💬 前言
笔者前段时间研究和重构了一波家里的网络拓扑,暂时算是得到了一个还算满意的答案,这期就给大家分享一下目前我家的组网方案。
事先声明,本方案并非万能方案,不能保证一定能适配所有情况。
文章内推荐的产品未必是该职能下的最优选择,也并非软广,因此不提供购买链接,读者可自行寻找满足相关职能的设备。
🎯 方案
📋 需求
⚡ 速度
- 不仅能跑满当前的运营商带宽,同时还能“战未来”
- 多人同时访问和使用局域网内的服务不卡
🔒 安全
- 多层网关、多层网段、多层隔离
- 任一对外服务被攻破不会引发雪崩导致其它内网服务被攻破
- 各服务几乎只影响相关业务,边缘服务宕机不会引发内网断网
🎛️ 便捷
- 在保证安全的同时,家庭终端可以无感访问内网服务和设备
- 最好还可以做到网络整体无感 DNS 劫持,以实现无感的广告过滤或数据分流等需求
💡 解法
🌐 全 2.5G 覆盖
目前主流的家用运营商带宽多在千兆以内或稍超千兆。为了跑满现有带宽并稍稍“战未来”,我们需要实现全网 2.5G 及以上的覆盖,至少在运营商普及 2.5G 宽带前都不会出现瓶颈。
🔗 关键节点万兆入网
为了实现多人同时访问内网服务不卡顿,关键服务连接需要拉到万兆才行,这样一般三口或四口之家,同时访问 NAS 大数据并发读写,也可以各自跑满 2.5G 了~
🛡️ DMZ 隔离
采用企业级的 DMZ 隔离区方案,设置两层网关,把对外服务放入 DMZ 区,大大提高家庭内网和数据的安全性。
🖥️ 多台物理机分割
不同网段除了网关本身外,无设备跨网段,保证内网设备与 DMZ 以及公网的完全物理隔离,真正做到让攻击者无从下手。
🌍 内网 DNS 和软路由
在局域网内内置自定义的软路由系统和 DNS 服务器,轻松实现各类附加网络需求~
(家里孩子玩游戏一到点就老掉线还以为是网络不好,没想到是她的老父亲……嘿嘿嘿……)
🗺️ 拓扑
📐 拓扑图
🔑 关键逻辑节点
主网关
如果想要部署 DMZ 区,开放对外服务的话,需要有一个主网关用于拨号,是一个路由器,光猫本身开桥接模式。
DMZ 服务
部署的对外服务。
子网关
用于划分子网段,以实现与 DMZ 网段隔离,同时支持对子网段内部的一些网络定制服务,本身是主网段下的一个终端设备。
内网服务
局域网内部或家人、朋友使用的服务。
家庭设备
家庭网络终端设备。
🛤️ 关键路由路径
| 场景 | 路由链路 | 最大带宽 |
|---|---|---|
| DMZ 区访问公网服务 | DMZ 区 → 主网关 → 光猫 → 公网服务 | 对公带宽与 2.5G 中较大的那一个 |
| 公网访问 DMZ 区服务 | 公网 → 光猫 → 主网关 → DMZ 服务 | 对公带宽与 2.5G 中较大的那一个 |
| 内网访问公网 | 内网 → 子网关 → 主网关 → 光猫 → 公网 | 对公带宽与 2.5G 中较大的那一个 |
| 内网访问 DMZ 区服务 | 内网 → 子网关 → 主网关 → DMZ 服务 | 2.5G |
| 内网访问内网服务 | 内网 → 子网关 → 内网服务 | 4 人同时 2.5G 访问 |
| DMZ 区访问内网服务 | DMZ 区 → 主网关 → 子网关 → 内网服务 | 2.5G |
⚠️ 关于 DMZ 区访问内网:一般不推荐让 DMZ 区访问内网服务,一般用于把内网服务暴露到公网使用,比如在公网通过 DMZ 区的反代服务来访问内网的 NAS 服务之类的。如果你不需要,请不要开启 DMZ 到内网的转发,即使开启,也请只开放防火墙对应内网服务的服务端口。
额外说明
- 如果不需要开放对外服务,可以砍掉整个主网段,直接让子网关拨号,不需要 DMZ 区
- 如果你希望可以使用域名访问内网服务,需要设置内网 DNS 服务器和内网反代服务,这两个服务分别推荐部署在子网关和内网服务的 PVE 虚拟机上,不用新增物理机,对网络带宽不造成影响
🧱 关键物理节点
光猫
运营商发的。
如果想要开放公网服务的话,需要申请一下动态公网 IP,免费的。这样再把光猫改成桥接模式,就可以把 DMZ 服务暴露给公网了,外网访问自家服务会更方便。
主路由
如果光猫申请了桥接模式,就需要有个主路由用于拨号,需要有端口转发和静态路由的设置能力,同时要保证全 2.5G 口。
DMZ 服务器
用于公网访问的服务,如果没有公网访问需求可以不要。
⚠️ DMZ 区是互联网流量进入内网的第一道防线,防御力与一般家庭网络相当。推荐放置一些对互联网开放的服务,不要放珍贵的数据和重要服务。
子路由
软路由宿主机,装 PVE,需要至少 1 个 SFP+ 万兆网口。
一般来说 N100 小主机就够用了。
但是如果想跑满双万兆上下行,比如你在 DMZ 有个很重的服务希望内网可以用万兆访问它,或者你手头没有性能比较强的万兆交换机的话,那就需要找最好 12 代 i3 或以上的处理器的小主机来作为宿主机。万兆交换比较考验单核性能,N100 这种以多核为主的 U 就不太能撑住了。
交换机
内网主要交换中枢,需要有至少两个万兆口。注意一定是要能两个口同时跑满万兆的,而不是万兆接口但实际上只能跑 2.5G 的。
如果你的子路由比较强,并且有两个万兆口,那交换机只有一个万兆口也可以。
内网服务器
内网服务宿主机,可以是一台也可以是多台,推荐装 PVE。
至少 1 个 SFP+ 万兆网口,其它配置就根据财力来了。
珍贵数据和服务放在这里,会比 DMZ 区要安全很多,比如 NAS 之类的放在这里更安全。
AP
用来发射 WiFi 信号,有很多方案。现在很多吸顶和面板 AP 都支持无 AC 自组网,插 POE 线就能用,很舒适。不需要 WiFi 信号的地方也可以直接装个网线面板,直插你的电脑即可。
🛒 落地
🔧 硬件
主路由
我这边用的是中兴星云 MAX,主要是参数完美符合我的需求:全 2.5G 网口、可拨号、有端口转发和静态路由的设置、无 WiFi 模块、体积小、功耗低、大企业、便宜。
二手平台购入 219 人民币。其实全新的赶上活动可能比这还便宜,没活动也贵不了多少,有实力还是建议购入新机。
DMZ 服务器
笔者在此处的 DMZ 中部署的服务不多,因为大部分对公服务都已经放在了 VPS 上。划分 DMZ 区主要是为了在公网访问内网服务时更加安全便捷,因此这里仅部署了反向代理和 DDNS 服务。
机器是之前自己刷的 OECT,小黄鱼购入 105 人民币,相关教程可以参考笔者之前的一篇文章。
板载的硬盘太小了,不过 OECT 有 2.5 寸的 SATA 硬盘位,所以我又购入了一块建兴的 mSATA 硬盘 70 块 + mSATA 转 SATA 硬盘盒 18.5 块 = 88.5 元
DMZ 服务器总计:193.5 元
子路由
这部分投入相对较高。由于没有额外预算购买高端万兆交换机,我只能选择能跑满双万兆口的软路由,以此来支持内网服务器的 10G 接入。
我这里选择的是飞速讯 i3 1215U 迷你小主机,4 口 2.5G + 双万兆口,这已经是我能找到性价比最高的能跑满双万兆口的小主机了,无任何优惠入手的准主机 1738 人民币。
- 小黄鱼入手九新英睿达 DDR4 8GBx2:320 块
- 小黄鱼九新西数 SN740 256G m2 NVME 固态一块:200 块
不得不说现在的内存和硬盘是真贵啊……(肉疼)……子路由总价:2258 元
交换机
得益于前述配置中性能较强的子路由已经能够跑满双万兆,加之目前只有一台内网服务器,因此这里的交换机只需具备单 10G 转发能力即可。
小黄鱼购入杂牌万兆交换机,88 块。
⚠️ 便宜的交换机因为缓存很小,只要有单口发生堵塞就会导致它上报子路由暂停协议,从而引发整个网络掉速,也就是说可能会导致 10G 口也掉速到千兆。 不过笔者因为到这里确实没钱了,“只能说能用就行吧”……
读者有钱的话还是推荐购入大厂的经典型号,万兆口多一点更好,万兆口以外的口推荐全 2.5G。比如 TP-Link 的 TP-LINK TL-SE2420pb,二手大概 1500,性价比就很不错~
AP
笔者这里同样没钱了,所以使用了之前剩下的千兆 AP。所以其实笔者家里目前因为 AP 是千兆的,WiFi 下行被卡在了千兆,没到 2.5G,“等后续有钱了再换吧”。
读者有实力的话,笔者这里推荐 2.5G 回程 + POE 供电 + WiFi6 的 AP 都可以。吸顶 AP 穿透力和覆盖面更好,虽然比面板的要贵,但是论覆盖面的话还是吸顶款性价比更高。如果读者能接受吸顶 AP 的颜值,还是更推荐两到三个吸顶 AP 配合网口面板就可以覆盖全家了。
比如锐捷 272MG 3600M 或者 TP-LINK 7AP5100HC-POE 5100M,都还可以。
线材
网线大部分使用之前的线材即可,家庭环境传输距离短,6 类网线就可以轻松跑满 2.5G。
万兆口推荐直接购买 DAC 铜缆,比光纤 + 光模块大概便宜十倍,短距离传输带宽是一样的。
- 二手华为 25G 三米 DAC 铜缆(向下兼容 10G):14.5 元
- 全新杂牌 DAC 铜缆 0.5 米:16 元
线材总价:30.5 元
⚠️ 这里主要是因为我有一个距离很短的接线需求,所以买了根很短而且很贵的新线,到手试了下线材做工都不如二手华为,推荐读者避坑~
💰 总计
| 设备 | 价格(元) |
|---|---|
| 主路由(中兴星云 MAX) | 219 |
| DMZ 服务器(OECT + 硬盘) | 193.5 |
| 子路由(飞速讯 i3 1215U + 内存 + 固态) | 2258 |
| 交换机(杂牌万兆) | 88 |
| 线材(DAC 铜缆) | 30.5 |
| 总计 | 2789 |
不过我这个是因为我是组网升级,所以我本身就有现成的 AP、六类网线和内网服务器,所以省了一些钱。如果全部加上的话按现在内存硬盘的价格“至少也要翻倍吧”。
现在一块 16T 的西数 HC550,二手都要 1800 了……
🔌 接线
六类网线
- 光猫 → 主路由 WAN
- 主路由 LAN1 → 子路由 WAN
- 主路由 LAN2 → DMZ 服务器
- 万兆交换机 → AP 或其它终端设备
特别的,推荐子路由到万兆交换机再插一根线,用来留作子路由 PVE 的应急物理入口。
DAC 铜缆
- 子路由万兆 LAN1 → 万兆交换机万兆 1
- 内网服务器万兆 1 → 子路由万兆 LAN2 或万兆交换机万兆 2
✍️ 结语
到此物理方面就算准备充分了,下一步就是免费的配置阶段,限于文章长度,下期再议~ 