直接抽到書房,取消餐廳那個“巨大”的弱電箱,所有網路裝置在機櫃裡進行統一的管理。但是!電工害我!!!他在我 PVC 管裡還穿了一根七類遮蔽網線!!!好想死!!!然後就沒有然後了,待電信師傅上門把網線抽出來換成光纖的時候,發現這貨壓根就抽不動!!!電信師傅嘗試各種抽線姿勢,最後還是沒有抽動,只能放棄。最終這隻光貓只能被孤零零地留在A點的位置,實在是太悲催了。你說我請的電工優不優秀???
不知不覺已經碼了 1400 個字了,接著來。
當初在裝修時候對網路的要求如下:
1. 網路裝置不上桌面
2. 吊頂設計不改,所以頂上不留線,放棄吊頂 AP(後悔啊!!!)
3. 主要生活區域,例如客廳、餐廳、臥室,至少保證1路網線最後含光貓到路由的那路,一共在家裡拉了 14 路網線如下:
1. 客廳共 3 路:無線 AP,HTPC,IPTV
2. 餐廳共 2 路:無線 AP,路由上行鏈路(光貓到路由)
3. 主臥共 3 路:無線 AP,HTPC,IPTV
4. 次臥共 2 路:無線 AP,IPTV
5. 書房共 4 路:無線 AP,三面牆各留1路
下圖可以看到我家 UniFi 裝置的擺放位置。不得不說,UniFi 控制器裡面 Floorplan 這個功能真的不錯,可以比較直觀的模擬出家裡各個區域的無線訊號強度,和實際感受基本是一致的。但是在新版介面中,新的 Floorplan 的功能還沒上線,期待越改越好,千萬別開倒車。
目前實際使用下來,全屋 5G 毫無問題,無線漫遊正常。實話實說,UniFi 的無線漫遊有時候還是會出現一些問題,主要集中在走廊位置,正好是 4 個無線 AP 訊號的重疊區域,偶爾會出現切換緩慢的情況。主衛由於四面都是混凝土承重牆造成的法拉第籠效應,訊號較弱,但也刷個網頁和微信也是夠用了。
裝置選擇
正如前面說的,我家的網路中樞設定在書房,裝修時候就在那裡規劃了一個機櫃。目前而言,我依舊覺得那是一個非常英明的決定。簡單介紹一下我目前使用的 UniFi 裝置。
機櫃內
1. 路由(安全閘道器):Next-Generation Gateway Pro
2. 24 口 POE 交換機:UniFi Switch 24 PoE Gen2
3. 萬兆 POE 交換機:Switch XG 6 PoE
4. UniFi 控制器:UniFi Cloud Key Gen2 Plus
5. Ubiquiti 六類網線若干(10cm,30cm,1m)
機櫃外
1. 吸頂 AP:UniFi AP SHD(數量 1)
2. 面板 AP:UniFi HD In-Wall(數量 4)
3. 監控:UniFi Protect G3 FLEX Camera(數量1) 這些裝置都是用網線 POE 供電,非常的方便。
原先在書房規劃的也是 IW-HD,但後來主力機附近的網口改萬兆後,就把 IW- HD 換成了 Flex HD,安裝在機櫃側面的牆壁上。再到最近一次偶然的機會,入手了一臺 SHD,從機櫃走了一根明線到壁櫥頂上,由於櫃門是一層薄薄的玻璃,目前看來對訊號影響是不大的。
家庭網路拓撲
在網路拓撲設計方面,我並沒有追求全屋萬兆。先不談全屋萬兆的搭建成本很高,單就我家裡的各類裝置目前而言大多也都用不到萬兆。
1. 1080P 監控:100 Mbps
2. Wifi5 無線AP:1 Gbps
3. Apple TV:1 Gbps
4. HTPC Intel NUC11:2.5 Gbps
5. x86 伺服器(兩臺):10Gbps
6. 群暉 RS1219+:10Gbps
7. PC:10 Gbps
再來看看常見的應用對於網速的要求:
1. 4K 流媒體:全球平均 40 Mbps,國內的假4K要求更低。
2. 8K 流媒體:油管 8K 風景片,連線速度要求 <200 Mbps;如果是 AV1 編碼的,要求更低。總的來說,400 Mbps 足夠支援任何 8K 流媒體播放了。
3. 4K 原盤:播放一部 100G,100 分鐘的 4K 藍光原盤,需要頻寬 133 Mbps。
4. 手遊:一般遊戲都有最佳化到支援4G行動網路速度,峰值 100 Mbps,其實手機大多數時間的實際移動頻寬都到不了 50 Mbps。相比頻寬而言,手遊其實對網路延時的要求更高。
5. 極速下載:現在魔都最高為 2Gbps 頻寬,而 P2P 下載由於大多是小包資料轉發,所以就算頻寬給足了,SoC 的算力不夠,頻寬也跑不滿。
我周邊的一些萬兆玩家,對萬兆的需求大多集中在:
1. 影片線上剪輯
2. 無盤作業系統
3. 遠端儲存和讀取遊戲檔案
4. 大檔案的區域網內傳輸
所以我選擇的方案是主幹網以 1Gbps 為主,個別裝置需要萬兆網速的,增設一臺小型的萬兆交換機,增強體驗。這也就是我選擇 UniFi 第二代 24 口千兆 POE 交換機配合一臺 XG 6 萬兆POE++ 交換機的原因。
下面是我的網路拓撲
區域網規劃和部署
我家區域網一共劃分了 6 個網段:
1. LAN:專門用來管理 UniFi 裝置,只有路由,交換機,無線 AP,控制器,監控攝像頭
2. VLAN 10:主力網段,正常上網裝置都使用
3. VLAN 20:IoT 智慧家居裝置專用的網段
4. VLAN 40:主力網段,設定有旁路由第二閘道器,可以使用旁路由上的各類外掛
5. Guest 訪客網路
6. L2TP 遠端訪問
VLAN
關於為什麼在家裡要劃 VLAN?答案其實很簡單,就是為了讓我能夠在一個平和的環境裡折騰網路。設想如果你把軟路由折騰趴了,全屋斷網,你家領導能坐得住嗎?透過虛擬區域網的切割,即使我在 VLAN40 裡面極盡所能的折騰,也不會對 VLAN10 產生任何的影響。哪怕我真的把軟路由搞炸了,領導也發現不了。
UniFi 的 UI 真的是要吹爆的,相當的簡潔直觀。在其他家必須要用命令列的設定,這裡只需要滑鼠點點點 就可以實現了。
關於使用 VLAN 的另一個原因是資料的安全性。現在乃至往後可以預想到,我會使用越來越多的智慧家居(IoT)物聯網產品。我非常喜歡智慧家居裝置帶來的便利,但是又對智慧家居裝置的網路安全感到非常 擔憂。目前做智慧裝置的廠商多如牛毛,但是仔細看一下他們的廣告,基本沒有一家會提到自己裝置的 安全性。可以這麼說,在智慧裝置行業,裝置的安全性是被忽視的。智慧裝置普遍售價都比非智慧的高,就是因為他更”智慧“,而非更”安全“。試想,作為消費者,同樣的兩款裝置放在你面前,功能都一 樣,其中一個安全等級更高,但是要貴 50%,你會選擇它嗎?試想,作為智慧裝置廠商,當你把裝置的 資訊保安等級和產品的成本、外觀設計、遠端控制、裝置間聯動、跨平臺聯動等放在一起,你會把你手 上那一丁點錢投向哪裡?目前主流智慧廠商,特別是初創企業的研發重點,樓豬敢說絕不會落在裝置的網路安全上。所以,既然有所顧慮,那就把它關到籠子裡。
管理 IoT 裝置最麻煩的地方是,你不能簡單粗暴的使用訪客網路,因為訪客網路的裝置間通訊是隔離的, 每臺裝置只能訪問外網,然而 IoT 裝置是需要本地相互溝通的。所以我使用防火牆在 IoT 裝置的 VLAN 和家庭主網的 VLAN 之間,砌了一道牆。透過修改防火牆的設定管理 VLAN 間路由,讓實現不同的 VLAN 的雙向通訊,單向通訊,不通訊,甚至你可以讓不讓這個 VLAN 的裝置訪問外部網路。
我主要參照了 UniFi 官方教程依樣畫葫蘆,只要能看懂英文,難度幾乎為零。 Ubiquiti 在這方面做的還是相當不錯的,在 Ubiquiti 的官方網站上可以找到各種網路設定的方法,圖文並茂。但有的教程顯然年代久遠,已經不適合現在最新的控制器了。另外,需要批評的是,本地化做的實在是太弱了。有些教程只有英文,找不到中文版,提高了系統的使用門檻。
旁路由
使用旁路由,歸根結底其實要使用旁路由上的一些特色功能。其實就是使用 OpenWRT 的一些外掛, 來對資料流量進行加工,實現更快、更好地訪問網際網路。這些外掛基本是為了滿足一些定製化的需求而存在的,任何網路裝置大廠都不會把這些外掛整合到自己的路由系統裡面。一方面要享受 UniFi 全家桶帶來的高速、穩定的網路,另一方面又要享受這些定製化外掛帶來的便利,那最靈活的方式就是使用旁路由。關於這方面,我也寫過一篇簡單的筆記,記錄在 UniFi 系統下如何設定旁路由。UniFi 下設定旁路由是 非常簡單的,只需要在相關網路設定裡,修改閘道器 IP 地址,讓它指向旁路由就可以了,剩下的就是在旁路由端的設定。
遠端訪問
UniFi 自帶了 DDNS 和遠端 VPN 伺服器兩項功能,透過配合使用,可以實現外網遠端訪問家庭區域網裝置。平時上班休息時間或者出差在外,如果需要訪問家裡區域網裝置可以使用 UniFi 的 L2TP 協議連線到本 地區域網,這樣就可以透過 IP 地址直接訪問本地的伺服器了。有的兄弟可能會問,遠端訪問我用埠轉 發也同樣可以實現啊。是的,使用埠轉發同樣可以實現遠端訪問,但是有風險。轉發的埠,特別是一些常用的埠,很容易被網際網路上居心不良的人掃描,甚至強行攻破。特別是,我看到有人直接將 OpenWRT,UNRAID 的 Web 訪問埠轉發到了公網。要知道這類系統的安全級別幾乎為零,被掃描到後非常容易被攻破。這些安全性比較弱的裝置,還是應該安安靜靜地躲在防火牆後面才好。
關於遠端訪問功能,我還是建議要開放 OpenVPN 方式的使用者遠端訪問,畢竟 OpenVPN 需要證書驗證, 安全性上會略高於 L2TP。
關於 DDNS,我沒有使用 UniFi 控制器裡自帶的幾家 DDNS 供應商,而是沿用了之前一直使用的 Aliyun DDNS。穩定性和更新速度都符合要求,也就沒必要換了。其實使用 UniFi 自帶的DDNS 是更好的一個選擇,畢竟當外網 IP 發生變化後,閘道器會立刻通知域名供應商,更新 IP 地址。而我目前使用的 DDNS 更新方式,做不到那麼及時,但也夠用了。
無線網路
UniFi 最早吸引我的並不是他們家的路由和交換機,而是他們家的無線 AP。但是近年來,儘管作為UniFi的死忠粉,還是不得不吐槽一下,UniFi 在 Wifi6 AP 的產品開發方面,進度實在是太緩慢了。市面上完全找不到 UniFi 的一席之地。目前正式開售的 Wifi6 AP 只有兩款,Lite 和 LR,完全沒有嘗試的慾望。
因此在 Wifi6 產品開售後,我堅定的入手了一臺 SHD。總的來說,SHD 作為一款旗艦級的高密度 AP,訊號強度並不是最強,主要賣點是帶機量和穩定性。當然家用就不要考慮帶機量的問題,穩定性的確可以壓倒一眾 AP。
在無線設定上,我建立了 4 個 WIFI SSID,並且綁定了 VLAN。當裝置連線到相應的 SSID 的那一刻,就自動進入了對應的 VLAN 裡面,獲取相應的網段 IP。此外,UniFi 還可以對每個 SSID 指定特定的無線頻段和無線AP,自由度非常的高。
在客戶端的介面上,也可以看到連線到不同 SSID 的裝置,連線的是不同的無線頻段,獲取不同的 IP 網段,非常方便管理。
在無線網路方面,有些人可能會為了追求更高的訊號覆蓋而盲目的設定傳輸功率。曾經我也有這樣的誤解,認為訊號越強,網速越快。但現實啪啪得打腫了我的臉。UniFi 會自動設定 AP 的傳輸功率,維持在一個合理的設定上。相比先前手動調高發射功率,肉眼可見的是實測無線傳輸速率從 600 mbps上升到了800 mbps,無線漫遊切換更順暢了。當然,我相信如果你有專業的裝置和無線調教經驗,還是有更最佳化的空間。但是對於我而言,我自己手動調整的結果相比自動設定降低了效能,那又何必自找麻煩,交給 UniFi 來控制就行了。
威脅管理
UniFi 另外吸引我的一個因素是他的威脅管理,也就是防火牆系統。當然相比專業的防火牆,這套系統在 安全性上肯定是無法相提並論的。但是相比其他的路由系統,他還是相當強的。在設定頁面,對於每一 種網路威脅都可以透過開關進行開啟。但是開啟防火牆,會禁用路由的硬體加速功能,提高 CPU 的工作負荷,也會增加網路延遲,這是使用者需要自己權衡的。
在控制器介面,也可以檢視防禦威脅的情況。可以根據實際受到的攻擊調整威脅管理的設定。
介面視覺化
到目前為止,我確實沒看到哪家網路裝置商會像 Ubiquiti 這樣,在視覺化上花費那麼多的精力。UniFi 的介面設計絕對是業界一流的。新介面對之前老介面的一些功能也進行了調整和重構,使介面顯得更現代、更簡潔,挺不錯的。但是新介面在設定裡減少了選單層級,許多功能都被藏的更深了,一時間難以找到,反倒是老介面的設定更方便。例如,埠轉發的設定,被藏在非常深的位置。
我特別喜歡新介面的資料統計模組,分類非常詳細。瀑布的顯示方式,也比較簡潔直觀。
老介面的 Dashboard 是支援自定義的,雖然沒什麼用,基本也不會去看他。
實際效果
首先是用 iperf3 進行打壓測試,服務端是搭建在群暉上的。有線測速該千兆就千兆,該萬兆就萬兆,穩得很。主要看一下無線打壓測速。實測跨 VLAN 和不跨 VLAN 的頻寬差異不大。MBP 的無線速度反倒沒有 Samsung S21+ 的快,有點出乎我的意料。但基本上跑到 600Mbps 問題是不大的。我記得之前用 iMac 連 SHD 最高測速可以穩定在 780~800Mbps。
透過 Ping 上海電信的 DNS 伺服器,簡單的看一下網路延時情況。在無線網路下,平均延時在 10ms 左右。而有線網路就要快很多,也穩定很多,延時為 4ms。但是,我曾經看到我一個南京的兄弟,Ping 114 DNS 伺服器的延時在 <1ms,感覺就和坐在伺服器上一樣。當然,其實並不是說 UniFi 的效能不行,而是我那個兄弟的網路延時太變態了。他使用了 Ubiquiti 的 EdgeRouterX SFP 路由直連 Ponstick,省去了光貓。此外,他還把 DHCP 伺服器和 DNS 閘道器之類都挪到了另一臺伺服器上,ERX SFP 只用來做 NAT 網路地址轉換,整個路由功能相當精簡。但這可能也不是全部的原因,可能他們小區本身外部網路就比我家更好。總的來說,我家目前實測的這個資料,我個人還是滿意的。
漫遊方面,我是用三星 S21+上的 WiFi 魔盒應用進行測試,在走動過程中,共發生 10 次漫遊,0 次丟包,切換時間通常在 70~80ms 之間,測試的結果還算滿意。但印象裡這個速度相比思科和 Aruba 而言,還是慢了一些。如果是看影片流媒體,由於有快取的存在,基本可以零感知。但如果玩遊戲的話,在切換的時候可以想見的是肯定會卡一下。
總 結
UniFi 全家桶這一整套佈置下來,價格不菲。但最後呈現出的效果還是相當不錯的,是我喜歡的樣子。一開始我只以為 UniFi 的無線很厲害,但到後來上了全家桶後才發現,原來 UniFi 的控制器才是它的靈魂。透過 UniFi 的控制器,他把原先割裂的各網路組成部分真正有機的捏合到了一起。加上完善的 WebUI 和資料視覺化,降低了 UniFi 網路部署的難度,讓我這樣一個只知道網路知識皮毛的門外漢可以根據自身的需求進行進階部署。在這個方面,基於我有限的認知,UniFi 領先了整個網路行業一個時代。當然,我並不是說 UniFi 的產品已經可以和思科之類的頭部企業相匹敵的地步,相反,我認為在硬體設計上, Ubiquiti 還有很多路要走,要加快產品的開發,開發出符合使用者需求的產品。但是,至少在對於網路的理解、網路應該是什麼樣的,未來該是什麼樣的, Ubiquiti 的創始人的確是有自己的憧憬和願景,而我也認同著一種產品理念。
作者:voandrew
原文連結:「連結」
著作權歸作者所有,僅代表作者觀點。商業轉載請聯絡作者獲得授權。
