小白家庭网络装修与升级改造计划

写在前面：本文为了能够浅显的抛砖引玉，隐藏了部分非关键技术细节，非保姆级教程。

0x00 需求篇

作为一名极客轻症，对家庭网络的想象围绕的是： 爽和快！

“爽”是建立在“快”的基础上，要想实现需要回答如下问题（答案）：

“要快”：

1.运营商怎么选？

（小孩子还猜？联通、电信双线接入）

2.运营商送的光猫性能如何？

（桥接模式小于1G可以用，大于1G更换会突破限速)

3.路由性能如何？

（在带机量不多的情况下大部分路由性能都可以，我换了软路由）

4.无线WIFI信号覆盖如何？

（吸顶式AP+AC覆盖，或者AP模式有线回程MESH，我用了AX3600*3 5G覆盖）

“要爽”：

1.接入设备精细控制权限？动画片时间，刷抖音时间等。

（爱快行为管控->应用协议控制，如果有脱离家庭WIFI使用4G行为的话，需要设置IOS的屏幕使用时间（神器））

2.涉及隐私的场景（摄像头）网络如何管理？

（爱快ACL规则、行为管控->网址黑名单）

3.如何提升网络高可用？

（联通、电信双线接入，流控分流，故障切换）

4.如何规划网络游戏场景的流量？

（爱快流通分流->协议分流，智能流控->游戏优先 小包优先）

5.多并发场景下NAS服务器接入？

（如果存在同时读取的情况，做链路聚合，增加并发带宽。目前群晖4口链聚后达到4G/带宽，机械盘Raid5读取220MB/S（物理性能受限））

6.如何利用闲置带宽回血？

(ESXI安装CDN虚机，网心、甜糖，满足机柜每日电费后略有盈余)

0x01 装修篇

注：仅针对与网络部分的装修相关阐述

1.1.弱电箱选址

大多数住宅的弱电箱被安排在了客厅的电视背景墙上或沙发后(有些恒大系在入户门左右）从美观性与维护便利性来说不一定合理。如果房屋处于毛坯状态，建议改造至一个隐蔽的角落，从走廊弱电井重新穿光纤和其它弱电线（如有线电视）。

如果弱电箱位置不好更改或已经是精装房，建议测量弱电箱大小，原则上越大越好。如果像我一样喜欢折腾的话，可以在弱电箱前面放个小机柜。

我家的情况是弱电箱在电视背景墙上，会被电视柜遮挡，而且很小，果断移位。

原弱电箱位

房屋结构比较紧凑，未来想要放置机柜，只好迁移弱电至浇筑楼梯的下面。也正因为放置机柜遮挡住弱电箱本体，无需柜门，我就买了个比较便宜的，贵的都是柜门比较好看。

新弱电箱位置

弱电箱至走廊弱电井，我穿了2根烽火纤芯的单模光纤，当时想的是留作1条备份，结果现在接入了双运营商

注：光纤很便宜，如果穿管容易，可以适当多留备份。

1.2 网线选择与接地

正规厂家生产的网线都不差，只要从正规渠道购买就好。我选择了秋叶原的6类双屏蔽，用量200米到手不足2.5元/米。

相对来说，双屏蔽层的网线不好打6类带理线和燕尾夹的水晶头，还需要专用的6类网线钳，用这个网线打了24个跳线水晶头，手指都麻了.... 后来还是换了成品跳线。

屏蔽网线结构

另外提一下网线是否有必要买带屏蔽层的，我认为最主要是看预算，带的当然是比不带的好，但是如果说你不能有效接地，也没干扰源，传输距离又短，不带屏蔽也并不会有实际的体验差别。（猫爷有个网线接地的测试视频，感兴趣可以搜搜看，并关注下他测试时的网线长度）。

很多小伙伴用了屏蔽线并没有效的接地（看了站内很多文章，普遍没有真·接地，还有把网线插在交换机上，交换机外壳接地就认为等价于网线接地 ），可以说没用上配线架的，都不能优雅的接地。

接地作用在此不做详解，只介绍真·接地方法：

①【十分繁琐，极不推荐】每根网线屏蔽层引出一条细线与地线相连。

②【推荐】网线与配线架的屏蔽模块连接，配线架统一接地。

网线屏蔽层与模块金属外壳压紧

1.3布线原则

能用有线用有线，哪怕现在用不到，以后可能也用到。新装修考虑网线光纤同穿，为万兆光做预埋。

有线是基础，无线是补充，交叉互备，有备无患。

考虑好室内外（走廊）监控位置，预留网线（POE）。

放弃86面板式AP+AC方案，覆盖差、发热大、贵。别听一些充值自媒体、装修公司鼓吹了。技术日益革新，需要考虑替换成本和便利性。

如果选择AP+AC方案，建议选择吸顶式AP，或者隐藏到棚顶检修口里。毕竟AP也不是什么家具，陈列的艺术品，只是网络基础设施。

如果选择mesh方案，首选是有线回程mesh,减少5G信道占用和延迟，实在无法布线就只能无线回程了。同样能藏还是藏起来。

棚顶AP位置预留网线和强电（虽然可以POE供电，但有备无患）

0x02 硬件篇

2.1 交换机

自用TL-SG2024MP，网管+静态链聚+24口POE全千兆。稳定的狠，下次升级可能要等到万兆24口普及吧。

网口数量根据接入设备的多少，做一定的预留，尤其是打算做链聚的网络。

网管交换机普遍价格都不高，而且功能类似，性能都很稳定，不用过于追求高价产品。如果有在线剪辑，等非编需求，可以选带2-4口10G SFP的产品。

2.2 NAS服务器

自用群晖DS1517+，用了几年了比较稳定。5*12T插满+5*12T硬盘柜。

轻度使用的用户，也可以自建黑群，功能上基本都是一致的。

2.3 UPS

APC BK650 家用YYDS不解释，有很多反应电池爱报警，我的4年了还没换电池，可能是人品爆发，当然自己换电池的话只需百元左右。

2.4 路由

软路由截止目前，我一共研究了三款设备：

V1.0 小马V1成品软路由 （N3710 4G内存 4口千兆）

优点：低功耗，入门神器，性能比J1900强 缺点：esxi下显卡无驱动

改装了顶盖，加强散热

V2.0 自组i7软路由（I7 8700T H310工控 16G内存 500G SSD 4口千兆I211）

优点：低功耗，性能强劲 缺点：为了追求机箱小巧，无法装半高PCIE卡（也就是无法10G）

全铝机箱颜值还是抗打的

我刚刚从V2.0升级至3.0，升级原因是看了一眼本站大佬的一篇 Juniper SRX300防火墙结合猫棒的文章，仅仅一眼就上了头，黄鱼淘了洋垃圾SRX300和2个MA5671a猫棒，结果研究了几天对SRX300开机速度与配置方法有点迷，而且不好上架，已经出掉重建新的软路由。

V3.0 自组i9 2U软路由（I9 9900+Z390+16G内存+1T NVME +DELL BCM57810S 10G*2+INTEL I350 T4 V2+主板自带螃蟹卡1G）

中了猫棒毒主要是因为光猫的LAN口只有千兆，例如一般500M的家宽限速都是高于500M的，同理1000M的限速也高于1000M，但又被光猫的千兆LAN口速率限制，这哪能忍

经过查看各种帖子，总结出方案：华为MA5671a刷改版固件变身猫棒，与网卡协商2.5G速率（如果有能协商10G的物美价廉猫棒当然更好），刷固件教程建议百度，关键词ma5671a GPON Stick ,懒得刷的可以直接购买成品（分蓝色UPC和绿色APC接头，买之前可以让卖家改好，省个转接头）。

MA5671A

10G网卡选择了DELL拆机的BCM57810S PCIE X8接口，网卡选择需谨慎，一方面要与虚拟化软件驱动兼容，我用的esxi6.7 和7.0 最新版本均可兼容；另一方面更要与猫棒的协商速率吻合，很多10G网卡无法协商2.5G需要注意。

BCM57810S

已知MA57810S兼容情况LIST（不完全，可补充）

1G网卡方面选择了INTEL I350 T4 V2 PCIE x4属于中规中矩的一张卡，胜在稳定，价格也不贵。

某猫有几家卖4口1G网卡的店铺，虽然是PCIE X4接口，实际靠后的几个金手指没有接线，4口并发速率是不可能达标的，注意避坑！

intel i350 t4 v2

主板选了微星Z390-S01，MATX，属于Z系列的丐版，价格便宜，接口满足需求，内存光威D4 3000。

机箱在某宝买的支持ATX电源的2U机箱，大赞，价格十分便宜，用料做工没得说。电源采用金牌电源，7*24开机电源转换效率和品质是尤为重要。某东买的先马500W金牌，220V 50%负载下，转换效率90%，200+的价格还能买到金牌全模组+5年质保不容易。

已经更换为静音PMW风扇

安装调试ESXI

0x03 软件篇

基础软件的安装 ESXI、PVE、爱快等，基本的安装配置教程有很多，而且没有门槛，请自行检索，这里不重复造轮子了。这里介绍下关键点。

3.1 关于硬件直通配置

硬件直通可以带来显著的性能提升，相关测评可以去b站搜索，硬件支持的话能开还是一定要开的。注意事项：

①.BIOS上一定要开启VT-D功能，否则无法硬件直通 ，SR-IOV也不正常；

②ESXI下不要将所有的网口都做成直通！！！会导致无法进入管理web，解决方法是开ESXI SHELL，改esx.conf配置文件，重改vmkernel ，或者重装ESXI；

③直通后需要重启系统。

硬件直通情况

3.2 关于ESXI安装/升级驱动方法

esxi无论是6.7还是7.0版本（包括小版本更新的u3u3b等）自带的驱动都不是最新，建议将驱动更新至最新版本。由于Z390主板上自带了一个8111H的螃蟹卡，准备当做esxi硬管理口（技巧：软的管理口可以绑定在爱快LAN，局域网直接进ESXI管理），7.0可能不太好驱。我安装的是6.7U3版本。

安装/升级步骤：

①.注册个vm账户，在支持检索页面说搜索所需驱动型号，注意添加过滤条件！

https://www.vmware.com/resources/compatibility/search.php

例如搜索57810驱动

②.下载对应的驱动包，注意核对VID DID SVID SSID信息

找到VID DID SVID SSID信息匹配的驱动

esxi中查看设备相关ID信息

③开启esxi ssh功能，使用xterm、crt、xshell等工具连接，并上传驱动vib程序，建议上传至/tmp/ 目录下，重启esxi后会自动清除临时文件（）

④执行安装命令

esxcli software vib install -v /tmp/驱动文件名.vib

⑤安装成功后会界面会提示true字样，并说明重启后生效，等所有驱动都装完后一并重启即可。

BCM57810S 更新后的驱动

I350 T4 更新后的驱动

3.3 关于BCM57810S兼容2.5G协商的配置

默认情况下BCM57810S固件中开启的自动协商模式是1G/10G自适应，由于MA5671A是1G/2.5G协商，希望协商成2.5G的模式需要改下BCM57810S的固件配置，比较简单，方法如下：

①准备一个大于1G的U盘

②使用Rufus斜盘工具，在U盘中写入一个MS-DOS启动盘

③下载QLogic BCM57800 Diag Driver驱动

https://www.helpjet.net/Fs-34550700-12624658-11814131.html

④解压下载的驱动，并将 B57BCMCD_T7.12b.4.1.zip/dos/Diag/NX2_Ev/ 目录下的全部内容复制到写好MS-DOS的U盘的根目录下。

⑤将U盘插入ESXI服务器，开机选择从U盘引导，进入MS-DOS

⑥进入MS-DOS后在命令行输入ediag.exe -b10eng 启动ediag驱动配置工具

⑦依次执行如下命令每行回车。（如需修改第二个光口，执行完后，退出至顶层，命令首行修改为device 2对第二个光口做相同修改，如果第二个光口量连接局域网10G速率，请不要修改）

device 1

nvm cfg

7

35=70

36=70

56=6

59=6

save

exit

命令解释：35/36=70 表示 1G、2.5G 和 10G 或 0x10 | 0x20 | 0x40 = 0x70，而 56/59=6 默认链接速度为 2.5G 而不是 10G。

⑧执行完成后重启系统，即可自动与猫棒协商2.5G。

3.4 关于CPU睿频

esxi是可以正常睿频的，但在虚机中显示只有基础频率，不用担心。你可以在裸机上安装WIN，用CPUZ跑分，再在esxi下虚拟出WIN，重新跑分，跑分结果比裸机分数略低一点，就说明睿频正常。

3.5 爱快下猫棒（MA5671A）的配置

①收集光猫现有配置（各个地区并不一样，只能自己获取），绝大部分光猫并不需要超级管理员用户，光猫背面标签上的普通用户就可以查看到。

收集内容：

i. LOID

ii. LOID 密码（如有）

iii. internet VLANID

iiii. other VLANID(如有 一般是IPTV)

收集LOID VLAN ID

②爱快WAN口绑定到猫棒所在端口，配置为静态ip，ip为192.168.1.100 255.255.255.0 网关192.168.1.1 ，爱快的LAN口网段需避开192.168.1.0段！

PC端连接爱快LAN口，访问192.168.1.10，进入光猫web页面，账号为root，密码根据猫棒固件不同有区别，行查阅固件说明。

猫棒登录

③配置猫棒的LOID LOID password （如有），点击相应的run

配置LOID

④检查猫棒状态 5为OLT正常注册 2或者3 则需要输入LOID 密码

5注册正常，可以看到收发光功率和模块温度

⑤修改爱快WAN口连接模式为 基于VLAN的混合模式，在DHCP里添加 如图配置，填入IPTV vlanID

⑥同上在ADSL/PPOE中添加，填写internet vlanID

⑦正确配置后，可以正确获取到IP

iptv

ppoe拨号

至此猫棒已经顺利替换光猫。

0x04 毕业照

单线测速1.4G左右

双运营商接入

只能放下12U的柜子有点挤

全家福

工作室完工

下一步折腾万兆，移步↓↓↓↓

作者声明本文无利益相关，欢迎值友理性交流，和谐讨论～