Matrix 首頁推薦
文章代表作者個人觀點,少數派僅對标題和排版略作修改。
前言
當然每家每戶的情況都很不一樣,本文我就以我老家三次網絡結構調整的一些經驗和問題為主,詳細講講怎麼讓家中的老人用上舒心的網絡。
正文
我家是一個二〇一〇年代中後期的房子,在交房之初國内還處于百兆寬帶普及的階段,是以家庭的基礎網絡布線還是不錯的——做到了 Cat.5e 線布到每個房間,這為之後鋪設良好網絡建立的良好的條件。但是開發商仍然留了不少暗坑給我,下面讓我們先整理一下最開始的網絡拓撲結構。
拓撲梳理
最開始我們先看看我家的的結構圖以及弱電箱
家中的戶型,以及網口分布圖
可以看的出幾個主要活動的區域的網口覆寫還是相當到位的,但是弱電箱在走廊中間的儲物櫃中且隻有一點點大,塞滿了裝置的弱電箱簡直慘不忍睹:
開發商留下的弱電箱
讓我們梳理一下弱電箱中的各個部分和子產品的功能:
GPON 光貓:負責光纖入戶以及播号,同時需要供給電話信号。
百兆交換機子產品兩個:負責全屋網絡交換,共計兩個 12 根網線。
電話線交換子產品:負責電話信号撥入以及分發。
有線電視配置設定器:負責配置設定有線電視信号。
電源:負責供給弱電箱中的電能。
數字電視線:負責電視盒子(類似 IPTV)的數字接入,連接配接在交換機上。
體積不大的弱電箱裡塞下了滿滿當當的線纜與子產品,從目前的配置上來看,實作百兆網絡明顯是沒有問題的,但是百兆交換機也限制了網絡的最高速度,如果寬帶提速,很有可能落實不到家中的任何一個終端上。而僅靠在鐵質弱電箱中光貓的 Wi-Fi 信号,覆寫全屋也非常勉強。并且區域網路和數字電視網線連接配接在同一個沒有管理功能的交換機上,也非常容易造成廣播風暴,網絡卡頓等問題。
在最開始為了解決 Wi-Fi 覆寫的問題,選用了小米的 AX3600 與 AX1800 組成了一個無線 Mesh,分别放置在客廳以及書房中,組成了如下拓撲結構:
第一階段
可以看的出來,最開始的拓撲結構問題非常多。兩個主力無線路由器由于使用了 DHCP 的方式上網,且小米路由器并沒有轉換成有線中繼模式,家中的無線網絡和有線網絡不在同一個 NAT 中。簡單的來說并不在一個網段中,且不能正常的進行區域網路通訊。這樣做的結果會讓有線裝置無法和無線終端進行廣播通訊,比如說連接配接着網線的電腦并不能讓連接配接着無線信号的列印機列印文檔。并且雙層 NAT 也會讓網絡性能也會受到一定的影響。
有關于網絡以及 NAT 的詳細介紹可以閱讀這些文章:
加上這個時期家中添置了 Apple TV 以及 NAS,寬帶也因為種種原因更新到了 300Mbps,老舊的百兆交換機顯然并不适合現在的家庭網絡。是以這個脫離時代的産物最終被決定拆除,但是考慮到弱電箱的大小和市面上其他 16 口交換機的體積,最後我選擇了傻瓜式的 8 口千兆交換機:
傻瓜式千兆交換機
配合體積小巧的 R2S 軟路由放在弱電箱中播号上網:
NanoPi R2S
而兩台無線路由器也被我改成 AP 模式(有線中繼模式)重新組成了有線 Mesh 網絡。這個階段的網絡拓撲如下:
到這個階段家庭網絡改造完成之後,基本上可以算是讓父母舒适的網絡了,Apple TV 可以正常觀看 NAS 中的影片,列印機等在區域網路中的裝置也可以直接進行通路列印。
這個階段主要優化的項目是:
光貓改為橋接模式,讓整個家庭區域網路中僅保留一層 NAT,提升網絡性能的同時加強連通性。
兩台胖 AP 組成了有線 Mesh,提高了子節點的網絡速度。
第二階段
但是第一階段的改造其實也有很多問題:
由于華數入戶線是百兆網線,很容易把傻瓜交換機的其他千兆網口也協商成百兆速度。
ARM 架構的 R2S 不夠穩定,在使用僅僅兩個月之後就當機無法重新開機工作。
多個廣播域重合,容易造成廣播風暴。
對于第二點,好在當時在家中留了一個災備路由器,連接配接上 WAN 與 LAN 之後不影響父母正常上網。也正好壞掉的時間正值清明假期前期,在假期回家探望父母的同時進行了第二階段的網絡改造,主要目的:
更換主路由到更加穩定的 X86-64 架構
隔離華數數字網線信号,防止交換機的端口被協商成百兆網口,或者産生廣播風暴。
但是 X86-64 的路由器和其電源的體積都比 R2S 大了一個數量級,小小的弱電箱中無法同時塞下這麼多裝置。即使放下,在弱電箱中塞入一個功耗可能接近 20W 的小主機後散熱也是一個問題。不過既然要同時隔離華數的數字信号,就必須用到網管型交換機和 VLAN (虛拟區域網路)這項技術,而 VLAN 也可以幫助我們進行單線複用,讓路由器不在弱電箱中播号。通過 VLAN 劃分光貓入戶的 WAN 以及華數電視的 IPTV,還有區域網路裝置的 LAN 三個網段。就可以在避免廣播風暴的情況下,讓路由器在弱電箱之外的地方播号上網。同時也不幹擾電視盒子的正常觀看。
這次改造結束之後的拓撲圖如下:
路由器我選擇放在了客廳電視櫃中,這樣僅用兩個網管型交換機就完成了網絡的更新。
這個階段我做的改進主要有:
騰出了弱電箱的空間,讓三層裝置更好被維護。
隔離了 IPTV WAN LAN 三個網絡,避免網絡風暴以及網口協商速度問題。
更換了相容性更好的 X86 架構的路由器裝置,保證網絡穩定性。
第三階段
第二階段的改造從網絡結構上看已經沒有太大的問題了,但是在經曆過兩次小區斷電,X86 路由器無法正常重新開機,在裡面的播号上網服務也無法正常運作的重大網絡危機事件之後。我意識到使用自己 DIY 的路由器用作家庭主路由器并不算一個明智的選擇。家庭内也僅有兩台 Apple TV 需要使用 DIY 路由器提供網絡服務。原本的拓撲結構出了問題管理和排查問題需要耗費的時間過多等等問題。我決定把家中的交換和路由裝置遷移到 Ubiquiti Inc. 旗下的 Unifi 系統中進行統一管理。
在之前的網絡改造中,迫于弱電箱的大小我選用了 8 口的交換機,而決定遷移到 Unifi 全集桶之後正好其系列産品中有一款 16 口 PoE 交換機—— USW-Lite-16-PoE,這款交換機支援 8 口 PoE/PoE+ 的供電輸出,全部端口都可以進行 VLAN 管理:
USW-Lite-16-PoE
先簡單介紹一下 Ubiquiti Inc. 旗下的 Unifi 裝置,這是一個為了中小型企業以及家庭設計的企業級網絡裝置系列,由于其使用者界面簡潔明朗,産品 ID 設計優秀這些優點深深的抓住了我的心。而不同于普通家用的無線路由器,使用 Unifi 裝置搭建網絡一般需要這些:
控制器:接管和配置所有 Unifi 裝置的統一管理中心,可以是 Ubiquiti 銷售的專用控制器(硬 AC),也可以安裝在 PC / Mac / Linux 甚至是 Docker 中(軟 AC)。
安全網關:也就是通俗意義上的路由器,用于家庭網絡的播号上網,以及防火牆等功能。
交換機:Unifi 系列的交換機都可以在同一的控制器 UI 中配置,這一點相比于傳統網管型交換機需要一台一台逐一配置體驗是完全碾壓的。
無線 AP:用于發射 Wi-Fi 信号,但是不具備家用無線路由器一樣播号上網功能。也可以組成無線 Mesh。
為了将來可能會有的通過 PoE 供電的 AP 更新,我決定把弱電箱整理一遍以放下這台 USW-Lite-16-PoE 交換機。順便,為了更好的維護和管理,我做了這些:
整理電話線:由于家中僅有一台固定電話,是以我拆除了電話線交換子產品,并且整理了弱電箱中的電話線,把需要的一根直連到光貓上。
整理有線電視線:由于家中僅有兩台電視需要有線電視服務,我拆除了有線電視子產品替換成了體積小巧的 1 分 2 配置設定器。
整理網線:原本網線在弱電箱中預留的長度很長,極大的占用了弱電箱空間。我剪去了多餘的網線,并且使用配線架與接口子產品的方式整理了網線,并且配以标簽以便排查問題。需要連接配接到交換機時,僅需從配線架上連接配接一根跳線即可。
最終整理把三組主要的線材整理完畢之後,我的弱電箱也剛好夠放下 USW-Lite-16-PoE 這款交換機,來看一下我的整理成果:
整理完成的弱電箱
有了 PoE 供電,原本放在客廳的網管交換機也可以換成支援 PoE 供電的 USW-Flex-Mini 五口交換機,減少一根電源線對理線來說意義重大,小巧的體積也可以隐藏在各種櫃子的背面:
USW-Flex-Mini
而路由器我則采用了和第二階段一樣的方式 —— 放在客廳播号上網,隻不過從原本的 X86 路由器換成了 Unifi Security Gateway ,也就是 Unifi 系列的安全網關( USG ):
Unifi Security Gateway
USG 作為家中的路由器,負責撥号上網,DHCP 伺服器,以及防火牆功能。而其他的上網功能,我仍然放在原本的 X86 路由器上,隻不過作為旁路網關放到了 NAS 所在的雜物間。關于旁路網關大家可以閱讀這一篇文章:
全部遷移到 Unifi 之後,最大的優勢就可以在統一的 Web 界面同時管理所有的 Unifi 裝置,包括其 IP 位址,端口上的 VLAN 設定,以及主路由的網段劃分:
Unifi Network 的網頁端 UI
并且還有配套的手機 app 和 WebRTC 遠端控制技術,讓我即使身處廣域網也可以檢查家裡裝置的狀态并進行相應的調整。
Unifi Network 的 iOS 端 APP
而原本的 X86 主路由則被我連接配接到了拓撲的下端,作為旁路網關為幾個特定的裝置提供網關功能,同時在 Unifi 控制器中專門為需要進行通過旁路網關的裝置劃分出了一條 VLAN 和子網:192.168.2.0/24。DHCP 設定則讓在這個子網的所有裝置的網關,指向 X86 路由器。這樣僅需在手機上控制需要更換網段的裝置所連接配接的交換機端口配置,就可以輕松改變終端所在的網段,網關以及 DNS 等配置:
旁路網關結構
需要注意的是,因為 USG 以一個企業級三層網絡裝置,是以不同的網段隻要最終網關都指向 USG,那不同網段中的裝置也可以互相通路,隻是無法進行廣播通訊。但是 USG 也具有 mDNS 反射功能,可以把家中的 HomeKit 智能家居發出的資訊,反射到所有網段中,實作跨網段的廣播通訊。
那現在來看看我家的網絡拓撲結構
第三階段網絡結構
總結一下這次改造優化的事情:
網絡裝置換成了更加穩定且容易管理的 Unifi 系列。
整理了弱電箱,讓維護更新更加容易。
使用專業的路由裝置播号,保證主網絡的絕對穩定性。
增加旁路網關和專用網段,以應對不同的上網需求嗎,如果旁路網關出現問題不會影響到主網裝置,通過遠端配置也可以讓旁路網段的裝置重新加入主網。
遠端維護
硬體部分搭建完成,但是免不了偶爾需要重新連接配接回家裡進行網絡維修。這時候我一般會用以下這些方法:
遠端桌面
遠端桌面應該是各位遊子最熟悉的方式了,如果你和家中的人都使用 Mac 系統,那麼系統自帶的「螢幕共享」最為友善,隻需要輸入對方的 Apple ID 就可以直接遠端控制:
而如果不是 Mac 系統,我則會用 VNC Server/Viewer(需要在被遠端的電腦上安裝伺服器)
VNC Viewer
隻需要在 Server 和 Viewer 上登陸同一個賬号,就可以進行遠端配置。
公網 IP 端口轉發
如果在你的老家,營運商恰好給你家配置設定了公網 IP ,那麼用端口轉發進行遠端維護是一種友善且快捷的選擇。
端口轉發(Port forwarding)就是将一台主機的網絡端口轉發到另外一台主機并由另一台主機提供轉發的網絡服務。
簡單的來說就是,稍加設定你的路由器就可以轉發一個區域網路裝置的一個端口号到廣域網上。這樣通過你家的公網 IP 就可以在任何地方配合端口号進行通路。通路的位址可以通過公網 IP 直接進行通路,也可以通過 DDNS 服務托管到域名上,使用域名進行通路。
在使用端口轉發之前,首先要确定你是否有公網 IP。确定的方法也很簡單,隻需要進入到你的路由器背景,檢視 WAN 口所獲的的 IP 位址,再在百度中搜尋 IP ,如果查詢到的 IP 和你家 WAN 口獲的的 IP 位址一緻,那麼恭喜你,你擁有「公網 IP」。
下面以 Unifi 控制台為例,一般來說「端口轉發」的選項都在路由器的「防火牆」子選項中:
在名稱,端口,需要轉發的 IP 以及端口中填入對應的數字和 IP 之後,就完成了端口轉發。你的區域網路網裝置端口就會暴露在公網下,可以在任何地方進行通路。
但是需要注意的是,在國内 80 端口和 443 端口是會被營運商屏蔽的,是以需要選擇其他的端口号。而直接把 HTTP 頁面暴露在公網上其實也不安全,建議選擇各類路由器的 HTTPS 端口進行公網轉發,且使用者名和密碼都使用較為複雜的排列,并進行定時更換,以保證網絡安全性。有些路由器也有限制通路該端口 IP 的功能,設定你所在地的 IP 位址也會讓端口轉發更加安全。
ZeroTier 内網穿透
如果你家沒有公網 IP 或者你想選用一種更加安全的連結方式,那麼 ZeroTier 也許是個不錯的選擇。
ZeroTier 是一種開源加密的 VPN 服務,但是這個 VPN 并不是大家廣義認知的 VPN ,隻是 ZeroTier 通過加密鍊路,在你安裝了它的裝置之間虛拟出一個區域網路絡供你通路,你今需要在位址欄輸入 ZeroTier 為你的裝置生成的區域網路 IP 位址,就可以連接配接到你的内網裝置。
我們以 Mac 與 QNAP 為例:
首先在 ZeroTier 的網站上注冊一個賬号,并且建立一個網絡
這時候頁面下方會生成一個網絡,你隻需要記住生成網絡的 NETWORK ID 即可。
然後在你的終端裝置上安裝 ZeroTier 服務,你可以在這裡找到各個平台的安裝檔案。
在 Mac 上,下載下傳并安裝 ZeroTier 後
在下方輸入你的 NETWORK ID 并且點選 Join Network。
在 QNAP 上稍微複雜一些,下載下傳并且安裝 QNAP 的安裝包之後,使用 Admin 賬号 SSH 進 QNAP 的終端,輸入 檢查 ZeroTier 是否安裝成功。如果出現如下界面之後就可以用 加入 ZeroTier 區域網路。
晚上上面的步驟之後,再進入 ZeroTier 官網,選擇你想要裝置位址所在的網段:
然後激活所有加入網絡的裝置:
等到 Managed 上顯示出有效 IP 之後,就可以直接在電腦端輸入 IP 位址進行管理通路了。
和端口轉發不同的是,ZeroTier 這種形式的虛拟區域網路,可以直接通路加入網絡裝置的所有端口,而不需要為想要通路的端口一個一個設定端口轉發,并且由于使用了加密連接配接,在一定程度上也比端口轉發更加安全。
Site to Site VPN
相比上面介紹的兩種方式,Site to Site VPN 設定起來更加簡單,但是需要的條件也更高——在 Unifi 網絡中,需要連接配接的兩個網絡都擁有「公網 IP 」才可以搭建 Site to Site VPN。這裡以 USG 的 Site to Site VPN 設定為例:
僅需要填寫遠端的公網 IP 位址,和本地的公網 IP 位址,在設定好遠端子網的網段就可以完成 Site to Site VPN 的設定。
完成設定之後,你就可以在你所在的位置通路連接配接 VPN 另一端的所有子網的裝置,而無需像 ZeroTier 一樣每個裝置需要單獨設定且需要運作程式才能通路。你的區域網路和老家的區域網路通過 Site to Site VPN 可以虛拟出一個大型區域網路以便管理和通路。
不過需要注意的是,不管用哪種方法遠端回家,前提條件是家裡的網關裝置沒有出問題,這也是為什麼我在第三階段改造的時候選用了 Ubiquiti 出品的專用安全網關(USG)以保證主網絡的絕對穩定性。隻有這樣,才可以在需要維護的時候不麻煩父母一個一個位置排查,從外地遠端就能幫助他們解決問題。
以上也僅是我使用過的幾個遠端管理方式,如果你知道其它優秀的穿透或打洞方案也可以用于遠端維護。
結語
折騰這麼多,無非是希望遠在異地的父母能用上舒适的網絡。總結一下給老家改造的網絡需要遵循下面幾點:
選用品牌商的路由器作為主網關。
維護過程需要簡潔簡單。
留好災備裝置。
在經過一年的磕磕碰碰的學習之後,自己也明白了其實老人們最大的需求是穩定,在穩定的基礎上去創造附加功能才是最優的解法。
在此也祝願各位新年快樂,新的一年網絡通順永不掉線!
> 實用、好用的正版軟體,少數派為你呈現