作者丨阿布,某央企技术专家
特大号转载自UBNT,并已获原作者授权
作者是帝都IT民工,对技术抱有极高的兴趣。房子是三居,刚装修不久,性冷淡风格系。
虽然作者是IT民工,但对于家装,把自己家里装得像个科技馆一样,这是不能接受的,所以,所有复杂的设计全部应该隐藏在背后,对外表现是简单的风格。
此文中的方案是作者对已实现场景的记录,全都是干货,但设计略为复杂,甚至粗略看,有些设计是“画蛇添足”,当然每一个看起来“画蛇添足”之处都有作者的用意,可能需要一定的基础知识作为背景。
1
网络架构,总体设计
先不解释这个图,
1、有哪些独特设计点?
1、速度更快的Intrnt接入方案2、速度更快的VPN访问方案3、无限扩展终端的IPTV方案4、千兆级的QoS方案这四个部分,下文会介绍。
2、有哪些核心设备?
图上,从上往下顺序↓
1、MA,光猫
原来电信送的是SAC。用iprf测试,MA比SAC的桥接性能(交换机的性能)要好,MA的千兆网口基本能达到M-M,而SAC只有M左右,如果网口做了VLAN绑定,千兆网口桥接性能只有M左右。
2、VLANSwitch,国产杂牌8口VLAN交换机,售价大概元左右
它的作用是扩展路由器的WAN口,因为下面出场的UBNTUSG只有两个WAN口,如果需要使用更多的WAN口就要在路由的WAN口上划分VLAN,然后再用VLAN交换机扩展路由的WAN口(2WAN扩展为6WAN)。对这个VLAN交换机的功能不要求太多,能对网口设置VLAN即可,国产VLAN交换机一般使用RTK芯片,性能还过得去,VLAN交换速度近M没问题。
3、UBNTUSG,网关,元左右
它是主角之一,具体参数网上有很多介绍,这里就不贴了,这里选择他的原因主要是:
1、性价比不错,元左右,具有百万小包转发率(1Mpps),普通路由器不到Kpps。2、UniFi全家桶核心成员,统一管理设备和客户端。当然,这个路由器的缺点也很明显:1、CPU性能低,Mhz,只有开启了HardwarNAT(UBNT称之为offload)才能到1Mpps转发率,如果靠CPU转发,性能连块的路由都比不上。所以,想在USG上跑个第三方软件,尝试一下就行了。2、QoS功能和HardwarNAT冲突,如果启动QoS,那就得靠CPU转发数据包了,性能参见第一条。所以,本方案既然使用了USG,那就得针对这两缺点,通过额外的设计方案来补充,才能形成一个整体方案。
4、X86-J,隐藏的第二网关
它的出现是因为USG的CPU性能太低,所以一些需要CPU完成的任务就通过X86-J来完成,X86-J价格大约在-元左右,整机功耗约10W。设个方案使用X86-J是因为在X86架构在计算,尤其加密解密等运算方面,和ARM/MIPS架构对比,简直就是秒杀。用数据表达就是,as-gcm、chacha20-itf-poly等加密算法,高端的ARM路由(价格大于元),大约能跑到50-60M/s的吞吐量,而X86-J轻松M/s以上(USG的MIPSCPU,实测20M/s左右)。
所以,X86-J,承担了整个方案中所有需要CPU参与的工作。对于客户端来说,X86-J是透明的,客户端看到的只有一个网关,即USG,是感觉不到X86-J作为第二网关存在的,所以叫隐藏的第二网关。
5、UBNTUS-8-60W,PoE交换机
UniFi核心成员之一,作用:核心交换机,为AP供电。
这个设备有太多的介绍,不多说了。
这里主要提一下我选这个设备的原因:性价比高。当然,我知道,某某Link一个PoE+的交换机也就这个交换机的1/3价钱,如果是国产杂牌PoE交换机,还会更便宜。何来性价比?其实US-8-60W这个交换机是支持三层QoS的,当然官方并没有明确支持这个功能,需要ssh到交换机上,然后根据EdgSwitch的CLI命令来配置,虽然很麻烦,但终归是能实现,这个交换机很好的弥补的USG不能开QoS的缺点。后文为会有QoS的设计说明,主要是这个设备来完成。所以,你想限制一下玩客云,或者想让FacTim不卡顿,都是可以通过这个交换机来实现的,而同等功能的交换机,思科大概在0左右,Ntgar大概在左右,所以,这个交换机-元是极具性价比的。
6、UAP-AC-IW、UAP-AC-Lit,无线AP
这两设备UBNTM的AP产品,UAP-AC-IW带有两个支持VLAN的网口,网上有太多介绍了,不多说了。
7、RaspbrryPi,云端管理,智能家庭的中枢
它和UBNTUCCK一样的功能,但比较便宜,还可以当作智能家庭的中枢。
核心的设备就这么多了,剩下都是客户端设备:
比如IPTV盒子,NAS,PS4等等,不做介绍了。
2
Zon区域,总体设计
在整套房屋中,又分成两个大域
上部为WAN域
下面为LAN域
两个大域中,有分为几个小域
每个小域以VLAN隔离,承担的功能都不同。
第一个大域,WAN域
这个大域里,有5个小域
1、PPPoE(s)Zon:Intrnt连入,所有访问Intrnt的流量都要进入这个Zon。2、IPTV_WAN:所有IPTV的流量都要进入这个Zon。3、CompanyVPNZon:所有访问公司的流量都要被路由到这个Zon4、ADBlockSitsZon:部分特定的网站(比如:youku.
