之前发的 VLAN 科普收到了大家的热情反馈!小编快马加鞭准备了一期家庭 VLAN 经验分享!
本期案例的作者是一位居住在英国的 UDM 用户,家里的网络不仅要满足日常使用,还得满足居家办公需求。一起看看他用了哪些 UniFi 功能吧!希望可以给你的网络配置提供一些灵感。
家庭网络升级需求
2019 年底,我开始为家庭网络升级寻找更合适的设备。
我的需求是划分 VLAN,将「居家办公网络」从「家庭网络」中隔离出来。同时,我还得设置一个访客网络。以上这两个需求,原本运营商提供的那台无线路由器一个都做不到。
除了解决网络需求,我对设备的外观也有一定要求。毕竟当时家里没装机架,新设备只能摆在外面,可不能看起来太凌乱。
然后呢,我就发现了 Ubiquiti。在油管看了些介绍 UDM 的视频之后,就决定是它了!
VLAN 划分初体验
不得不说,我对 UDM 真的很满意!它实现了我想要的 VLAN 划分。
一开始我创建了 4 个 VLAN,把居家办公网络和普通家庭网络隔离开,分别命名为 Home Office 和 Home Lan;还配置了一个访客专用的网络 Guest Lan;以及一个远程访问家里的 Home VPN。
具体的就如图所示:
UDM 是一款集安全网关、交换机、SDN 控制器和监控存储于一体的综合网络系统,可以轻松给网口划分 VLAN。
端口 4 连了威联通(QNAP) NAS,我把这个口划到了 Home Lan;端口 3 通过电力猫连到了办公用的电脑,这个口划到了 Home Office。
VLAN 扩展升级
运行几个月后,UDM 已经成为了我的中小企业客户测试平台,我会先在这测试一下防火墙规则之类的配置,然后再交给客户。VLAN 数量也随着需求变化,从 4 个扩展到了 8 个:
Management 管理网络(新增)- 10.1.1.0/24
Home 家庭网络 - 10.10.1.0/24
Guest 访客网络 - 10.20.1.0/24
Office 办公网络 - 10.30.1.0/24
IOT 智能设备(新增)- 10.40.1.0/24
Servers 服务器(新增)- 10.50.1.0/24
VPN 远程访问 - 10.60.1.0/28 - UDM 的 LT2P VPN
Cameras 视频监控(新增) - 10.60.1.0/24 -(用于运行 UniFi Protect 的设备,比如 UDM Pro、NVR 等)
每个网络的 DHCP 都由 UDM 提供,不过 DNS 服务器是树莓派的 IP 地址。每个网络都设置了一个以(.Local)结尾的域名,如 Home.Local、Servers.Local 等。
除了 VLAN,我还配置了 L2TP VPN 。即使人在客户那,也可以通过笔记本电脑,远程、安全地访问家里的 NAS。我还在自己和家人的手机上也配置了 VPN,远程访问真的很好用。
UDM 内置的 AP 也很厉害,比之前运营商提供的无线路由器好用太多了!无线性能更好,可以给整个房子,还有花园提供足够的 WiFi 覆盖,效果很棒。
安全设置
IPS 入侵防御等级我设置为 5 级,还给每个 WiFi 都做了带宽策略配置,几个月下来感觉还不错。
一开始我就设置了防火墙规则,防止 Guest 网络访问 Home 和 Office 网络。设置起来很容易,效果也不错。
后来又增加了一些规则,阻止来自 Management、Office 和 Home 以外的 VLAN 的网关 IP、SSH 访问以及 ICMP 流量。这样能够有效防止客户通过以上方式进入 UDM 的管理界面,或者在连接的时候 ping 它的地址。
为了防止客户添加 DNS 工具来规避内容限制,我屏蔽了所有 DNS 服务器的 DNS 请求,除了我自己设置的那些。我还添加了常见的 DOH 提供商 IP 地址列表,方便测试屏蔽基于浏览器的 DOH 修改。
其他设置
原本我用的是 UDM 内置的 Content Filter 内容屏蔽功能,把 Guest Lan 和 Home Office 这两个 VLAN 设置为家庭级别,这样当家人或客人在上网的时候,就可以屏蔽掉一些奇奇怪怪的东西了。不过后来我装了其他屏蔽工具,就把这个功能关掉了。
我在树莓派上安装了屏蔽工具 Pi-hole,通过 Unbound(DNS 软件)把它配置成了递归 DNS。其实 UDM 内置的内容屏蔽选项是不错的,就是没有广告屏蔽功能,让人有点小不爽。
我还在树莓派上安装了 PiVPN,可以用它轻松创建 Wireguard VPN。
顺带一提,Cloud Restore 云恢复功能总在我需要的时候完美救援,简直如有神助!
基于 Afraid(DNS 提供商)的动态 DNS 没出过任何问题,这对远程访问来说非常棒,端口转发也没问题,无线带宽节流效果很好,WiFi 定时开关的功能也很好用。
总结和建议
现在我家里大概有 25 台设备联网,包括电视、手机、平板电脑等,目前都运行正常,没出过什么幺蛾子。
不过我还是有些小建议的:
- 如果可以内置具有二维码管理功能的 Wireguard VPN 就好了,这样就不用找第三方替代方案了
- 实时防火墙日志,OPNsense 有这个,实时查看正在发生的事情真的很有帮助
- 把 WAN 和 VLAN 间的流量统计区分开来会更好
- 可以在拓扑图上显示网络名称,就像 WiFi 名称显示在拓扑图上那样,这样网络的逻辑布局更一目了然,对故障排除非常有用
就我个人而言,UDM 非常出色,完全可以满足我的需求,配置简单,运行良好。
我的客户也很喜欢它,甚至连我老婆都成了它的颜值粉!现在它就摆在我们的餐厅,真的不能更满意!
最近刚组了个机架,接下来很想试试 UDM Pro,非常期待它的表现!
要问我会不会推荐 UDM 吗?答案当然是肯定的啦!
U 粉互动
每家每户的网络部署差异不小,你觉得 UniFi 的哪个功能最实用呢?
在评论区告诉我们吧!