[电脑] 将UniFi企业设备带进家庭数据中心
CHH ID:marsxiang1230
作者前言:
攥写本文的最主要目的是参加Ubiquiti中国在今日举办的Rethinking IT U奖征文活动。其另一个目的是为了让我设计的家庭数据中心项目画上一个圆满的句号。本人大学才疏学浅并不是IT/计算机专业出身(大学主修的是供应链,辅修的数据分析),对于一切IT知识以及计算机理论均是靠后期自学、实践以及工作中习得。故在本文中所阐述到的任何专业知识点可能存在不严谨、不专业的情况,望大家谅解,也非常欢迎专业人士来探讨并指出一些技术上的错误。
本文会围绕着作者如何将UniFi企业设备带进家庭数据中心展开,会介绍相关背景,缘由。并且本文的核心是想与大家分享UniFi企业设备作为家庭数据中心最核心的一角是如何设计、实施的,其中包括拓扑设计,网段规划,硬件设备的安装实施以及部署后的真实体验。分别会通过截图,真实照片以及真实数据来与大家分享。
注:
本人也是在工作生活之余参加这次活动以及个人分享,其中有存在描述模糊、内容不理解的情况欢迎大家在评论区指出,我也会根据大家的评论来进一步解释以及丰富文章的内容。
正文:
中年男人的一些爱好:钓鱼,摄影,路由器,充电头(网上看到,不知道是什么梗)等等。。。。。。作为步入中年行列的我,也沾上了不少中年人的爱好。在大学毕业后接触IT,软件行业以来,拥有自己的家庭数据中心一直都是我挂在嘴上的一个梦想。可由于居住环境(和爸妈住)、资金等问题一直都没有实现。在之前的一篇帖子中([电脑] 优倍快UBNT全家桶真实用户体验测评 )我也提到了正好趁这次婚房装修的机会来完成我的梦想。
为什么需要家庭数据中心?或者换个方式来问,什么是家庭数据中心?哪些家庭需要?
家庭数据中心:顾名思义,是适合家庭范围使用的数据中心方案。我自己个人对此定义是:当今的家庭数据中心包括但不限于:NAS(算是比较核心的部分)、轻量级服务器、万兆网络环境,智能家电网关,监控这几个大类。
对于除网络设备以外的哪几类设备不是本文的重点,所以就不多做介绍了,如果大家也想了解我可以后期加一个对于NAS,家庭媒体服务器,智能家电网关做一些分享。那接下来,我们进入正题:我的家庭数据中心网络设备部分。
对于普通家庭来说,网络设备已经不是一个新鲜的东西了。每家每户都有宽带光纤入户,最近流行的FTTR,组网,AC+AP,Mesh这些科技组件已经在很多家庭中出现了。越来越多的用户也了解到了:哦!路由器原来不止华硕,TP-Link这些牌子啊!大部分家庭用户对于锐捷,Linksys,小米,华为这些品牌已经并不陌生了。但是很少有人会出来一起讨论Ubiquiti公司旗下的UniFi网络设备,主要原因也就是像Cisco,Aruba,Paloalto, FortiNet这些企业级网络设备几乎不会出现在家庭中,普通家庭用户也不太会研究到这些品牌。UniFi网络设备的定位也是如此,主要应用于小型、中型企业的网络解决方案以及一些工作室来使用此设备,这就是为什么我选择UniFi网络设备作为我家庭数据中心网络部分的第一个原因。那第二个原因是因为设备的颜值,当我打开美区官网以及Youtube看到相关设备图以及测评视频时,我彻底被这个设备的颜值所折服了。有人会问,网络设备不就是丢在弱电箱或者机柜里眼不见为净的吗?为什么还需要看他的颜值?这个问题太好回答了,因为我机柜是完全融入了我电竞房元素之一,所以颜值是必须要有的。
Ubiquiti,中文名优倍快,其UniFi系列的设备打造了一个犹如苹果生态一般的UniFi生态。其设备覆盖类型非常丰富:路由器,安全网关,交换机,AP,监控,门禁,门铃,VoIP电话等等,并且所有设备接入UniFi OS后就能形成一个生态系统,用户体验非常的丝滑。这个是这个品牌系列的亮点之一。后面我们可以从开箱照片就可以看出,UniFi的网络设备怎么有点“果里果气”的?是的,没错。Ubiquiti的创始人就是苹果出来的,并且拥有孟菲斯灰熊队。所以,他能打造像苹果一样的网络生态就并不奇怪了。
背景就介绍到这里了,废话实在太多了。人一旦想详细的说明一件事情就会报流水账!
对于UniFi产品的选择,我可谓是经历了无数的坎坷,用Money踩了好多好多的坑,最终我选择的UniFi设备在如下列表中列出,列表中列出了我目前使用的方案,以及我最初几个方案版本使用过的设备:
目前方案:
老方案使用过:
UniFi Network:
因为我对于家庭数据中心的要求就是必须满足10G万兆(25G,40G甚至100G这已经超出家庭数据中心的范围了,已经是大型企业的标准了),所以我最后一步到位,使用了USW-Enterprise-XG-24 10G RJ45交换机。由于我有PoE AP,PoE监控,以及PoE++受电的交换机所以我加了一台USW-Pro-24-PoE交换机来满足PoE+,以及PoE++的需要。UDM SE网关上的PoE口我不打算使用,主要原因是SE已经够忙的了,就不要让它做交换功能了。有了PoE++交换机,我后期的可玩性就更高了,比如G4 PTZ监控也可以玩起来了,UniFi Connect设备也可以玩一玩了。
如下截图为UniFi OS中自家设备列表截图:
UniFi OS我实际使用下来最大的亮点有两个:
1. 使用UI交互的方式通过最简单的鼠标点击就可以完成端口配置,VLAN配置等等,代替了传统企业级命令行配置的方式。这个优点对于网络知识,网关交换机不熟悉的用户来说太友好了,但同时也会有缺点,一些习惯通过命令行来进行批量配置端口、网络的专业人士就会觉得UI上面鼠标点击太麻烦。但这也是我选择UniFi设备的一个原因,配置简单。
2. UniFi OS页面做的相当漂亮,自动生成的拓扑也是对家中设备连接情况一目了然。
这张是用竖屏截图的,比较模糊。大家主要看下一个网络拓扑的效果就好。
如下是我新房开始装修的期间,自己画的一个简易网络拓扑,但实际与这个拓扑还是有差距的。由于时间的原因,我无法完成我目前方案的拓扑,所以就先分享最初设计的拓扑方案吧:
下面,先来介绍一下网络划分VLAN的目的还有优缺点吧:
目前划分的VLAN如下:
MAIN: 10.0.0.0/24 // 主网络,服务器,NAS,unifi设备,自己的main rig等
VLAN2-MediaDev: VLANID = 2, 10.0.1.0/24 // Wi-Fi设备,游戏主机以及Apple TV
VLAN3-Dev-UAP: VLANID = 3, 10.0.2.0/28 // Unifi AP设备入口IP。
VLAN4-Dev-UVC: VLANID = 4, 10.0.3.0/28 // Unifi UVC监控设备入口IP
后期会加的VLAN如下:
VLAN5-Guest: VLANID = 5, 10.1.0.0/28 //访客网络,只覆盖到客厅。做了限速(上下行各50MBPS)以及Radius认证并且VLAN完全隔离无法访问MAIN以及其他VLAN。
VLAN6-iOTDev: VLANID = 6, 10.2.0.0/24 //智能家电专用网络
后期会更改的VLAN如下:
VLAN4-Dev-UVC: VLANID = 4, 10.0.3.0/28 // 配置成VLAN Only禁止连入Internet来提升安全性。此方案需要进行进一步测试。
首先来说说UniFi Network中VLAN的逻辑吧,它不像其他的企业级设备创建VLAN后,只有通过配置相同Tag的网络才能互相通信。反之,UniFi Network划分出来的不同VLAN默认情况下是可以互相访问的,用户可以自己设置Ethernet Profile来自己使用Tagging的方式来隔离VLAN。对于家庭网络环境来说,本身就没有企业这么的复杂,也没有这么多陌生设备的接入,所以我觉得默认VLAN之间互通是没有问题的。其实最重要的一个优点在于,我在不同VLAN上折腾,就算折腾坏了也不会影响连接在其他VLAN上的设备。这个就是我所需要的。
下面我们从UniFi Network Application中看下VLAN是如何配置的:
我们来着重看下我的VLAN2-MediaDev吧:
之所以会出现这个VLAN,主要的原因是我有非常非常大的需求要使用外网,包括Google, Youtube(作为程序员的我没有Google是吃不了这碗饭),国外流媒体以及站点加速,游戏加速。所以这条VLAN的设置会和其他几个不太一样。其他的VLAN很中规中矩分享起来不得劲。
这条VLAN连接的设备是所有的Wi-Fi设备加上我所有的游戏主机以及Apple TV。其网关并不是UniFi Network中的网关,而是我的旁路由 10.0.1.2。我的旁路目前是使用的是国伟科技的R86S P1里面安装了OpenWrt,外网使用了OpenClash。
可以从截图中看到,VLAN2的网关地址并不是10.0.1.1,而是10.0.1.2。我们再来看看OpenWrt中的接口配置:
可以看到OpenWrt我只配置了LAN口,而且网关指向了10.0.1.1,LAN口本身的地址即为10.0.1.2。这样配置的思路就非常清晰了,在10.0.1.0/24这个网段中的设备,其简易路由会是如下这样的逻辑:
10.0.1.xx (客户端接入设备) --> 10.0.1.2 --> 10.0.1.1 --> Internet
相当于VLAN2的网关指向10.0.2.1,而10.0.2.1设备的网关指向10.0.1.1,很明显这样做的目的就是为了让在10.0.1.0/24下的设备流量首先经过我的旁路由进行网络包的处理,然后再转发到UniFi Network出去到公网。这样的话,我所有的流量都可以通过OpenClash进行分流。
UniFi Network中的Wi-Fi设置个人觉得也是非常好用并且设置非常简单的。可以设置AP Group并将其分配到指定的Wi-Fi SSID中,这样管理就非常方便,以后扩展就只需要把设备加到对应的AP Group中即可。
对于Guest网络,在UniFi Network 7.4.156 版本中做了一个很大的改动,加入了Landing Page的快速设置,目前我也正在玩耍研究这部分功能。这里实现的场景就是,当有访客加入网络时,会自动跳出设置好的Landing Page进行用户验证,验证通过后便可连接上网
对于远程访问进行设备的管理,UniFi OS有他们自己的远程管理Portal。经过抓包研究,远程管理的站点是远在美国地区的AWS上,所以在国内不通过加速方式直接裸连的话体验确实不是特别的理想,经常会出现访问慢,访问超时的情况。这个我已经与Ubiquiti的技术反馈了这个问题,相信在后续会得到优化。
另外一点,出于安全的考虑,我并没有将自己内网的站点,服务的端口转发出来。反之,我通过设置Open虚拟专网服务来从远程访问到家中的内网。在几个版本以前,UniFi Network仅支持L2TP的虚拟专网,在后续的版本中逐一加入了WireGuard以及Open虚拟专网的支持,这给玩家带来的更多的可玩性。大家肯定都清楚,Surge搭配WireGuard是接近完美的组合!目前,我是通过Open虚拟专网的方式远程连入家中内网,待我研究好Surge中Wireguard的策略配置后就可以更加完美了。
在UniFi Network中还有很多很有意思的功能我还没有完全挖掘出来,比如威胁管理,AD Block。待我研究透彻后再向大家分享。
UniFi Protect:
接下来,我们来看看UniFi Protect,也就是他们家的监控设备吧。
我选择Ubiquiti的监控设备的原因有俩:
1. 体验完整的全家桶生态
2. 监控他也是有颜值的,他们家的监控设备颜值也是一绝。
因为这俩原因,我就放弃了海康威视的方案了。
对于监控录像机的选择,大部分会直接使用UDM Pro或者UDM SE即可,因为考虑到后期设备的升级以及设备数量的添加,担心UDM SE的磁盘读写性能以及SATA SSD容量的瓶颈,所以我选择了购入UNVR设备。在采购期间,由于代理商UNVR缺货,但是可以折扣给我一台UNVR Pro所以才会买入这台设备。实际使用中,UNVR也就够了。
目前UNVR Pro中使用了我之前NAS淘汰下来的4块6T酷狼,并且组了Raid5
除了刚才介绍的UniFi Network的UI界面外,UniFi Protect的UI界面也是一如既往的顺畅和美观,如下为网页版的UniFi Protect监控总览页面
另外,监控可以自动感知行人,车辆以及活动范围并自动生成活动范围视图,自动检测还是非常灵敏准确的
另外,我觉得目前手上的设备中AI360挺有意思的,因为它拥有一颗360°鱼眼镜头,可以以球形状态查看360°监控,也可以平铺后通过方向键来查看每一个方向的细节。相关操作可以通过如下短视频来查看效果,视频中前半部分是于晚上录制的夜视效果,后半部分为白天的效果
实际数据部分:
UniFi Network以及UniFi Protect我就先介绍到这里了。接下来我就分享一些实际用户数据吧。
当前我主力Windows台式机、群晖NAS以及小型服务器均协商为10GbE的网络了,通过iperf3进行Windows主力机与NAS之间的内网测速如下:
墙内线为泛达AW26线规的UTP CAT6的线,短距离也能稳定在9.7G的速率上还是比较理想的。
最近上海也在默默推出399一个月的2000下/300上的家庭网络套餐,我也默默地升级了一下家里的宽带并且让之前购入的华为P812E光猫发挥出了他的最大性能
此测速为UDM SE上拨号,通过光转电模块与光猫2.5G网口连接下的实际测速,上传能稳定在350-360的速率还是很香的。
我们接下来看看在无线网的环境下,通过阉割版Wi-Fi6的iPhone 13的实际测速,在我上一篇帖子中也分享过
连接到U6-Enterprise外加隔了一堵墙的情况下的测速
连接到U6-Pro外加直接测速海外节点
整体性能和速率上还是很理想的。下次一定在满血安卓机上测一下他的峰值!
收尾!分享一些开箱以及设备照吧:
和大家分享了这么多“干货”一定眼睛都疲惫了吧,当然设备开箱以及完工后的机柜图得放在最后来压轴。最后,我们一起来欣赏一下我的家庭数据中心最终版本的相关照片吧!
最后,我们来点题一下:何为Rethinking IT?在我看来IT并不是只为企业而开设,在家中同样也需要IT。所以我们可以重新定位IT以及企业级设备,企业级设备未必一定是企业需要用,我们家庭同样也可以!
和大家分享了这么多,也非常欢迎大家一起来讨论!大家辛苦啦!撒花!!
微信扫码关注该文公众号作者