Herbert He's Blog

Appearance

基于 AC+AP 打造安全的家庭 WiFi 网络

🕒 Published at:

写在前面的

在家使用 WiFi,并且在此基础上搭建智能家居,已变得越来越潮流化。但打造一个稳定的智能家居环境,并不是一个十分容易的事情,靠谱的网络环境决定了整套系统是否可以稳定运行。

本篇着重讲解基于 锐捷 ac+ap 组合的家庭网络设计思路,并且在此基础上介绍家庭网络的网络安全策略。本篇使用的 锐捷 ac+ap 方案只是刚好采用了锐捷的设备,非带货广告。还有其他的解决方案,比如:基于 TP-LINK、华为、小米的 Mesh 组网方案。

本篇采用的设备为:

  • AC:锐捷 EG110G-P
  • AP:锐捷 EAP162(E)

如果网络布线提前考虑到了天花板吸顶 AP,可以选择锐捷的 EAP262(E)。视家庭所需进行更高性能、更贵设备的选择,本方案可以支持最大 1000Mbps 的带宽接入。

为什么选择 AC+AP 的方案

在家装进行布线的时候,就需要考虑整个网络情况的规划。针对于不同小区的建筑材料实际情况,WiFi 的穿墙能力是很不一定的,其信号强度也严重影响到了传输速率(俗称网速)。

一般家庭网络的拓扑,即 运营商光纤 -> 运营商光猫 -> 家庭各路由还可能直接把路由器直接塞到弱电箱内,甚至直接用的运营商光猫的 WiFi 信号,这对于充分发挥宽带的性能是非常不利的。 因此,我更倾向于在使用 WiFi 的情况下,也要跑满宽带的极限速率。

对于智能家居来说,全家庭网络单一 SSID(可以理解为:WiFi的名称) 对于网络体验上会非常的好,尤其是将 米家、华为、美的等家庭智能设备 接入到 WiFi,这一点更是格外重要。因为网络一旦发生改动,比如:更换路由器、路由器信号差等问题。智能家居设备很可能要重新配置所有的网络侧信息,然后一个个重置后加入控制系统,又麻烦、又费精力。

上面的 单一SSID 的问题,在常规上我们可以使用多个路由器的 无线桥接 进行实现,但是始终无法解决 WiFi 网速达不到实际的宽带素质。

  • Mesh:家庭最简单的组网方案,比如:各大厂家的 Mesh 路由器,华为 Q6 子母套装。
  • AC+AP:更加通用、高阶的组网方案,属于企业级解决方案。

如果不想折腾,也没有什么特别的需求。Mesh 可以视为简化版的 AC+AP,这两种方式都可以进行 统一的SSID、WiFi 无感漫游,可以选择 Mesh 组网进行家庭网络的部署;但是,如果对网络稳定性、扩展性、带机量、信号覆盖等有更高的需求,最终的选择还是 AC+AP 的方案。

针对家庭网络的选择问题,前面铺垫了很多,比较不同方案的区别还是很大的。

Mesh vs AC+AP:

优点:

  • 容易部署
  • 价格更低

缺点:

  • 带机量少
  • 价格并没有太低
  • 不可以隐藏式部署
  • 稳定性不如 AC+AP
  • 无法解决进阶的玩法
  • 对于面积过大的场景受限

家庭网络部署

选择 ac+ap 方案的绝大多数消费者,可能都会考虑到 隐藏式部署 的问题,因为 ac 可以直接塞到信息箱中(ac 不发射 WiFi 信号),ap 可以直接塞到预留的86面板中,只需要一根网线进行 PoE 供电,就可以同时解决数据传输和供电需求的问题。对于家装来说,不仅布线简单,而且十分美观。

相比于 Mesh 组网,其实 AC+AP 并没有复杂很多,下面是自己使用的网络部署流程。

  • 硬件连接:

将所有的 ap 面板安装到对应的位置,需要提前将预埋网线的水晶头做好,直接插上就可以了。

将 ac 的 WAN0 口网线接上光猫的 千兆/2.5G LAN 口。如果家庭有多条宽带入户,可以将 WAN1(LAN8)口网线接上另一个光猫的对应接口,做双线入网(更多的宽带接入,不适用 锐捷 EG110G-P 这个 ac,需要更换 ac 设备)。

将 ac 的 LAN 口从 0 开始,依次插上 ap 的预埋线。通电之后,指示灯亮起,就解决了所有的 ac+ap 硬件连接问题

  • 网络部署:

因为是企业级的解决方案,所以也可以让网络工程师进行部署操作。

  1. 下载 锐捷睿易 APP,并注册账号
  2. 快速添加,创建新项目
  3. 扫码、输入 SN 添加

然后,可以进行网络部署。

工作台 -> 基础 -> Wi-Fi设置 -> 添加新Wi-Fi,输入 Wi-Fi名称、Wi-Fi密码(不建议使用弱口令,建议混合输入大小写字母、数字和特殊符号组合,不然会有很严重的网络安全隐患);

频段选择 2.4G 和 5G,锐捷会自动做多频融合,智能家居设备绝大多数目前只支持 2.4G 频段的 WiFi 信号;安全基本上选择 加密,加密类型 WPA/WPA2-PSK 就可以了,目的是兼容绝大多数的设备,现阶段不推荐使用 WPA3-SAE 加密类型。

2.4G 和 5G 指的是 WiFi 信号频段,不是运营商所说的 5G 网络

点击 高级设置(不需要太理解,一步步操作就可以了):

无线模式默认去选择:802.11ax(Wi-Fi6),如果家庭存在 设备连不上 再考虑兼容模式。

VLAN ID 默认为 1,表示与 AP 同 VLAN。下面在 安全性策略 的部分,会设置 VLAN ID 不填 1 的情况,默认 WiFi 保持为 1 即可。

打开 5G 优先。

至此,基本的家庭网络已经设置完毕。

网络调优

为优化网络连接,进行下面的操作:

1、进入高级 -> 无线 -> 无线网优 进行 AP 的信号调优,减少 WiFi 信号的相互干扰。

2、进入 高级 -> 无线 -> AI 漫游 进行 AP 漫游优化,打开 KV漫游AI漫游 ,提高 AP 切换体验。

3、进入 高级 -> 无线 -> 5G优先 ,打开。

4、进入 高级 -> 网关&交换 -> 极速模式,打开(如果没有流量审计,联网控制等特殊需求的话)。

5、对于多宽带入户的用户,可以选择 高级 -> 网关&交换 下面的 WAN配置出口选路 进行个性化配置。

安全性策略

家庭网络同时存在客人来访的问题,针对于家庭网络的安全性,不建议直接分享 WiFi 密码,不排除可能造成整个网络的安全隐患;对于蹭网的处理,同样是如此。

搭建 访客网络 是最好的解决方案。

跟上面添加无线网的方式略有不同,这里会涉及到上面 VLAN ID 的问题,本篇只介绍添加 无线业务网有线业务网 的情况同理。

  • 选择最上面 tab 栏 网络
  • 任意点击一个 无线网 方块
  • 进入 业务地图 之后,点击 添加业务网,选择 无线业务网
  • 无线接入设置,跟上面步骤是一样的,设置基本参数,比如名称为 来访WiFi
  • 业务参数,填写 业务备注(自己知道干啥的就行)VLAN ID(VLAN ID 影响分配的 IP 段,不要填写 0 或者 1,以防与运营商宽带冲突)

填写 VLAN ID 为 60,则 默认网关/掩码 为 192.168.60.1/24,不需要更改本步骤的高级配置部分。不要填写 0 或 1,是因为很可能会导致 DHCP 的 ip 段冲突;同理,如果家庭在宽带和 ac 之间还有路由设备的话,VLAN ID 也不能填该 ip 段。

其实,锐捷的 诺克云 MACC 的 eWeb 可以更容易配置 访客网络,但是 锐捷睿易APP 只是给了一个更通用的方案,不涉及太多高级的操作。

在完成上面的 访客网络 创建之后,需要进行 ACL 业务访问控制,本配置用于 VLAN 的安全隔离,主要应用场景为:不允许访客控制家庭智能设备、不允许外来可能的网络攻击、不允许网络嗅探等。

工作台 -> 高级 -> 整网 -> 业务访问控制,将上面设置的 访客网络业务网 拖到 隔离区,使连接该网络的设备相互隔离,不允许接入家庭网络和彼此隔离。

至此,简单的 安全性策略 也完成了。

付费咨询

如果你有需求,实在是搞不定网络配置,可以进行付费技术咨询。对于组网方案的选择、设备选择等,不限于家庭 WiFi 方案、企业级 WiFi 部署,也可以进行付费技术咨询。

付费咨询:微信公众号:惒泊小舍 -> 选择菜单 “付费咨询”,选择 知乎 可以进行问答咨询。

网络方案和规划,请直接 向公众号发消息 留下联系方式;或者,发送电子邮件 到 hi@ibert.me