创作立场声明：开篇先申明一下，这篇文章仅仅自己折腾完以后分享一下自己折腾的结果，不教你怎么家庭组网，你不要和我学，也请你们不要教我该怎么做。我常和人说我家的网络就是个笑话，毕竟个人家庭使用那么点需求，我竟然整了那么大个机柜，也确实比较夸张，这些我也都明白。所以各位好心人请压制一下自己想开杠的冲动。如果真的忍不住的话，请先瞄准我们伟大的王校长，说服他家用真的不需要一台七位数的服务器。

前言

虽然这个帖子是为了参加UBNT论坛的一个活动写的，也算是对我家网络的一个整体复盘，在这里分享一下。

我是一个Unifi的粉丝，但也算不上死忠粉，目前家用设备从路由到交换机再到无线AP，使用的都是Unifi系列。其实，我最早对于网络产品并没有太多品牌的概念，早先的概念中网络设备高端一点的品牌就是思科、Aruba、Netgear、ASUS，本土品牌就是Huawei，Tplink，Dlink之类的，所以我最早是使用的网络设备组合是Tplink企业级路由+思科POE交换机+Tplink无线控制器+Tplink无线AP，这套组合价格算下来也不算便宜，但是就是觉得无论是思科还是tplink的web界面真的有点土。后来遇到了偶发性断流，处于个人偏见的原因，首先认为就是这一套设备出了问题，最终整套换了。但整套换下后才发现其实是路由到光猫的网线出了问题，妥妥的背锅侠。
其实我第一台入手的UBNT设备并非现在使用的UNIFI全家桶，而是一台EdgeRouter 4，可惜我手头已经没有这台设备的上机照片了。当时出现网络问题后，我第一步考虑的是TP那台路由器的问题，正好又看到有人推荐了EdgeRouter X，说是弱电箱神器。考虑到ERX不能安装上柜，于是选择了ER4，通过官方配套支架安装到机柜里。当时打开设置页面的感觉就非常的好，界面简单直观，可调的选项非常的多。而且调整完后，这台路由运行效率的非常高，特别是开启了硬件Offload后性能飙升，可玩性也极高。也是后来才知道，原来EdgeRouter的定位是专业的企业级路由，这套路由系统是可以和鼎鼎有名的ROS系统正面硬刚的，从此陌转粉。直到现在，我手头还留有一台巴掌大小的EdgeRouter X，最佳路由备胎。
记得第一次让我对UNIFI产品感兴趣是在Chiphell论坛上看到一个坛友po出来他家装修新装的网络设备，他使用的正是全套Unifi设备。当我第一次看到帖子中Unifi的UI界面时，就震惊了，UI的设计如此简洁但又精美，还可以直观的显示网络设备的运行状况。当时，恰好领导抱怨家里Tplink的无线网络非常不稳定，网速也非常慢，所以升级网络设备也就顺理成章地被提上了日程，而Unifi全家桶是我当时唯一的目标。

家庭网络设备布局

先上家里的平面图。由于楼主不是工科出生，完全用不来CAD，自学了10分钟后果断放弃。所以在装修前，我花了一整天，用VISIO画出了这张平面图。优不优秀？骄不骄傲？想不想打我？大哥我错了，我不该问这问题！！！

房型图

我买的这套是二手房，上家在装修的时候把弱电箱挪到了位于餐厅A点的位置，现在还记得当时在看房的时候，他特地向我得瑟这个隔间，说拿他做家庭网络中心，空间大，足够放设备了。我转头就呵呵哒！一个高宽深仅仅350 x 350 x 300 mm的小空间，怎么可能够？

光纤入户

位于书房B点的位置，是我目前放置机柜的地方，当初要求工头在AB两点之间留一根空PVC管，里面预置铁丝。原计划是用预置的铁丝将光纤直接抽到书房，取消餐厅那个“巨大”的弱电箱，所有网络设备在机柜里进行统一的管理。但是！电工害我！！！他在我PVC管里还穿了一根七类屏蔽网线！！！好想死！！！然后就没有然后了，待电信师傅上门把网线抽出来换成光纤的时候，发现这货压根就抽不动！！！电信师傅尝试各种抽线姿势，最后还是没有抽动，只能放弃。最终这只光猫只能被孤零零地留在A点的位置，实在是太悲催了。你说我请的电工优不优秀？？？

不知不觉已经码了1400个字了，接着来。

当初在装修时侯对网络的要求如下：

1. 网络设备不上桌面
2. 吊顶设计不改，所以顶上不留线，放弃吊顶AP（后悔啊！！！）
3. 主要生活区域，例如客厅、餐厅、卧室，至少保证1路网线

最后含光猫到路由的那路，一共在家里拉了14路网线如下：

1. 客厅共3路：无线AP，HTPC，IPTV
2. 餐厅共2路：无线AP，路由上行链路（光猫到路由）
3. 主卧共3路：无线AP，HTPC，IPTV
4. 次卧共2路：无线AP，IPTV
5. 书房共4路：无线AP，三面墙各留1路

装修布线

下图可以看到我家Unifi设备的摆放位置。不得不说，Unifi控制器里面Floorplan这个功能真的不错，可以比较直观的模拟出家里各个区域的无线信号强度，和实际感受基本是一致的。但是新版界面下的Floorplan功能还没开发完成，期待越改越好，千万别开倒车啊！

Unifi Floorplan功能

Unifi Floorplan功能

目前实际使用下来，全屋5G毫无问题，无线漫游正常。实话实说，Unifi的无线漫游有时候还是会出现一些问题，主要集中在走廊位置，正好是4个无线AP信号的重叠区域，偶尔会出现切换缓慢的情况。主卫由于四面都是混凝土承重墙造成的法拉第笼效应，信号较弱，但也刷个网页和微信也是够用了。

设备选择

正如前面说的，我家的网络中枢设置在书房，装修时候就在那里规划了一个机柜。目前而言，我依旧觉得那是一个非常英明的决定。简单介绍一下我目前使用的Unifi设备。

机柜

Unifi 拓扑图

机柜内

1. 路由（安全网关）：Next-Generation Gateway Pro
2. 24口POE交换机：UniFi? Switch 24 PoE Gen2
3. 万兆POE交换机：Switch XG 6 PoE
4. Unifi控制器：UniFi? Cloud Key Gen2 Plus
5. UBNT六类网线若干（10cm，30cm，1m）

Unifi设备图

Unifi设备图

机柜外

1. 吸顶AP：UniFi? AP SHD（数量1）
2. 面板AP：UniFi? HD In-Wall（数量4）
3. 监控：UniFi? Protect G3 FLEX Camera（数量1）

这些设备都是用网线POE供电，非常的方便。

原先在书房规划的也是IW-HD，但后来主力机附近的网口改万兆后，就把IW- HD换成了Flex HD，安装在机柜侧面的墙壁上。再到最近一次偶然的机会，入手了一台SHD，从机柜走了一根明线到壁橱顶上，由于柜门是一层薄薄的玻璃，目前看来对信号影响是不大的。

UAP-AC-SHD大飞碟

IW-HD面板AP

G3 Flex摄像头

家庭网络拓扑

在网络拓扑设计方面，我并没有追求全屋万兆。先不谈全屋万兆的搭建成本很高，单就我家里的各类设备目前而言大多也都用不到万兆。

• 1080P监控：100 MBPs
• Wifi5无线AP：1 Gbps
• Apple TV：1 Gbps
• HTPC Intel NUC11：2.5 Gbps
• x86服务器（两台）：10Gbps
• 群晖RS1219+：10Gbps
• PC：10 Gbps

再来看看常见的应用对于网速的要求：

• 4K流媒体：全球平均40 Mbps，国内的假4K要求更低。
• 8K流媒体：油管8K风景片，连接速度要求<200 Mbps；如果是AV1编码的，要求更低。总的来说，400 Mbps足够支持任何8K流媒体播放了。
• 4K原盘：播放一部100G，100分钟的4K蓝光原盘，需要带宽133 Mbps。
• 手游：一般游戏都有优化到支持4G移动网络速度，峰值100 Mbps，其实手机大多数时间的实际移动带宽都到不了50 Mbps。相比带宽而言，手游其实对网络延时的要求更高。
• 极速下载：现在魔都最高为2Gbps带宽，而P2P下载由于大多是小包数据转发，所以就算带宽给足了，SoC的算力不够，带宽也跑不满。

而我对万兆的需求大多集中在：

• 视频在线剪辑
• 无盘操作系统
• 远程存储和读取游戏文件
• 大文件的局域网内传输

所以我选择的方案是主干网以1Gbps为主，个别设备需要万兆网速的，增设一台小型的万兆交换机，增强体验。这也就是我选择Unifi第二代24口千兆POE交换机配合一台XG 6万兆POE++交换机的原因。

下面是我的网络拓扑：

网络拓扑图

局域网规划和部署

我家局域网一共划分了6个网段：

1. LAN：专门用来管理Unifi设备，只有路由，交换机，无线AP，控制器，监控摄像头
2. VLAN 10：主力网段，正常上网设备都使用
3. VLAN 20：IoT智能家居设备专用的网段
4. VLAN 40：主力网段，设置有旁路由第二网关，可以使用旁路由上的各类插件
5. Guest访客网络
6. L2TP远程访问

VLAN

关于为什么在家里要划VLAN？答案其实很简单，就是为了让我能够在一个平和的环境里折腾网络。设想如果你把软路由折腾趴了，全屋断网，你家领导能坐得住吗？通过虚拟局域网的切割，即使我在VLAN40里面极尽所能的折腾，也不会对VLAN10产生任何的影响。哪怕我真的把软路由搞炸了，领导也发现不了。

5个主要网段示意图

Unifi的UI界面是真的好看！相当的简洁直观。在其他家必须要用命令行的设置，这里只需要鼠标点点点就可以实现了。

网络设置

关于使用VLAN的另一个原因是数据的安全性。现在乃至往后可以预想到，我会使用越来越多的智能家居（IoT）物联网产品。我非常喜欢智能家居设备带来的便利，但是又对智能家居设备的网络安全感到非常担忧。目前做智能设备的厂商多如牛毛，但是仔细看一下他们的广告，基本没有一家会提到自己设备的安全性。可以这么说，在智能设备行业，设备的安全性是被忽视的。智能设备普遍售价都比非智能的高，就是因为他更”智能“，而非更”安全“。试想，作为消费者，同样的两款设备放在你面前，功能都一样，其中一个安全等级更高，但是要贵50%，你会选择它吗？试想，作为智能设备厂商，当你把设备的信息安全等级和产品的成本、外观设计、远程控制、设备间联动、跨平台联动等放在一起，你会把你手上那一丁点钱投向哪里？目前主流智能厂商，特别是初创企业的研发重点，我敢说绝不会落在设备的网络安全上。所以，既然有所顾虑，那就把它关到笼子里。

管理IoT设备最麻烦的地方是，你不能简单粗暴的使用访客网络，因为访客网络的设备间通信是隔离的，每台设备只能访问外网，然而IoT设备除了许多使用蓝牙或者zigbee通信方式的，很多还是需要和本地其他设备相互沟通的，例如飞利浦的智能LED灯就需要通过网络和Hue网关进行通信。所以我使用防火墙在IoT设备的VLAN和家庭主网的VLAN之间，砌了一道墙。通过修改防火墙设置来管理VLAN间路由，从而阻断IoT向主网的单向通信。

我主要参照了Unifi官方教程依样画葫芦。UBNT在这方面做的还是相当不错的，只要能看懂英文，难度几乎为零。在UBNT的官方网站上可以找到各种网络设置的方法，图文并茂。但有的教程显然年代久远，已经不适合现在最新的控制器了。另外，需要批评的是，本地化做的实在是太弱了。有些教程只有英文，找不到中文版，提高了系统的使用门槛。

旁路由

使用旁路由，归根结底其实是要使用旁路由上的一些特色功能。简单来说其实就是用OpenWRT的一些插件，对数据流量进行加工，实现更快、更好地访问互联网。这些插件基本是为了满足一些定制化的需求而存在的，任何网络设备大厂都不会把这些插件集成到自己的路由系统里面。一方面要享受Unifi全家桶带来的高速、稳定的网络，另一方面又要享受这些定制化插件带来的便利，那最灵活的方式就是使用旁路由。关于这方面，我也写过一篇简单的笔记，记录在Unifi系统下如何设置旁路由。Unifi下设置旁路由是非常简单的，只需要在相关网络设置里，修改DHCP服务器里的网关IP地址，让它指向旁路由就可以了，剩下的就是在旁路由端的设置。

网络设置

远程访问

Unifi自带了DDNS和远程VPN服务器两项功能，通过配合使用，可以实现外网远程访问家庭局域网。我平时上班休息时间或者出差在外时，如果需要访问家里局域网设备，就是使用Unifi的L2TP协议连接到本地局域网。这样就和在家操作没有任何差别了，通过IP地址就可以直接访问本地的服务器。

有的兄弟可能会说，远程访问我用端口转发也同样可以实现。是的，使用端口转发同样可以实现远程访问，但是有风险。转发的端口就像你在防火墙上打洞，是没有保护的。特别是一些常用端口，很容易被互联网上居心不良的人扫描，甚至强行攻破。在一些微信群里，我还看到有些人直接将OpenWRT、UNRAID之类的Web访问端口转发到了公网。要知道这类系统的安全级别几乎为零，被扫描到后非常容易被攻破。这些自身安全性比较弱的设备，还是应该安安静静的躲在防火墙后面才好。

远程访问

关于远程访问功能，我还是建议UBNT要开放OpenVPN方式的用户远程访问，毕竟OpenVPN需要证书验证，安全性上会略高于L2TP。

关于DDNS，我没有使用Unifi控制器里自带的几家DDNS供应商，而是沿用了之前一直使用的Aliyun DDNS。稳定性和更新速度都符合要求，也就没必要换了。其实使用Unifi自带的DDNS是更好的一个选择，毕竟当外网IP发生变化后，网关会立刻通知域名供应商，更新IP地址。而我目前使用的DDNS更新方式，做不到那么及时，但也够用了。

动态域名

无线网络

Unifi最早吸引我的并不是他们家的路由和交换机，而是他们家的无线AP。但是近年来，尽管作为Unifi的死忠粉，还是不得不吐槽一下，Unifi在Wifi6 AP的产品开发方面，进度实在是太缓慢了。市面上完全找不到Unifi的一席之地。目前正式开售的Wifi6 AP只有两款，Lite和LR，完全没有尝试的欲望。因此在Wifi6产品开售后，我坚定的入手了一台SHD。总的来说，SHD作为一款旗舰级的高密度AP，信号强度并不是最强，主要卖点是带机量和稳定性。当然家用就不要考虑带机量的问题，稳定性的确可以压倒一众AP。

在无线设置上，我建立了4个WIFI SSID，并且绑定了VLAN。当设备连接到相应的SSID的那一刻，就自动进入了对应的VLAN里面，获取相应的网段IP。此外，Unifi还可以对每个SSID指定特定的无线频段和无线AP，自由度非常的高。

无线网络

无线网络设置

在客户端的界面上，也可以看到连接到不同SSID的设备，及其所处的无线频段，获取的不同网段的IP地址，非常方便管理。

客户端界面

在无线网络方面，有些人可能会为了追求更高的信号覆盖而盲目的提高设备的传输功率。曾经我也有这样的误解，认为信号越强，网速越快。但现实啪啪得打肿了我的脸。Unifi会自动设置AP的传输功率，维持在一个合理的设置上。相比先前手动调高发射功率，自动模式下实测带宽还会略高于手动模式。当然，我相信如果你有专业的设备和无线调教经验，还是有更优化的空间。但是对于我而言，就没必要了，交给Unifi来控制就行了。

AP射频设置

威胁管理

Unifi另外吸引我的一个因素是他的威胁管理，也就是防火墙系统。当然相比专业的防火墙，这套系统在肯定是有差距的。但是比起其他的路由系统，这个功能就显得强大了。在设置页面，对于每一种网络威胁都可以通过单独的开关进行开启和关闭。只是开启防火墙，会禁用路由的硬件加速功能，提高CPU的工作负荷，也会增加网络延迟，这是用户自己需要权衡的。

威胁管理

在控制器界面，也可以查看防御威胁的情况。可以根据实际受到的攻击调整威胁管理的设置。

界面可视化

到目前为止，我确实没看到哪家网络设备商会像UBNT这样，在可视化上花费那么多的精力。Unifi的界面设计绝对是业界一流的。新界面对之前老界面的一些功能也进行了调整和重构，使界面显得更现代、更简洁，挺不错的。但是新界面在设置里减少了菜单层级，许多功能都被藏的更深了，一时间难以找到，反倒是老界面的设置更方便。例如，端口转发的设置，被藏在非常深的位置。

新版界面

我特别喜欢新界面的数据统计模块，分类非常详细。瀑布的显示方式，也比较简洁直观。

流量统计

老界面的dashboard是支持自定义的，虽然没什么卵用，基本也不会去看他。

老版界面自定义dashboard

实际效果

首先是用iperf3进行打压测试，服务端是搭建在群晖上的。有线测速该千兆就千兆，该万兆就万兆，稳得很。主要看一下无线打压测速。实测跨VLAN和不跨VLAN的带宽差异不大。MBP的无线速度反倒没有Samsung S21+的快，有点出乎我的意料。但基本上跑到600Mbps问题是不大的。我记得之前用iMac连SHD最高测速可以稳定在780～800Mbps。

无线网速实测

通过Ping上海电信的DNS服务器，简单的看一下网络延时情况。在无线网络下，平均延时在10ms左右。而有线网络就要快很多，也稳定很多，延时为4ms。但是，我曾经看到我一个南京的兄逮，Ping 114 DNS服务器的延时在<1ms，感觉就和坐在服务器上一样。当然，其实并不是说Unifi的性能不行，而是我那个兄弟的网络延时太变态了。他使用了UBNT的EdgeRouterX SFP路由直连Ponstick，省去了光猫。此外，他还把DHCP服务器和DNS网关之类都挪到了另一单独立的服务器上，ERX SFP只用来做NAT网络地址转换，整个路由功能相当精简。但这可能也不是全部的原因，可能他们小区本身外部网路就比我家更好。总的来说，我家目前实测的这个数据，我个人还是满意的。

网络延时

漫游方面，我是用三星S21+上的WiFi魔盒应用进行测试，在走动过程中，共发生10次漫游，0次丢包，切换时间通常在70～80ms之间，测试的结果还算满意。但印象里这个速度相比思科和Aruba而言，还是慢了一些。如果是看视频流媒体，由于有缓存的存在，基本可以零感知。但如果玩游戏的话，在切换的时候可以想见的是肯定会卡一下。

无线漫游

总结

Unifi全家桶这一整套布置下来，价格不菲。但最后呈现出的效果还是相当不错的，是我喜欢的样子。一开始我只以为Unifi的无线很厉害，但到后来上了全家桶后才发现，原来Unifi的控制器才是它的灵魂。通过Unifi的控制器，他把原先割裂的各网络组成部分真正有机的捏合到了一起。加上完善的WebUI和数据可视化，降低了Unifi网络部署的难度，让我这样一个只知道网络知识皮毛的门外汉可以根据自身的需求进行进阶部署。当然，我并不是说Unifi的产品已经可以和思科之类的头部企业相匹敌的地步，相反，我认为在硬件上，UBNT还有很多路要走，要加快产品的开发，开发出符合用户需求的产品。但是，至少在对于网络的理解、网络应该是什么样的，未来该是什么样的，UBNT的创始人的确是有自己的憧憬和愿景的。

本文经“什么值得买”社区作者@弓佬授权转载，文章内容仅代表作者观点，与本站立场无关，未经授权请勿转载。