之前發的 VLAN 科普收到了大家的熱情反饋!小編快馬加鞭準備了一期家庭 VLAN 經驗分享!
本期案例的作者是一位居住在英國的 UDM 用戶,家里的網絡不僅要滿足日常使用,還得滿足居家辦公需求。一起看看他用了哪些 UniFi 功能吧!希望可以給你的網絡配置提供一些靈感。
家庭網絡升級需求
2019 年底,我開始為家庭網絡升級尋找更合適的設備。
我的需求是劃分 VLAN,將「居家辦公網絡」從「家庭網絡」中隔離出來。同時,我還得設置一個訪客網絡。以上這兩個需求,原本運營商提供的那臺無線路由器一個都做不到。
除了解決網絡需求,我對設備的外觀也有一定要求。畢竟當時家里沒裝機架,新設備只能擺在外面,可不能看起來太凌亂。
然后呢,我就發現了 Ubiquiti。在油管看了些介紹 UDM 的視頻之后,就決定是它了!
VLAN 劃分初體驗
不得不說,我對 UDM 真的很滿意!它實現了我想要的 VLAN 劃分。
一開始我創建了 4 個 VLAN,把居家辦公網絡和普通家庭網絡隔離開,分別命名為 Home office 和 Home Lan;還配置了一個訪客專用的網絡 Guest Lan;以及一個遠程訪問家里的 Home VPN。
具體的就如圖所示:
UDM 是一款集安全網關、交換機、SDN 控制器和監控存儲于一體的綜合網絡系統,可以輕松給網口劃分 VLAN。
端口 4 連了威聯通(QNAP) NAS,我把這個口劃到了 Home Lan;端口 3 通過電力貓連到了辦公用的電腦,這個口劃到了 Home Office。
VLAN 擴展升級
運行幾個月后,UDM 已經成為了我的中小企業客戶測試平臺,我會先在這測試一下防火墻規則之類的配置,然后再交給客戶。VLAN 數量也隨著需求變化,從 4 個擴展到了 8 個:
Management 管理網絡(新增)- 10.1.1.0/24
Home 家庭網絡 - 10.10.1.0/24
Guest 訪客網絡 - 10.20.1.0/24
Office 辦公網絡 - 10.30.1.0/24
IOT 智能設備(新增)- 10.40.1.0/24
Servers 服務器(新增)- 10.50.1.0/24
VPN 遠程訪問 - 10.60.1.0/28 - UDM 的 LT2P VPN
Cameras 視頻監控(新增) - 10.60.1.0/24 -(用于運行 UniFi Protect 的設備,比如 UDM Pro、NVR 等)
每個網絡的 DHCP 都由 UDM 提供,不過 DNS 服務器是樹莓派的 IP 地址。每個網絡都設置了一個以(.Local)結尾的域名,如 Home.Local、Servers.Local 等。
除了 VLAN,我還配置了 L2TP VPN 。即使人在客戶那,也可以通過筆記本電腦,遠程、安全地訪問家里的 NAS。我還在自己和家人的手機上也配置了 VPN,遠程訪問真的很好用。
UDM 內置的 AP 也很厲害,比之前運營商提供的無線路由器好用太多了!無線性能更好,可以給整個房子,還有花園提供足夠的 WiFi 覆蓋,效果很棒。
安全設置
IPS 入侵防御等級我設置為 5 級,還給每個 WiFi 都做了帶寬策略配置,幾個月下來感覺還不錯。
一開始我就設置了防火墻規則,防止 Guest 網絡訪問 Home 和 Office 網絡。設置起來很容易,效果也不錯。
后來又增加了一些規則,阻止來自 Management、Office 和 Home 以外的 VLAN 的網關 IP、SSH 訪問以及 ICMP 流量。這樣能夠有效防止客戶通過以上方式進入 UDM 的管理界面,或者在連接的時候 ping 它的地址。
為了防止客戶添加 DNS 工具來規避內容限制,我屏蔽了所有 DNS 服務器的 DNS 請求,除了我自己設置的那些。我還添加了常見的 DOH 提供商 IP 地址列表,方便測試屏蔽基于瀏覽器的 DOH 修改。
其他設置
原本我用的是 UDM 內置的 Content Filter 內容屏蔽功能,把 Guest Lan 和 Home Office 這兩個 VLAN 設置為家庭級別,這樣當家人或客人在上網的時候,就可以屏蔽掉一些奇奇怪怪的東西了。不過后來我裝了其他屏蔽工具,就把這個功能關掉了。
我在樹莓派上安裝了屏蔽工具 Pi-hole,通過 Unbound(DNS 軟件)把它配置成了遞歸 DNS。其實 UDM 內置的內容屏蔽選項是不錯的,就是沒有廣告屏蔽功能,讓人有點小不爽。
我還在樹莓派上安裝了 PiVPN,可以用它輕松創建 Wireguard VPN。
順帶一提,Cloud Restore 云恢復功能總在我需要的時候完美救援,簡直如有神助!
基于 Afraid(DNS 提供商)的動態 DNS 沒出過任何問題,這對遠程訪問來說非常棒,端口轉發也沒問題,無線帶寬節流效果很好,WiFi 定時開關的功能也很好用。
總結和建議
現在我家里大概有 25 臺設備聯網,包括電視、手機、平板電腦等,目前都運行正常,沒出過什么幺蛾子。
不過我還是有些小建議的:
- 如果可以內置具有二維碼管理功能的 Wireguard VPN 就好了,這樣就不用找第三方替代方案了
- 實時防火墻日志,OPNsense 有這個,實時查看正在發生的事情真的很有幫助
- 把 WAN 和 VLAN 間的流量統計區分開來會更好
- 可以在拓撲圖上顯示網絡名稱,就像 WiFi 名稱顯示在拓撲圖上那樣,這樣網絡的邏輯布局更一目了然,對故障排除非常有用
就我個人而言,UDM 非常出色,完全可以滿足我的需求,配置簡單,運行良好。
我的客戶也很喜歡它,甚至連我老婆都成了它的顏值粉!現在它就擺在我們的餐廳,真的不能更滿意!
最近剛組了個機架,接下來很想試試 UDM Pro,非常期待它的表現!
要問我會不會推薦 UDM 嗎?答案當然是肯定的啦!
