|
楼主自认是一个网络小白,不会写代码,也不会敲命令,所有操作均在Web页面上完成。这篇分享也是纯粹出于好玩才写的,如有错误,请大神不吝赐教!!! 楼主承认上两篇似乎有点水,因此在这一篇里楼主准备和各位值友聊聊一些干货——自家正在用的Unifi网络设置。为了避免被认为是水贴,楼主就直接跳过控制器软件安装(PC端软AC必备)、控制器、路由器、交换机采用等基础环节(这些貌似也没啥可讨论的,按照说明书一步步操作就可以)。 可能友部分值友没看过楼主之前的文章,所以先交代一下楼主家的网络设备硬件: 路由器:Unifi Security Gateway Pro 4 (以下简称USG) 交换机:Unifi Switch POE24 (以下简称USW) AP:Unifi AP In-Wall (以下简称UAP) 控制器:Unifi Cloud Key (以下简称UCK)
楼主主要分享下列四个方面,应该能够涵盖大多数家用网络的需求: 配置无线VLAN (包含建立VLAN,给SSID分配VLAN,给AP分配SSID,配置交换机端口PVID) 部署来宾控制 给访客网络限速 配置UAP频段引导
在具体分享之前,楼主还想聊聊这几天下来使用Unifi的些许体会。通常我们配置AP+AC的网络,路由器、交换机和AC/AP都是独立的个体,我们都是分别对路由器、交换机和AC进行单独配置。但是Unifi完全不同,它将路由器、交换机、AC/AP视作一个整体(即站点)来进行配置,然后Unifi会自动将站点配置分发到站点内的各个设备,你完全不用管对哪个设备做哪些配置。 这就好比你开了一家公司,下面有三个部门,一个是销售、一个是财务、一个是生产。如果按照传统的管理逻辑来,你是这家公司的CxO,必须要懂得销售,告诉每一个销售他们该卖哪些产品,去跑哪些客户;还要告诉每一个财务如何做账,报表怎么编制,怎么报税;同时还要告诉生产,去找哪个供应商,这个供应商能够提供什么部件,你该怎么设置产线,如何装配。这样做的好处是,只要你的技术过硬,你可以让这个公司完全按照你的要求来干活。但问题是,我是网络小白,所以这种方式真不适合我。而如果按照Unifi的管理逻辑来,你只需要组建一个包含了销售、财务和生产的公司,担任这家公司的董事长,Unifi就是你的CxO,你只要告诉它你需要公司怎么运作,然后你的这位CxO会自动把相应的任务布置给相关部门去完成。惊不惊喜?所以,个人认为Unifi的这种系统设计方式,大大降低了使用门槛,让我们这些外行人,也可以配置一些高级的局域网功能。 So What?你开那么多高级的功能使用频率有多高?对!你们说的都对! 很多功能家用可能用不太上啊! 但是我乐意,我装x,装叉,装B!!!!! (老婆大人已在磨刀霍霍 ,我的荷包在流血! ) 回来回来,快快进入正题!
一、配置VLAN肯定有朋友会质疑,家庭网络是否真的有必要建VLAN?个人认为还是有必要的(P嘞~ ),最起码要划分2个VLAN,区分访客VLAN和家庭VLAN。访客VLAN只允许上外网,不允许访问局域网;家庭VLAN即允许访问外网,也允许访问局域网。个人比较注重隐私,把存放照片、视频、文档、工作文件等的私人局域网向访客开放,楼主总觉得不是特别合适。试问你想让你的个人网络裸奔吗? 综上,对楼主来说,VLAN还是有必要的。那么惯例上来先帖一张我自家的网络拓扑图。  网络拓扑图
在我家的局域网中,我主要划分了3个VLAN: VLAN10是家庭网络,网段是192.168.10.0/24 VLAN20是监控和智能家居网络,网段是192.168.20.0/24 VLAN30是访客网络,网段是192.168.30.0/24
要完成Unifi网络的VLAN设置,需要四步: 第一步,建立VLAN。在设置里,选择网络标签页,新建三个VLAN10, VLAN20, VLAN30,其中VLAN10和VLAN20用途选择为企业,VLAN30用途选择来宾,分别开启DHCP。当你保存完毕后,你会看到路由器已经自动开始同步。  第一步
第二步,建立SSID并分配VLAN。在无线网络标签页,新建三个无线网络,其中访客网络对应的SSID里勾选部署来宾策略。分配VLAN的方式很简单,展开高级选项,勾选使用VLAN,并填写VLAN ID(例如:家庭网络对应的VLAN ID为10)。当你建完三个SSID后切换到设备界面,你会发现所有AP已经自动开始同步。 第二步 第三步,为AP分配SSID。按照楼主家网络的规划,5G网络仅对私人网络开放,所有访客、网络摄像机、智能家居设备只接入2G网络。因此,楼主是通过WLAN群组来实现的。楼主分别给5G和2G各建了一个群组,在5G群组里,只有家庭网络的SSID,在2G群组里,包含了所有SSID。然后切换到设备页面,选中所有AP,在配置里分别选择2G和5G的群组,保存同步。其实,从图上可以看到,不用每一个AP的2G和5G网络其实是可以单独设置的,但是楼主发现使用WLAN群组来集中管理SSID比起一个个AP去设置SSID,显然更为高效。在AP同步完成后,可以在WLAN列表中看到三个SSID。 第三步Part1 第三部Part2 通过分别连接三个SSID,可以看到分配的IP地址段是不同,说明无线VLAN配置成功。 联到家庭网络 联到监控网络 联到访客网络 第四步,配置交换机端口上的VLAN。楼主有不少设备都是有线连接到交换机的,例如iMac,NAS,监控录像及等,其中iMac,HTPC和NAS是划到家庭VLAN10,而监控录像机是划到监控的VLAN20里的,因此需要配置交换机对应端口的VLAN。配置方式很简单,只需要在设备页面,点选交换机,选中需要分配VLAN的端口,点击编辑已选项。然后在交换机端口配置里选择对应的VLAN配置就可以了。 第四步Part1 第四步Part2 二、部署来宾入口通常来说,访客连接局域网,最简单粗暴的就是给访客SSID加密。而楼主介绍一种更适合在朋友面前装X的方式,目前楼主的SSID是开放的,未设置密码,但是连上无线网络后,会弹出一个登陆页面,在这个页面上输入密钥才能连接互联网,这个页面上的背景图片和LOGO都是可以自定义的,你可以选择你喜欢的图片,可以写一段欢迎语,甚至可以设一个小题目来考考你的朋友,答案就是密钥,打错了不得用网络。目测楼主应该能鉴别出不少塑料兄弟情!要这样装X,那就必须使用来宾入口的功能。操作如下: 第一步,开启来宾入口。选择来宾控制标签页,启用来宾入口页,四种认证方式里,楼主选择了简单密码,并设定有效时长为8个小时。过了8个小时,需要重新输入密码。 第一步 第二步,自定义Portal页面。在Portal自定义栏,可以对认证页面进行自定义,楼主简单的选择了一张上海中心的航拍照片,如果有心的话,可以自己制作一个属于你自己的logo,去替换Unifi的logo,你甚至可以启用服务条款。 第二步 第三步,设置接入控制。这其实是重点,按照逻辑,我们需要访客客户端在获得授权之前可以访问认证页面,而获得授权之后不得访问局域网,因此需要设置接入控制。在授权前可访问里添加控制器的ip地址,在授权后禁止访问子网,将所有局域网网段全部添加上去。 第三步 这是我没换背景图片时候手机认证的图,换了背景图后更嗲 三、给访客网络限速对于那些来楼主刷手机、打网游、看视频的客人,总让楼主不是特别爽,所以楼主想出了一个损招,那就是限制访客的网速。你想刷个微信可以,但是玩吃鸡还是表了。楼主是通过设置两个用户群组来控制的,非常方便。 用户群组设置 四、配置UAP频段引导经过楼主在官方论坛爬楼,楼主偶然间发现Unifi在AP的配置下面有一个叫做频段引导的功能,可以设置为5G优先模式。常识上,2G网络通常比5G网络更拥堵,而且楼主家监控、扫地机器人等都是通过2G网络连接的,如果楼主的手机和本本能够始终连接到更不拥堵的5G网络,岂不妙哉?但是在AP配置页面下,楼主死活没找到这个配置项。 没有频段引导选项卡 于是乎楼主继续爬楼,发现网上有高手提到,必须在站点设置里启用高级功能,才能看到这项设置。果不其然,启用高级功能后,频段引导果然出现了,果断选择5G优先。 启用高级功能 开启5G优先的频段引导 其它高级功能还包括设置公平通信分时、最小RSSI、负载均衡等,但是经过楼主简单的了解后觉得家用完全不用鸟它们。首先是公平通信分时,家里不可能有50多台手机同时连接一个AP的情况吧?那就没必要启用这个功能,而且此功能会导致CPU运算量增加,站点性能降低。而最小RSSI,我们有了快速漫游,本身已经可以自动切换了,貌似最小RSSI的必要性也不大。负载均衡,家里也就那么些设备连接无线网络,就算负载不均衡又能不均衡到哪里去? 综上,是楼主这1周内主要折腾的一些功能,很多功能都是看上去很美,但都是为商业用途开发的,实际上在家里并没什么卵用的。 基本上楼主家的网络折腾算是告一段落了,最近楼主手欠,又收了一块ITX主板,下一次,楼主又要折腾组一台伪Gen8 Windows服务器,如果这篇大家有兴趣的话,楼主下次也发一个系列分享一下。
|
