1. 首页

家庭WiFi布网实战:一年前那位全屋 TP-Link 的朋友现在怎么样了?_交换机

创作立场声明:就是喜欢搞事情!

首先设备换了几台,但还是千兆为主。原先 ER6520G 因无法聚合三条以上的千兆线路被迫退役,折价给公司继续发挥余热,新购置了一台 CCR1009 任职主路由。另外又增加了一台 3865U 的软路由用 ESXi 做虚拟化,以及 RB4011 主要用于家里各种智能插座等设备管理。

网络结构网络结构

首先是外网线路,年初时升级了四条千兆线路,ER6520G 的理论最大聚合速率为 2Gbps,因无法满足需求只能更换了新设备,从价格上来说更换 ER8820T 是不可能的,ER6520G 虽然价格还比 CCR1009 贵但并不好用,性能暂且不提,至少从系统上来说有很多功能缺失。

CCR1009CCR1009

值得一提的是 Mikrotik 的很多设备(包括低端系列)大多数都有一块 LCD 显示屏可以用来显示实时流量等信息,比手机上看要方便得多,从型号可知 CCR1009 具有 7 * 1GbE 接口、1 * 1Gbps Combo 接口(1 GbE 或 1.25Gbps SFP)、1 * 10Gbps SFP+ 接口。这个万兆口暂时也没购买模块,先闲置一段时间把。CCR1009 空载功率在 19W 至 25W 之间,发热量较大,其 CPU 为 2014 年发布的 TILE-Gx 架构的 9 核心处理器,40 纳米工艺比较老旧,但仍未有廉价的新产品可以代替。关于带宽聚合之后会另起一篇,还有 RouterOS 的基本使用。

SG5428SG5428

家里网络主要通过 TP-Link 的三层傻瓜交换机管理,为什么说他傻瓜?因为没有路由协议支持,例如 RIP、OSPF、BGP 等,只能提供一些基本的管理以及接口设置。目前家里按房间划分了四个 VLAN,而这台交换机基本没有接入任何房间的设备,只有 NAS 和 VPN 以及我在用的电脑,设置的 VLAN 999。21 22 23 24 用于接入 CCR1009 访问外部网络,25 26 和 27 28 的 SFP 接口用于接入另外两台交换机。

ACL 设置ACL 设置

目前 ACL 策略中只允许访问本网段的 vlan.253(提供 DHCP 服务)以及 vlan.2(提供路由转发的三层子接口),任意vlan.248 以上不允许访问,允许访问 0.222(NAS)后拒绝 0.128 以上访问,拒绝 172 网段访问,其他允许。至于要说安全性,并没什么提升,只是粗略的阻止莫名其妙的交换机管理地址访问,虽然设置了密码但也讲不准啥时候突然爆出个漏洞,毕竟这玩意儿固件都是几年不给更新的。

  • 允许 1010 10.0.vlan.253 udp 255.255.255.255

  • 拒绝 1011 10.0.vlan.250 tcp 255.255.255.255

  • 允许 1012 10.0.vlan.250 all 255.255.255.255

  • 拒绝 1013 10.0.0.248 all 255.255.0.248

  • 允许 1014 10.0.0.222 tcp 255.255.255.255

  • 拒绝 1015 10.0.0.128 all 255.255.255.128

  • 拒绝 1016 172.0.0.0all 255.0.0.0

  • 允许 1017 0.0.0.0 all 0.0.0.0

PoE 供电PoE 供电

PoE 供电确实是大大降低了布线成本,不然 AP 旁边加一个插座真是要命,不仅影响美观还增加成本。想吐槽一下一些百兆 WAN 口的路由器其所宣传的无线网络速率上千兆也不知道能干啥用?Class 3 供电级别的是海康的两个摄像头,使用八触点的百兆网口,因为千兆属于大材小用增加成本的关系?另外三个是 TP-Link 的 AP,其实本来是四个,但是厨房那个发现没人用就给关了。

生成树生成树

我也不知道为什么需要在一个无环网络内启用生成树,当时好像是担心插错线开的,之后就没去管过了。除了光口之外都设置为边缘端口,SG5428 设置根桥保护,路径开销为 20000 / 2 = 10000,快速生成树。因为考虑到两台交换机之间(VLAN 20 和 VLAN 40)没必要增加链路,所以就没启用 MSTP 浪费资源了,再者,TP-Link 的生成树并不可靠。

AC300AC300

为了控制四个 AP 单独增加了一台 AC300,新款的 AC100 已经支持快速漫游了,并没有购买 AC300 的必要。AC300 2.0 在官网有新款固件,但版本号为 20180625 的旧版 AC300 2.0 无法升级,真是吐血,官方只是回答说硬件有改动所以不支持旧款升级。

AP 列表AP 列表

通过控制 LED 指示灯可以找到设备对应的安装位置,信道可以手动调整,默认情况下会自动选择。目前使用的是 AP1750C,提供一个千兆 PoE 端口,最大速率为 450Mbps + 1300Mbps,信号强度 30% 在一个20平的房间内手机连接保持 867Mbps 不掉速,走出房间后速率降低至 505Mbps 后再走两步就能自动切换到另外一个 AP,软件检测切换时间一般在 300~450ms 内,ping 延迟保持 10ms 左右(三星 Note 8),切换 AP 时无感,下载能保持原速率(867Mbps 下最高下载速率为 51MB/s)。

SG5210SG5210

最开始的拓扑图中有一台和 ESXi 相接的三层,主要用于路由 10 段与 172 段,只允许 172.16.1.0/24 与 10.0.0.0/8 互访,其余网络(虚拟机群)只能由 10.0.0.0/8 单向访问。这台交换机上的其他功能基本没有使用,也不提供 DHCP 服务,由 VLAN 1 下的 pfSense 管理(运行于 ESXi 中,软路由 LAN2 以及 LAN3)。

pfSensepfSense

pfSense 主要提供虚拟机网络管理(DHCP 以及 端口转发之类的),所有服务都移至虚拟机了,原先是使用的树莓派和 Intel NUC,之前树莓派重启后两次出现无法启动,重装之后恢复,因为不熟悉也没去找原因。之后换到了 Intel NUC,但是由于感觉网口少了一些就干脆换成了软路由。pfSense 的动态 NAT 非常强大,一个端口可以手动选择需要 NAT 转换的地址以及可以直接路由的地址,不然还要单独接一个网口用于路由(NAT 影响性能,毕竟是低端处理器)。

温度传感器温度传感器

担心设备散热不理想买了几个温度传感器,最初用的是轻松连的 WS1 Pro,效果不错但是 Wi-Fi 由断流问题(物联网设备单独一台无线路由器,不允许接入 AP),随后也就不了了之了。之后感觉米家的一套也可以,就买了几个试试效果。机柜内温度还是比较高的,之后会改成风扇开关的联动,目前暂时没时间去做固定,买了一套15CM的静音风扇,支持机柜固定。

原创文章,作者:夜风博客,如若转载,请注明出处:https://www.homedt.net/34034.html