独栋住宅中的安全高档网络

Ubiquity 最近推出了 UniFi Dream Machine Pro。这款设备以非常优惠的价格提供了许多实用功能。

过来一下... 有很多免费的东西提供

既然你自己是IT人员，那就先定义一下你的需求（Lastenheft）。目前设备的选择或者网络之间的数量和通信都是次要的，这些都会根据你的需求（Pflichtenheft）来确定。

你的具体需求是怎样的？你想在你的网络中运行什么？
如果只是简单地上网/流媒体播放 + 打印机 + NAS，老实说我不明白为什么要弄得这么复杂。我虽然也是IT人员，但在家里，东西简单好用，不用配置太多，才是最好的。

既然你自己也是IT人员，那先定义一下你的需求（需求规格书）吧。
目前设备的选择或者网络之间的数量和通信都不重要，这些都会根据你的需求（功能规格书）来确定。

好点子，也是难点。需求还不太确定。因此我想知道你们实施了什么以及为什么这么做。算是一种灵感来源。
唯一确定的是，我想将网络划分为常见的几个区域，并且必须支持Magenta TV，关键词是IGMPv3。

我们楼上也有一个带10GB上行链路到家政间的交换机。我不喜欢无线网络，所以几乎到处都布了网线。在两层楼里，我分布了近20个双工插座。一楼的家政间和二楼的储藏室各有一个带交换机的配线架。家政间还有一台NAS和各种其他设备（FritzBox，Homematic中控，Raspberry Pi，3D打印机等）。这样我把所有设备集中在一个地方，我妻子家里就不用放“丑陋的设备”。智能家居设备会有自己的VLAN，毕竟不知道这些东西会监听多少信息。

很多事情取决于你想达到什么目标，你有多熟悉相关知识，以及预算是多少。对我来说，如果熟悉相关知识，确实建议VLAN隔离。客人当然不应该进入普通网络。我认为不安全的设备（各种带云连接的智能家居设备，电视，电视棒等）也不应该在含有我“私人数据”的网络中出现。

如果不希望各种服务与外部通信，防火墙就很重要。这方面可以从OpenWrt（更像是一个“路由器+”）到OPNsense或类似的开源提供商，再到Sophos UTM/XG Home。（不过我现在更倾向于使用版本18的XG而非UTM）。通过防火墙，可以实现许多功能。透明Web代理（遗憾的是越来越重要——支持SSL扫描），以防止不太熟悉的用户下载恶意软件。邮件代理，如果想把邮件直接存放在家庭服务器上。VLAN间路由（摄像头只能访问CIFS共享，并从防火墙同步时间，或者视频服务器访问摄像头；电视棒只能通过http/s连接外网，甚至只能连接Netflix服务器、IPS等）。如果愿意，可以做的事情很多。至于这些措施是否有用，见仁见智。保护越多，也需要投入越多时间，包括维护和故障分析。

自己的服务器可以选择Windows 10作为“服务器操作系统”、Server 2019 Essentials、Linux系统、NAS系统（Synology或QNAP）、开源NAS系统等，硬件则从树莓派、小型Intel Atom主板到真正的服务器主板配Intel Xeon CPU，或者HP/Dell等塔式服务器均可。这里也要问的是具体想覆盖哪些需求。如果想运行多个虚拟机，生产环境VM和测试/开发/娱乐用VM，需要的性能会显著高于仅仅运行一个小电视服务器（例如DVBViewer/TVHeadend）且可能还运行OpenHab或ioBroker等（比如Docker镜像）。想要多少存储空间也是一个重要问题。

无线局域网解决方案也有很多选择。目前我认为使用Unifi接入点或者Ubiquiti方案整体上是最佳选择，性价比非常好。就我个人而言，目前没有其他方案能替代。不管选Unifi AC AP还是Amplifi，这也是取决于未来的使用需求以及网络规划的决策。

在网络领域，很多使用Unifi的人也会用他们的交换机。一个统一的界面比多个彼此不同且表现各异的界面更易管理。不过某些交换机机型会发热较高，环境对交换机的适应性需要考虑。由于VLAN需求，必然需要一个可管理交换机。选择Unifi还是价格更低的Netgear，或者HP/Cisco等其他品牌，也取决于预算。如果公司里淘汰的“旧”交换机拿到手，或许能免费或低价得到合适的企业级机型。家庭环境其实不太需要这些。PoE支持很有用，如果设备也支持PoE（比如AP），这样就不需额外电源和交换机与配线架之间的适配器。

如果能了解更多预算和具体计划，也许更能针对你的情况给出建议。有可能你起初只需要一个树莓派加上一个FritzBox，随着时间推移逐渐发展壮大。

人们越是投入其中，错误的可能性就越多。