家庭WiFi布网实战：一年前那位全屋 TP-Link 的朋友现在怎么样了？

创作立场声明：就是喜欢搞事情！

首先设备换了几台，但还是千兆为主。原先 ER6520G 因无法聚合三条以上的千兆线路被迫退役，折价给公司继续发挥余热，新购置了一台 CCR1009 任职主路由。另外又增加了一台 3865U 的软路由用 ESXi 做虚拟化，以及 RB4011 主要用于家里各种智能插座等设备管理。

网络结构

首先是外网线路，年初时升级了四条千兆线路，ER6520G 的理论最大聚合速率为 2Gbps，因无法满足需求只能更换了新设备，从价格上来说更换 ER8820T 是不可能的，ER6520G 虽然价格还比 CCR1009 贵但并不好用，性能暂且不提，至少从系统上来说有很多功能缺失。

CCR1009

值得一提的是 Mikrotik 的很多设备（包括低端系列）大多数都有一块 LCD 显示屏可以用来显示实时流量等信息，比手机上看要方便得多，从型号可知 CCR1009 具有 7 * 1GbE 接口、1 * 1Gbps Combo 接口（1 GbE 或 1.25Gbps SFP）、1 * 10Gbps SFP+ 接口。这个万兆口暂时也没购买模块，先闲置一段时间把。CCR1009 空载功率在 19W 至 25W 之间，发热量较大，其 CPU 为 2014 年发布的 TILE-Gx 架构的 9 核心处理器，40 纳米工艺比较老旧，但仍未有廉价的新产品可以代替。关于带宽聚合之后会另起一篇，还有 RouterOS 的基本使用。

SG5428

家里网络主要通过 TP-Link 的三层傻瓜交换机管理，为什么说他傻瓜？因为没有路由协议支持，例如 RIP、OSPF、BGP 等，只能提供一些基本的管理以及接口设置。目前家里按房间划分了四个 VLAN，而这台交换机基本没有接入任何房间的设备，只有 NAS 和 VPN 以及我在用的电脑，设置的 VLAN 999。21 22 23 24 用于接入 CCR1009 访问外部网络，25 26 和 27 28 的 SFP 接口用于接入另外两台交换机。

ACL 设置

目前 ACL 策略中只允许访问本网段的 vlan.253（提供 DHCP 服务）以及 vlan.2（提供路由转发的三层子接口），任意vlan.248 以上不允许访问，允许访问 0.222（NAS）后拒绝 0.128 以上访问，拒绝 172 网段访问，其他允许。至于要说安全性，并没什么提升，只是粗略的阻止莫名其妙的交换机管理地址访问，虽然设置了密码但也讲不准啥时候突然爆出个漏洞，毕竟这玩意儿固件都是几年不给更新的。

• 允许 1010 10.0.vlan.253 udp 255.255.255.255

• 拒绝 1011 10.0.vlan.250 tcp 255.255.255.255

• 允许 1012 10.0.vlan.250 all 255.255.255.255

• 拒绝 1013 10.0.0.248 all 255.255.0.248

• 允许 1014 10.0.0.222 tcp 255.255.255.255

• 拒绝 1015 10.0.0.128 all 255.255.255.128

• 拒绝 1016 172.0.0.0 all 255.0.0.0

• 允许 1017 0.0.0.0 all 0.0.0.0

  
  

PoE 供电

PoE 供电确实是大大降低了布线成本，不然 AP 旁边加一个插座真是要命，不仅影响美观还增加成本。想吐槽一下一些百兆 WAN 口的路由器其所宣传的无线网络速率上千兆也不知道能干啥用？Class 3 供电级别的是海康的两个摄像头，使用八触点的百兆网口，因为千兆属于大材小用增加成本的关系？另外三个是 TP-Link 的 AP，其实本来是四个，但是厨房那个发现没人用就给关了。

生成树

我也不知道为什么需要在一个无环网络内启用生成树，当时好像是担心插错线开的，之后就没去管过了。除了光口之外都设置为边缘端口，SG5428 设置根桥保护，路径开销为 20000 / 2 = 10000，快速生成树。因为考虑到两台交换机之间（VLAN 20 和 VLAN 40）没必要增加链路，所以就没启用 MSTP 浪费资源了，再者，TP-Link 的生成树并不可靠。

AC300

为了控制四个 AP 单独增加了一台 AC300，新款的 AC100 已经支持快速漫游了，并没有购买 AC300 的必要。AC300 2.0 在官网有新款固件，但版本号为 20180625 的旧版 AC300 2.0 无法升级，真是吐血，官方只是回答说硬件有改动所以不支持旧款升级。

AP 列表

通过控制 LED 指示灯可以找到设备对应的安装位置，信道可以手动调整，默认情况下会自动选择。目前使用的是 AP1750C，提供一个千兆 PoE 端口，最大速率为 450Mbps + 1300Mbps，信号强度 30% 在一个20平的房间内手机连接保持 867Mbps 不掉速，走出房间后速率降低至 505Mbps 后再走两步就能自动切换到另外一个 AP，软件检测切换时间一般在 300~450ms 内，ping 延迟保持 10ms 左右（三星 Note 8），切换 AP 时无感，下载能保持原速率（867Mbps 下最高下载速率为 51MB/s）。

SG5210

最开始的拓扑图中有一台和 ESXi 相接的三层，主要用于路由 10 段与 172 段，只允许 172.16.1.0/24 与 10.0.0.0/8 互访，其余网络（虚拟机群）只能由 10.0.0.0/8 单向访问。这台交换机上的其他功能基本没有使用，也不提供 DHCP 服务，由 VLAN 1 下的 pfSense 管理（运行于 ESXi 中，软路由 LAN2 以及 LAN3）。

pfSense

pfSense 主要提供虚拟机网络管理（DHCP 以及 端口转发之类的），所有服务都移至虚拟机了，原先是使用的树莓派和 Intel NUC，之前树莓派重启后两次出现无法启动，重装之后恢复，因为不熟悉也没去找原因。之后换到了 Intel NUC，但是由于感觉网口少了一些就干脆换成了软路由。pfSense 的动态 NAT 非常强大，一个端口可以手动选择需要 NAT 转换的地址以及可以直接路由的地址，不然还要单独接一个网口用于路由（NAT 影响性能，毕竟是低端处理器）。

温度传感器

担心设备散热不理想买了几个温度传感器，最初用的是轻松连的 WS1 Pro，效果不错但是 Wi-Fi 由断流问题（物联网设备单独一台无线路由器，不允许接入 AP），随后也就不了了之了。之后感觉米家的一套也可以，就买了几个试试效果。机柜内温度还是比较高的，之后会改成风扇开关的联动，目前暂时没时间去做固定，买了一套15CM的静音风扇，支持机柜固定。