说说我家的网络
笔者家是一个典型的三口之家(笔者是其中的孩子),于 2016 年入住现在的房子。主要网络施工在同年 6 月入住之前的几天内完成,此后几经改造。
考虑到诸多现实问题,曾经的折腾类应用现已全部下线或转移。目前,家里的网络仅服务于生活娱乐用途。
其中主要服务于:
- IPTV 盒子
- 互联网电视盒子
- 手机等移动终端
- 偶尔挂机下载的电脑
物理结构
笔者家的房子
笔者家现在住的房子为建筑面积约 160 平米的平层(三线城市房价低),四室两厅,户型轮廓接近「凹」字型。凹进去那一块是一部电梯的电梯井,两侧分别是入户进路的户内部分和厨房。
入户门旁边是户内强电箱和户内弱电箱,强电箱和弱电箱在同一个水平位置,强电箱在高处,弱电箱在低处。两个电箱所在的墙壁被定制的整体衣柜堵住,通过在整体衣柜的侧板开孔暴露两个电箱。接触两个电箱需要通过整体衣柜介入,因此操作电箱需要打开衣柜。
笔者一着手新房的网络施工,就发现了两个严重的问题——一是弱电箱内没有强电线路,二是弱电箱太小只能放下一个光猫。
弱电设备安家
索性,笔者霸占了母上大人的衣柜一块位置,宽度深度与常见的 19 英寸网络机柜相当,高度达 12 个标准机柜单元(12U),弱电设备在此安家,家庭网络的核心也便位于此处。
供电
笔者从强电箱挤出来了一个带漏电保护的单相单断空气开关,给弱电设备专用。
弱电设备通过一个 8 位 10A 的新国标 PDU 取电,PDU 的 L、N 线接空开,PE 线接强电箱接地排。
题外话:据了解,PDU 不必须执行针对家用插座的新国标,此处选择新国标主要是考虑到相较于大/小万用插座,新国标插座在使用大屁股插头(电源适配器)时比较牢靠。
弱电进线
小区的固网、固话和广电运营商被地方广电和中国电信垄断,因此笔者家之前使用的中国联通宽带和固话无法移机。笔者家不准备使用使用同轴电缆的传统数字电视,亦不信赖地方广电的固网宽带质量。在得知原有中国联通固话无法移机到新房后,笔者家也不准备新入网固话了。因此,笔者家新房的固网宽带和电视运营商别无选择地选择了中国电信。
得益于国家对三网融合的大力推广,唯一的弱电进线就是中国电信的蝶形光缆,光缆从弱电箱入户。
题外话:光纤(光缆里面实际提供光路的部分)的容量几乎是无限的,笔者家现在使用的中国电信局端 OLT 是 GPON 的,配合 GPON 的 ONT,可以在数公里长的光路上提供下行 2.488/上行 1.244 Gbps 的带宽。所以说,三网融合 + 光通信真的是个好东西,最后一公里简单又优雅。
户内走线与无线 AP 点位
笔者家在装修的时候预留了三根从弱电箱到三处暗盒的 6A 类非屏蔽双绞线,这里其实有些败笔(不败在 6A,败在点位设计),但奈何当时碍于学业,父母没让笔者参与装修。弱电箱侧出线一律先打模块,再接跳线。
笔者原本准备使用吸顶式的无线 AP,但碍于没有走线,便作罢。AP 的点位设计几经迭代,最多时使用了三个暗盒面板 AP 和一个墙面挂装 AP,这对于一个接近正方形的 160 平米家庭环境是过剩的。
目前,笔者家安装了三个暗盒面板 AP,全部使用 PoE 供电。
设备选型
笔者家的网络设备也几经迭代,这些年的零花钱净偷偷买设备换着玩儿了。
以下是对笔者家现在使用的主要网络设备的简单介绍。
华为 HS8145C
贴标天翼网关 2.0,是中国电信的 OEM 光猫,由中国电信在合约期内提供免费租用,理论上不保证是新的但合约期内包修,不过拿回来确实是新的,嘿嘿~
TP-LINK TL-AC300 无线控制器
支持二层快速漫游。平心而论,配合亲兄弟 AP,这是同价位下最适合家用的无线系统。笔者购入时只有 V1.0 硬件版本,当时 AC 系列的更低型号(AC200、AC100)还不支持二层快速漫游,现在 AC100 就已经支持二层快速漫游了,还有其他一体化的设备,家用有了更加经济的选择。
TP-LINK 面板式 AP
3 个,均最高支持到 IEEE 802.11ac 2x2,也就是 PHY 数据率 867 Mbps。没选 3x3 的型号其一是考虑到家里的 Wi-Fi 终端以移动设备为主,大多只支持到 2x2,而当时 TP 家的设备也只支持到 Wave 1,也就是不支持 MU-MIMO,无脑加流数意义不大,其二是零花钱有限。
H3C 全千兆二层 PoE 交换机
5 口,支持 IEEE 802.3at(PoE+),32W 整机 PoE 功率,-20℃~60℃ 长期工作能力,满足“衣柜级”环境使用需求,使用全汉的外置电源适配器。家用二层设备就求个稳定,PoE 就求个可靠,我管你包转多少,大包能打满线速就完事了,没毛病。
Cisco 小型企业 RV 系列路由器
实际上是带 VPN 防火墙的多业务网关,但来国内既不适合家用也不适合商用,坑还不少,不过也没啥硬伤。
800 Mbps 的 NAT 吞吐,12000 的并发会话,还支持 UPnP,性能不逊于 TP 家的同类产品(别笑,TP 家 NAT 网关类产品各种 ASIC 硬件加速,实际性能表现吊打许多竞品),配合瘸腿的 IPv6 支持,给父母看个电视剧下个电影,在功能、性能、稳定性的平衡上还不错。
这款设备的特性设计还是比较有意思的,可以看得出来,确实是按照思科老家那边的小型企业需求设计的。但是!这玩意来国内水土不服,除了拿来折腾,我想不出其他适合它的使用场景。
这东西支持各种常见的 VPN 特性就不说了,从站到站到点到站,从作客户端到作服务端,该有的都有,50 Mbps 的 IPsec 吞吐,不算差。SNMPv3、Bonjour、巨型帧、链路聚合、比较完善的 QoS,各种加花功能。SPI 防火墙,完善的端口和主机暴露能力,但我没有静态 IP……你说 DDNS?仅支持 IPv4 且免费服务商仅 No-IP 这一家。简单的行为管理,但来国内水土不服。
最最最搞笑的是,它真的是一个路由器!一个 5 GE 口且支持 .1Q 子接口的路由器,一个支持 RIPv2 和 RIPng 的路由器!和 IOS 的 ip routing 命令类似,可选启用 VLAN 间路由,否则只执行默认路由。对,没错,这玩意不是 IOS 的,不然就成买 IOS 送机器了。
网络架构
笔者家的网络架构几经迭代,最多的时候包含 6 个 VLAN、5 个子网和 3 个 SSID。
目前,内网使用了 4 个 VLAN、3 个子网和 2 个 SSID,存在如下映射关系:
| 网络描述 | VLAN | 子网 | SSID |
|---|---|---|---|
| AP 管理网络 | AP 管理 VLAN | AP 管理子网 | - |
| 主用网络 | 主用 VLAN | 主用子网 | 主用 SSID |
| 访客网络 | 访客 VLAN | 访客子网 | 访客 SSID |
| IPTV 桥 | IPTV VLAN | - | - |
AP 的 VLAN 策略
根据 TP-LINK 的预设,想要让 AP 被正确初始化,需要保证直接进出 AP 上联口的管理流量是不带 tag 的。这个保证是由 AP 所连接的对端设备(通常是 PoE 交换机)保证的。
笔者家每个 VLAN 及所承载的流量在 AP 上的策略如下:
AP 管理 VLAN:
- 不带 tag 并作为默认 VLAN 进出 AP 背面的上联口
主用 VLAN:
- 带 tag 进出 AP 背面的上联口
- 以 access 模式进出 AP 正面的某些接入口
- 绑定主用 SSID
访客 VLAN:
- 带 tag 进出 AP 背面的上联口
- 绑定访客 SSID
IPTV VLAN:
- 带 tag 进出 AP 背面的上联口
- 以 access 模式进出 AP 正面的某些接入口
AC 发现与 AP 上线
TP-LINK 管无线控制器叫 AC,笔者在此也使用这个称呼。
AP 管理网络的二层范围被限制在三个无线 AP、AC 和 PoE 交换机之间,AP 与 AC 处于同一个二层环境。AC 直接向广播域内的 AP 提供 DHCP 服务,AP 在获得地址掩码参数的同时,也将在预先约定的 DHCP 字段中得到 AC 的 IP 地址,以此实现 AP 对 AC 的发现。然后 AP 将通过三层与 AC 通信,实现 AP 的注册上线。
三层设计
AP 管理网络不提供任何路由,没有和其他网络的域间路由能力。
路由器具有指向 PPP 出口的默认路由,同时提供所有直连子网间的域间路由。
DHCP 和主机自动配置
主用网络和访客网络均由路由器提供 DHCP 服务,并将路由器接口地址作为 DNS 服务器字段的参数下发。
主用网络设计上提供 IPv6 无状态自动配置,但思科这款设备的 v6 特性瘸腿,设计上还有坑,以后有空细说。
访客网络设计上不提供链路本地以外的 IPv6 地址和自动配置,但这方面同样有坑。
DNS
长话短说,笔者用了一圈公共 DNS,现在换回了 PPP 自动下发的运营商 DNS。
路由器通过自带的 dnsmasq 服务以递归 DNS 服务器的身份在所有内网侧接口上提供 DNS 代理和 DNS 高速缓存。当然,客户端可以选择不用。
IPTV 盒子
IPTV 盒子位于客厅电视柜,由跳线连接到客厅电视墙 AP 正面的一个接入口,以此将流量送入 IPTV VLAN,为 IPTV 盒子提供到光猫 iTV 接口的透明二层桥。