文作者:voandrew
聲明:樓主未收受任何來自Unifi的現金支持���,本文均是樓主實際使用心得����,是目前樓主正在使用的設置,本帖不作為教學帖����,僅供值友們分享交流�。本帖目前僅在SMZDM發布�,嚴禁轉載。
樓主自認是一個網絡小白�����,不會寫代碼,也不會敲命令���,所有操作均在Web頁面上完成。這篇分享也是純粹出于好玩才寫的�,如有錯誤���,請大神不吝賜教?���。�。?/p>
樓主承認上兩篇似乎有點水�����,因此在這一篇里樓主準備和各位值友聊聊一些干貨——自家正在用的Unifi網絡設置�。為了避免被認為是水貼,樓主就直接跳過控制器軟件安裝(PC端軟AC必備)��、控制器��、路由器、交換機采用等基礎環節(這些貌似也沒啥可討論的�,按照說明書一步步操作就可以)���。
可能友部分值友沒看過樓主之前的文章�,所以先交代一下樓主家的網絡設備硬件:
- 路由器:Unifi Security Gateway Pro 4 (以下簡稱USG)
- 交換機:Unifi Switch POE24 (以下簡稱USW)
- AP:Unifi AP In-Wall (以下簡稱UAP)
- 控制器:Unifi Cloud Key (以下簡稱UCK)
樓主主要分享下列四個方面�,應該能夠涵蓋大多數家用網絡的需求:
- 配置無線VLAN (包含建立VLAN,給SSID分配VLAN,給AP分配SSID,配置交換機端口PVID)
- 部署來賓控制
- 給訪客網絡限速
- 配置UAP頻段引導
在具體分享之前�,樓主還想聊聊這幾天下來使用Unifi的些許體會����。通常我們配置AP+AC的網絡�,路由器、交換機和AC/AP都是獨立的個體,我們都是分別對路由器、交換機和AC進行單獨配置。但是Unifi完全不同����,它將路由器�、交換機���、AC/AP視作一個整體(即站點)來進行配置���,然后Unifi會自動將站點配置分發到站點內的各個設備�����,你完全不用管對哪個設備做哪些配置�。
這就好比你開了一家公司���,下面有三個部門�,一個是銷售、一個是財務、一個是生產。如果按照傳統的管理邏輯來��,你是這家公司的CxO�����,必須要懂得銷售,告訴每一個銷售他們該賣哪些產品�,去跑哪些客戶�����;還要告訴每一個財務如何做賬,報表怎么編制���,怎么報稅;同時還要告訴生產����,去找哪個供應商�,這個供應商能夠提供什么部件���,你該怎么設置產線���,如何裝配�����。這樣做的好處是��,只要你的技術過硬�,你可以讓這個公司完全按照你的要求來干活��。但問題是�,我是網絡小白��,所以這種方式真不適合我�。而如果按照Unifi的管理邏輯來�,你只需要組建一個包含了銷售、財務和生產的公司,擔任這家公司的董事長�,Unifi就是你的CxO,你只要告訴它你需要公司怎么運作���,然后你的這位CxO會自動把相應的任務布置給相關部門去完成。驚不驚喜���?所以,個人認為Unifi的這種系統設計方式��,大大降低了使用門檻���,讓我們這些外行人�,也可以配置一些高級的局域網功能。
So What��?你開那么多高級的功能使用頻率有多高�?對!你們說的都對�!
很多功能家用可能用不太上?����。?但是我樂意���,我裝x,裝叉����,裝B?���。��。���。�?�! (老婆大人已在磨刀霍霍 ,我的荷包在流血��! )
回來回來�����,快快進入正題����!
一�、配置VLAN
肯定有朋友會質疑,家庭網絡是否真的有必要建VLAN?個人認為還是有必要的(P嘞~ ),最起碼要劃分2個VLAN�,區分訪客VLAN和家庭VLAN�。訪客VLAN只允許上外網�,不允許訪問局域網;家庭VLAN即允許訪問外網,也允許訪問局域網�。個人比較注重隱私�,把存放照片��、視頻�����、文檔、工作文件等的私人局域網向訪客開放�����,樓主總覺得不是特別合適����。試問你想讓你的個人網絡裸奔嗎��?
綜上,對樓主來說�,VLAN還是有必要的����。那么慣例上來先帖一張我自家的網絡拓撲圖�。
網絡拓撲圖
在我家的局域網中�����,我主要劃分了3個VLAN:
- VLAN10是家庭網絡��,網段是192.168.10.0/24
- VLAN20是監控和智能家居網絡,網段是192.168.20.0/24
- VLAN30是訪客網絡,網段是192.168.30.0/24
要完成Unifi網絡的VLAN設置���,需要四步:
第一步,建立VLAN。在設置里,選擇網絡標簽頁����,新建三個VLAN10���, VLAN20�, VLAN30��,其中VLAN10和VLAN20用途選擇為企業�����,VLAN30用途選擇來賓,分別開啟DHCP。當你保存完畢后����,你會看到路由器已經自動開始同步���。
第一步
第二步���,建立SSID并分配VLAN�。在無線網絡標簽頁����,新建三個無線網絡���,其中訪客網絡對應的SSID里勾選部署來賓策略���。分配VLAN的方式很簡單�����,展開高級選項�����,勾選使用VLAN,并填寫VLAN ID(例如:家庭網絡對應的VLAN ID為10)��。當你建完三個SSID后切換到設備界面�,你會發現所有AP已經自動開始同步。
第二步
第三步�,為AP分配SSID���。按照樓主家網絡的規劃���,5G網絡僅對私人網絡開放�,所有訪客����、網絡攝像機、智能家居設備只接入2G網絡����。因此����,樓主是通過WLAN群組來實現的���。樓主分別給5G和2G各建了一個群組����,在5G群組里,只有家庭網絡的SSID�,在2G群組里����,包含了所有SSID�。然后切換到設備頁面,選中所有AP�����,在配置里分別選擇2G和5G的群組�,保存同步。其實�����,從圖上可以看到���,不用每一個AP的2G和5G網絡其實是可以單獨設置的�����,但是樓主發現使用WLAN群組來集中管理SSID比起一個個AP去設置SSID����,顯然更為高效��。在AP同步完成后,可以在WLAN列表中看到三個SSID�����。
第三步Part1
第三部Part2
通過分別連接三個SSID���,可以看到分配的IP地址段是不同���,說明無線VLAN配置成功�。
聯到家庭網絡
聯到監控網絡
聯到訪客網絡
第四步,配置交換機端口上的VLAN�����。樓主有不少設備都是有線連接到交換機的�����,例如iMac���,NAS�����,監控錄像及等,其中iMac,HTPC和NAS是劃到家庭VLAN10���,而監控錄像機是劃到監控的VLAN20里的,因此需要配置交換機對應端口的VLAN。配置方式很簡單�,只需要在設備頁面�,點選交換機����,選中需要分配VLAN的端口�,點擊編輯已選項。然后在交換機端口配置里選擇對應的VLAN配置就可以了。
第四步Part1
第四步Part2
二���、部署來賓入口
通常來說,訪客連接局域網��,最簡單粗暴的就是給訪客SSID加密。而樓主介紹一種更適合在朋友面前裝X的方式,目前樓主的SSID是開放的�,未設置密碼�,但是連上無線網絡后���,會彈出一個登陸頁面��,在這個頁面上輸入密鑰才能連接互聯網����,這個頁面上的背景圖片和LOGO都是可以自定義的���,你可以選擇你喜歡的圖片�����,可以寫一段歡迎語��,甚至可以設一個小題目來考考你的朋友,答案就是密鑰,打錯了不得用網絡��。目測樓主應該能鑒別出不少塑料兄弟情��!要這樣裝X�,那就必須使用來賓入口的功能���。操作如下:
第一步�����,開啟來賓入口。選擇來賓控制標簽頁��,啟用來賓入口頁����,四種認證方式里,樓主選擇了簡單密碼�,并設定有效時長為8個小時����。過了8個小時���,需要重新輸入密碼�。
第一步
第二步,自定義Portal頁面���。在Portal自定義欄,可以對認證頁面進行自定義����,樓主簡單的選擇了一張上海中心的航拍照片�,如果有心的話����,可以自己制作一個屬于你自己的logo,去替換Unifi的logo�����,你甚至可以啟用服務條款����。
第二步
第三步,設置接入控制���。這其實是重點����,按照邏輯,我們需要訪客客戶端在獲得授權之前可以訪問認證頁面�����,而獲得授權之后不得訪問局域網�����,因此需要設置接入控制��。在授權前可訪問里添加控制器的ip地址�����,在授權后禁止訪問子網,將所有局域網網段全部添加上去��。
第三步
這是我沒換背景圖片時候手機認證的圖�,換了背景圖后更嗲
三、給訪客網絡限速
對于那些來樓主刷手機�����、打網游���、看視頻的客人�����,總讓樓主不是特別爽,所以樓主想出了一個損招�,那就是限制訪客的網速�����。你想刷個微信可以,但是玩吃雞還是表了。樓主是通過設置兩個用戶群組來控制的����,非常方便���。
用戶群組設置
四���、配置UAP頻段引導
經過樓主在官方論壇爬樓���,樓主偶然間發現Unifi在AP的配置下面有一個叫做頻段引導的功能���,可以設置為5G優先模式�����。常識上,2G網絡通常比5G網絡更擁堵�����,而且樓主家監控�����、掃地機器人等都是通過2G網絡連接的�����,如果樓主的手機和本本能夠始終連接到更不擁堵的5G網絡���,豈不妙哉��?但是在AP配置頁面下����,樓主死活沒找到這個配置項��。
沒有頻段引導選項卡
于是乎樓主繼續爬樓����,發現網上有高手提到����,必須在站點設置里啟用高級功能����,才能看到這項設置����。果不其然,啟用高級功能后,頻段引導果然出現了�,果斷選擇5G優先�。
啟用高級功能
開啟5G優先的頻段引導
其它高級功能還包括設置公平通信分時�����、最小RSSI����、負載均衡等�����,但是經過樓主簡單的了解后覺得家用完全不用鳥它們。首先是公平通信分時�����,家里不可能有50多臺手機同時連接一個AP的情況吧�?那就沒必要啟用這個功能,而且此功能會導致CPU運算量增加�����,站點性能降低����。而最小RSSI,我們有了快速漫游���,本身已經可以自動切換了,貌似最小RSSI的必要性也不大�����。負載均衡��,家里也就那么些設備連接無線網絡��,就算負載不均衡又能不均衡到哪里去?
綜上�,是樓主這1周內主要折騰的一些功能�,很多功能都是看上去很美�����,但都是為商業用途開發的,實際上在家里并沒什么卵用的。
基本上樓主家的網絡折騰算是告一段落了���,最近樓主手欠,又收了一塊ITX主板,下一次����,樓主又要折騰組一臺偽Gen8 Windows服務器���,如果這篇大家有興趣的話����,樓主下次也發一個系列分享一下�。
不折騰的人生和咸魚有什么分別?以上
Hello�����,大家好��!我是Liuspy����。歡迎大家關注樓主最新開設的的專欄——【家庭娛樂中心進化論】�。在本專欄中樓主會結合自身多年的經驗�,為大家介紹家庭網絡覆蓋����、NAS、游戲主機�、娛樂中心構建�����、影音室打造等諸多內容��,圍繞家庭娛樂中心的打造進行詳細的指導����。對家庭娛樂設備感興趣的朋友快來關注樓主吧?����。����。�。?/p>
一、前言
關注過樓主的朋友一定都知道�,樓主是個不折不扣宅男����,喜歡折騰家庭網絡��、家庭影院����、智能家居等懶人產品����。因此樓主所需要的網絡設備也是別人的好幾倍,不僅涉及到POE供電的AP、監控,網絡中還要接入各種PC���、NAS、服務器、智能家居等設備。因此樓主的網絡拓撲上還是相對復雜的����。
這套方案樓主在之前已經有過介紹����,使用2年左右穩定性還是不錯的�。
不過2年沒大折騰了�,心又癢癢了。年前看到NAS大佬 @阿文菌 的文章介紹了一款功能高度集成的產品����,簡直太適合樓主的這種需求了�,可以大大簡化樓主的網絡拓撲����。威聯通GDP-1600P應該是剛上市的新品,是all in one 的最優選擇��。這款機器內置NAS系統同時集成了16口POE的二層網管交換機�����,利用虛擬機系統可以內建軟路由�、docker等應用可以輕松實現多WAN口的負載均衡�,樓主電信、移動雙線寬帶也順利融合接入�����!
另外支持4K的視頻輸出可以充當盒子使用�,內置2條PCIE擴展槽可以擴展萬兆網絡,利用威聯通NAS系統可以搭建各種云盤服務����、web服務·······功能應有盡有�。
下面就看看樓主是如何利用威聯通GDP-1600P實現家庭網絡的全功能覆蓋吧��!
二���、為什么選購多功能一體化服務器
家里有不少的網絡設備�,而且像AP����、監控都是通過POE供電實現的,原來的方案使用了1個8口網管型交換機和一個8口POE交換機���;樓主有影音室,玩PT多年���,對高清播放和存儲都有不小的需求,因此NAS也是必需品��;為了順利實現不可描述的上網功能���,軟路由也成必需品����;另外移動、電信都免費贈送寬帶���,家里接入了2條寬帶,需要多WAN口的路由器做負載均衡���。
▼為了實現以上的需求,需要4-5個網絡設備的支持���,使樓主的機柜設備繁多,走線復雜�。下面是樓主改造前機柜的設備!可以看到 一個企業路由+2個8口交換機+2臺服務器的配置����。
▼本次采購后�����,最大的優勢就是可以把『企業路由+2個8口交換機+2臺服務器』全部去掉,集中到一臺機器中���。可以看到整個基礎網絡構架全部都被威聯通GDP-1600P取代了
▼改造后機箱的空間和布局都有了不錯的改觀��。
▼GDP-1600P還有一塊小屏幕�����,可以顯示工作的狀態
下面我們就一起看看樓主如何把雙WAN口軟路由��、NAS及POE交換機諸多功能一次性實現的吧!
三、重中之重,多WAN口軟路由的實現
GDP-1600P的主要功能還是NAS,其內置了威聯通的NAS系統,我們所有的部署實現都是基于NAS系統的��。首先我們要做的第一步就是啟動這臺NAS���,進入操作系統����。
▼內部提供了2個2.5英寸SSD的槽位,啟動NAS系統首先需要把硬盤安裝上。
▼后半部分空間其實是可以容納下3.5寸HDD硬盤的����,需要用延長線連接
▼NAS系統安裝和設置比較簡單�,樓主就不多介紹�,一步一步順利進入系統,并組建儲存池
▼軟路由系統樓主還是最習慣使用LEDE。軟路由的安裝必須靠虛擬機來實現���,因此在應用商店安裝這個APP
1、網絡結構構建
GDP-1600P的特殊性在于多WAN口的實現需要對交換機進行vlan劃分及虛擬交換機的聯通,所以下面的步驟是整個軟路由部署成敗的關鍵
▼GDP-1600P的特殊性就在下圖��,我們可以理解NAS和交換機是兩個獨立的系統��。樓主畫的紅圈是NAS的3個網卡��,1個實體網口在機器前面板,2個虛擬網口直接與交換機相連�����。
通過上圖我們可以知道�����,NAS有3個網卡��,那么正好可以實現雙WAN口和1個LAN口的配置。接下來,我們只需要把NAS的2個虛擬網口與交換機的實體網口相對應就OK了��。 我們通過對交換機劃分vlan就可以實現����。下面步驟請務必一步一步來,必須先劃分vlan再建立虛擬交換機,否則無法成功�����。
▼首先進入交換機的控制APP
▼顯示的內容還是挺豐富的��,POE供電的設備也有都標識����。英文看不懂的朋友可以在系統語言中設置為繁體中文��,就可以顯示繁體中文頁面了�。
▼選擇Configuration下的VLAN�����,就能看到VLAN劃分界面了�����,后面對應的是16個網口和NAS的兩個虛擬口分別是Host-2和Host-3
▼我們希望是1-14口為一個VLAN,15口和Host-2是一個VLAN,16口和Host-3是一個VLAN。因此我們首先對1-14口進行處理。點擊紅圈處��,編輯VLAN1
▼把15�����、16口在vlan1中取消
▼點擊ADD VLAN,創建新的VLAN��。只勾選15網口
▼同樣步驟����,點擊ADD VLAN,創建新的VLAN����。只勾選16網口
這樣我們3個VLAN就劃分完成了����,可能有的朋友會問Host-2和Host-3沒有加入Vlan啊����。別著急,后面我們創建虛擬交換機關聯后就自動加入了���。下面我們開始虛擬交換機創建的步驟
▼首先我們要給路由器的LAN口創建一個虛擬交換機,也就是連接到機器前面板的那個獨立網口上�。按下圖依次選擇
▼選擇高級模式
▼選擇adapter1后直接下一步
▼之后的步驟都是默認就可以
▼可以看到我們的第一個虛擬交換機就建立完成了�,我們LEDE的LAN口連接的就是這個虛擬交換機����,對應前面板的獨立實體網口
▼接下來我們還要建立軟路由的兩個WAN口虛擬交換機,選擇第一個模式的虛擬交換機
▼這的步驟非常的關鍵��,按下圖設置���。還記得上文我們劃定的VLAN吧����,這里要對應上�,VLAN2是給15網口。另外要映射NAS虛擬網卡�����,我這里把adapter2和15網口進行了連接���。
▼同樣步驟設置,把VLAN3給16網口.把adapter3和16網口進行連接
至此�����,我們的整個的網絡配置就都完成了���。建立好的網絡結構應該是如下圖所示的
▼這時候我們在打開交換機控制APP�����,VLAN的劃分應該已經變更如下了����?�?梢钥吹?5網口和Host-2為Vlan2�����,Host-3和16網口為VLAN3。
▼最后一點我們需要把LAN口和VLAN1(1-14網口)物理連接����,樓主直接自己做了個簡單的跳線
2、虛擬機軟路由的安裝
網絡構架建立完成后,我們就可以使用威聯通自帶虛擬機服務安裝軟路由系統��。安裝過程相對復雜一些����,下文樓主會詳細講解。在安裝過程過我們需要提前準備以下文件:
(1)win pe的ios鏡像文件(推薦使用微PE的)
(2)Ult讓ISO軟碟通(用于編輯PE的ios文件)
(3)LEDE的固件(下載img的寫盤專用版本)
(4)physdiskwrite(img寫盤工具)
(5)一點點耐心
LEDE官方的固件都是img格式的,威聯通的虛擬機不支持直接讀取�����。因此我們就需要在PE環境下���,直接把LEDE的固件寫入到虛擬機的虛擬硬盤中�。
▼首先我們訪問KoolShare論壇,找到固件下載中心,下載LEDE X64的最新鏡像文件。這里需要注意的是我們要選擇“虛擬機”專用版本的
▼選擇Uefi啟動格式及img后綴的版本����,這樣我們的LEDE固件就準備好了
接下來我們要制作PE的引導啟動光盤ISO鏡像����,同時要在ISO鏡像中加入LEDE固件和physdiskwrite(img寫盤工具)
▼PE啟動盤推薦使用“微PE”進行制作�,百度搜索用“微PE”找到官網免費下載,這樣我們就能得到一個ISO格式的PE啟動鏡像了
▼接下來利用UltISO軟碟通(官網下載免費版本的)打開剛才得到的PE ISO文件,把LEDE固件和physdiskwrite拖入到鏡像根目錄中����,重新封包���?����?梢钥吹轿乙呀洶袻EDE.img和physdiskwrite都放到ISO文件中了
▼最后上傳重新封包好的ISO文件到威聯通中,至此準備工作就做好啦!
▼啟動已經安裝好的VirtualizationStation3���,新建一個虛擬機��。網絡首先選擇我們上文設定為LAN的虛擬交換機
▼簡單的虛擬機就建立完成了���,不過還需要詳細的設定���,點擊下圖的設置按鈕
▼修改CPU類型��,點擊套用
▼增加一個網絡,綁定WAN口的虛擬交換機���,由于我們還是雙線接入,這次我們綁定之前設定的兩個WAN虛擬交換機
▼完成后一共接入3個網絡�,1個LAN口�,2個WAN口
▼更改硬盤類型為SATA
▼配置軟路由隨威聯通啟動而啟動�����,增加延遲啟動時間
▼以上配資完成后����,就可以點擊啟動虛擬機了,首先進入的是PE界面,進行LEDE寫盤操作
▼久違的win pe 界面哦��,我們先運行下桌面的分區工具DiskGeninus��,看一下10G的虛擬硬盤掛載成功沒有�?
▼可以看到成功掛載了10G硬盤
▼在確認下C盤��,樓主打包進來的LEDE固件和physdiskwrite也都沒有問題��,下面就可以進行寫盤操作了
▼打開“命令提示符”界面,輸入:“c:” 調用C盤路徑
▼輸入命令:“physdiskwrite -u lede.img” (ps:lede.img就是之前導入的固件,樓主重命名為lede.img 方便輸入)
▼輸入命令:“0” 回車����,接著輸入命令“y”確認寫盤
▼寫盤中���,之后就完成了,哈哈軟路由的安裝也就成功完成了��。卸載掉pe啟動鏡像�����,重啟虛擬機就OK啦
▼完工�����!成功啟動了LEDE,之后就是登錄軟路由網頁�,LEDE的各種設置了��,這里就不多表述了
▼啟動LEDE,訪問網關就可以進入LEDE的管理界面了��,可以看到樓主的雙線寬帶接入
▼雙線寬帶設置在網絡-接口內添加即可
▼另外雙線寬帶我們需要設定負載均衡�����,我們可以簡單的在酷軟中心下載策略路由插件進行設置
▼設置分流模式
▼設置運營商線路分流
另外也可以進行自定義的分流����,比如給固定IP使用移動的寬帶等���。
▼樓主雙線200M寬帶疊加的速度
四���、尾聲
以上就是本篇的全部內容啦���,由于這款機器的功能確實非常強大�,可以實現非常多的功能,無法在一篇文章中全都涉及到���。因此����,樓主最近會頻繁更新各個功能的設置的教程。在接下來樓主還會介紹,如何利用威聯通GDP-1600P整合私人云盤����、簡單的家庭儲存設置�、流媒體服務器的設置�����、利用NAS實現遠程辦公���、盒子等諸多內容����。感興趣的朋友快來關注我吧?�。��。�?��!
下篇預告:如何利用QNAP N合1服務器搭建全屋Ubnt AP覆蓋的AC控制器�。
如果你喜歡本文,隨手點個贊喲?��。。���。∧闹С质菢侵鞒掷m創作的動力?��。�����?��!
