Skip to content

viabytsai/awesome-home-networking-cn

 
 

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

28 Commits
 
 
 
 

Repository files navigation

Awesome Home Networking

Awesome

本文档主要用于整理家庭网络相关知识,目前由 Blanboom 维护。

目录

Created by gh-md-toc

网站与资源

主题网站

讨论区

相关组织

YouTuber、Bilibili UP 主

书籍、教程

硬件设备

设备类型

无线路由器

我们平时最常见的无线路由器(SOHO 无线路由器),其实不仅仅包含路由器的功能,而是整合了路由器、防火墙、交换机、无线 AP 等多种功能为一体。操作和设置相对简单,能够满足绝大多数家庭的需求。

无线 mesh 系统/分布式路由

在单个无线路由器无法满足覆盖面积时,可以通过多台设备组网,扩展无线面积。无线 mesh 系统的多个节点之间可以相互通信,组成网状网络,并在通信时自动选择最佳路径。目前已有大量厂商推出家用的无线 mesh 系统。

无线 AP

无线 AP 一般仅提供 Wi-Fi 接入功能,需要配合交换机和路由器,才能搭建一个完整的无线网络。多个无线 AP 组网的方式,比起家用无线 mesh 系统,在稳定性、速率、覆盖面积上都占有优势。缺点是安装复杂,主要用于企业,家庭使用时一般需要在装修初期考虑。

交换机

交换机工作于数据链路层,能够连接同一网络内的多个设备。例如家中有多台电脑、游戏机等设备,而普通无线路由器上的网口数量不足时,就可以使用交换机扩展网口,连接多个设备。

有线路由器

路由器工作于网络层,用于连接两个或多个网络,在多个网络之间转发数据。对于家用场景,路由器一般用于连接运营商网络和家庭网络,负责让家中的设备访问 Internet。

在普通的无线路由器无法满足需求时,可以使用功能更强大的有线路由器,结合交换机和无线 AP,搭建家庭网络。

软路由

软路由一般是使用通用的硬件平台,例如 x86 服务器搭建的路由器。报文转发等功能,与普通路由器相比,较少以来专用硬件的加速,而是通过纯软件的形式处理。

由于软路由使用通用的硬件、拥有较大的内存、大多运行基于 Linux 或 FreeBSD 的操作系统,能够通过软件扩充更多功能,具有更强的灵活性。在性能上,软路由具有更强大的 CPU,但普通的路由器能够通过专门的硬件实现路由转发、QoS、NAT 等功能,无法进行简单的对比。

光猫

光猫用于将光信号转换为电信号。目前大部分家用光猫也同时具有路由和 Wi-Fi 的功能。

光猫一般由运营商提供,在安装宽带时租用。部分对网络有追求的用户也会选择自行购买,但不同地区对光猫的要求不同,设置方式也不一定相同,购买前需要先了解相关信息。

此外还有 PON Stick 这样的硬件,将光猫集成在 SFP+ 模块中,可以直接搭配支持 SFP+ 接口的路由器或交换机使用,减少体积占用。

开发板

目前市面上有不少开发板,具有单个或多个网口,运行标准 Linux 或 OpenWrt,部分甚至支持 Wi-Fi,能够实现如下功能:

  • 自制无线路由器
    大部分开发板性能不一定够用,或者只有一个网口,并没有太多人这样做
  • 做为 DNS 服务器、代理服务器、HomeBridge/HomeAssistant 服务器等使用
    部分家用无线路由器也可通过安装软件实现这些功能。不过考虑到性能和稳定性,通过独立的开发板运行相关服务,是一种更好的选择
  • 连接传感器、显示屏、继电器等,实现物联网、智能家居相关功能
    开发板大多拥有丰富的 IO 口资源,可以连接更多模块,来实现物联网相关功能

常见的带网络功能的开发板有如下几种:

  • Raspberry Pi 等单板计算机
    热门的单板电脑,在网上能够找到大量资源
  • wrtnode
    运行 OpenWrt 的开发板
  • Widora
    运行 OpenWrt 的开发板
  • Arduino Yún
    运行 OpenWrt 的开发板,且内部与一块 AVR 单片机相互连接,扩展 IO 口资源,并同时融合 Arduino 和 OpenWrt 两种生态。更适合用来制作物联网相关的 DIY 作品
  • BPI-R1
    带有五个网口、SATA、USB 的开发板
  • Marvell ESPRESSObin
    带有三个网口、SATA 接口的开发板,并具有硬件转发芯片
  • NanoPi R2S
    带有两个网口的开发板,能够运行 Linux,体积小巧。

企业级设备

对于网络爱好者,也可考虑企业级网络设备,例如 Aruba、Ruckus、CISCO,或者国内华为、H3C、锐捷等厂商的设备。

由于本 List 主要关注家庭网络,不会过多整理企业级设备的相关知识。

其他

除了路由器、交换机等设备,市面上还有不少辅助设备,用于增强家庭网络的功能。

  • Wi-Fi 扩展器/信号放大器
  • 花生棒等内网穿透工具
  • Fingbox: 集成了局域网扫描、家长控制、带宽监控等功能的独立硬件
  • Circle: 具有家长控制功能的独立硬件

选购指南

设备厂商与品牌

TP-LINK / MERCURY / FAST

TP-LINK 是国内最知名的无线路由器品牌。价格相对较低,如果只是想快速搭建一个简单稳定的家庭网络,TP-LINK 是一个不错的选择。当然,TP-LINK 也有不少支持 OpenWrt 的型号。

另外,TP-LINK 在国内和国外,在产品布局、营销策略上也有不少差异,甚至连国内外的 logo 都不相同。在淘宝、闲鱼等平台,能够买到部分国外版本的硬件。

华硕 ASUS

华硕无线路由器有着较为丰富的产品线,从入门的百元级别型号,到 4000 元以上的高端型号都有覆盖,同时也有 ROG 玩家国度等特色型号。

AiMesh 是华硕路由器的一个标志性功能,能够在不同型号的设备间进行 mesh 组网,降低成本。

华硕的 ASUSWRT 操作系统功能丰富,另外还可以方便地安装 asuswrt-merlin 修改版系统。关于 ASUSWRT 的详细介绍可参考后面「操作系统」部分的内容。

网件 NETGEAR

网件是一家网络设备设备生产商,其生产的家用设备也覆盖了低端到高端不同型号,部分型号支持 Plex Media Server 等特色功能。

自带固件在功能和易用性上,与 ASUSWRT 等相比有一些不足之处,不过网件的不少型号都对 OpenWrt 友好,可以方便地刷 OpenWrt 等第三方系统。

其中网件 R6300v2,虽然已经是多年前的产品,但由于性能够用,能刷 asuswrt-merlin,至今受到不少用户的喜爱。

领势 Linksys

Linksys 成立于 1988 年,后来被 CISCO 收购。但在 2013 年 CISCO 又将 Linysys 卖给了 Belkin。

其中 Linksys 的 WRT54G,是历史上较早使用 Linux 的家用无线路由器,所以其固件按照 GPL 协议需要开源。不少爱好者基于 WRT54G 的开源固件进行修改,增加功能。知名的开源路由器操作系统 OpenWrt、DD-Wrt 等,都与 WRT54G 或多或少有一定的渊源。

目前,Linksys 依然有着不少有竞争力的产品,例如 mesho 系统 Velop。

斐讯

因为采取「0元购」模式而受到大家的熟知。常见的型号有 K2P、K3C 和 K3。目前能在部分二手交易平台以较低的价格买到。

斐讯路由器整体配置和做工都不错,也有不少人为其适配开源固件。不过购买时需要注意不用版本硬件的区别,比如 K2P 的 A 版和 B 版;K3 等型号可能还需要自己改装一下硬件,才能避免「漏油」等问题。如果喜欢折腾,可以在二手价比较低时购买。

新路由 newifi

来自联想,曾经由于挖矿功能和还不错的性能而受到欢迎,支持刷开源固件。目前已停产,能以非常低的价格在二手交易平台买到。

腾达 Tenda

国内的无线路由器品牌,价格较低,部分型号能刷 OpenWrt。

小米

小米路由器采用「互联网模式」进行开发。官方固件就提供了丰富的功能(例如和迅雷合作推出远程下载),且 UI 相对更为现代和美观。但同时也存在劫持「404 页面劫持」等问题。

不过,小米路由器的大多数不带硬盘的型号,都能较好地支持 OpenWrt、Padavan 等系统;在工业设计、硬件配置、性价比方面存在一定优势。可考虑购买后使用第三方系统。

华为、荣耀

华为原有业务主要侧重于运营商网络,较晚推出家用无线路由器。

主要特色包括支持 HiLink 智能家居平台、部分型号采用自研芯片等。但使用自研新品也为支持 OpenWrt 等系统带来了一定的难度。

由于华为和荣耀家用路由器已有较多型号,不同型号间差异较大,具体的功能、性能、稳定性等,建议购买前上网自行搜索了解和判断。

新华三 H3C

H3C 原有业务主要侧重于企业网络,较晚推出家用无线路由器。

根据官方宣传资料,H3C 家用路由器使用 MINIWARE 操作系统(与 H3C 的部分商用无线 AP 使用的操作系统名称相同),支持 IPS 等安全功能。系统主要关注基本的网络功能,界面较为简单、功能没有互联网厂商的家用路由器那样丰富。但也在理论上保证了一定程度的稳定性。硬件上 Magic B1 等型号工业设计比较独特。

其产品线除了无线路由器、mesh 系统外,还包括家用 AC+AP 套装等。目前暂未发现支持 OpenWrt 等第三方系统。

友讯 D-Link

网络设备品牌,提供路由器、交换机、无线网卡等设备。

360

以「互联网模式」开发的家用路由器,以「安全」功能作为卖点。但其「孕妇模式」等营销概念受到了不少人的反感。

群晖 Synology

NAS 厂商,较晚进入无线路由器领域。目前推出 RT1900ac、RT2600ac,以及 mesh 路由器 MR2200ac 三款产品。其特色在于自带的 Synology Router Manager (SRM) 操作系统。

SRM 基于群晖的 NAS 操作系统 DSM,具有友好的用户界面,外接移动硬盘后,具有一定的 NAS 功能。并支持与其 NAS 相同的 File StationDownload StationMedia Server 三大软件。

SRM 对新技术的应用比较积极,例如 WPA3、DNS over HTTPS 等。SRM 上的家长控制/访问控制功能,以及基于 Suricata 的 IPS 功能,在同类产品中都较为强大。

另外 SRM 一定程度上拥有安装第三方软件的功能。部分 DSM 软件经过修改后,可在 SRM 上运行。同时也可以在 SRM 上安装 optware/entware,通过 opkg 命令来安装更多软件。

但群晖做为家用路由器的新厂商,在软件开发与发布流程上经验不足。曾经遇到过同一天发布多个版本才彻底解决一个问题的情况,以及新版本导致原先设置的计划任务失效、需要重新设置的问题(参考此链接,版本 1.2.3-8017-4 中的描述)。另外在个人使用过程中,也遇到过网络不稳定,重启路由器才能恢复的问题。

优倍快 Ubiquiti

网络设备厂商,创始人为 Apple AirPort 系列的硬件工程师。其 UniFi 系列提供了价格低廉(相对 CISCO、Aruba、Ruckus 来说)的商用 Wi-Fi 系统,也因为工业设计、易用性等原因,受到了部分个人/家庭用户的喜爱。后续 Ubiquiti Labs 也推出过 AmpliFi 系列的家用产品。

另外,Ubiquiti 的产品,在软件(Web 界面与移动 App)的用户界面和用户体验上比较出色,对于 Dark Mode 等也能在第一时间支持。

  • Ubiquiti 官网
  • UniFi 系列:主打商用无线 AP,同时有配套的交换机、路由器、摄像头、NVR 等硬件,可通过 UniFi Controller 统一管理
  • EdgeMax 系列:主打企业级的网络设备,包括路由器和交换机,配置比较丰富,可通过免费的 UNMS 实现部分的管理功能
  • AmpliFi 系列:主打家用 mesh 系统,较早提出「家用 mesh 路由器」的概念。工业设计出色

Apple AirPort

Apple 的无线路由器,特色功能包括:来自 Apple 的工业设计、与 macOS 和 iOS 的紧密整合、支持 Time Machine 无线备份、支持连接音箱进行 AirPlay 音乐播放、支持无线打印等。

另外 AirPort Extreme 也较早支持多台路由器之间的组网和漫游,虽然 Apple 没有以「mesh」的卖点公开宣传。

目前 AirPort 系列已停产,部分国家和地区的 Apple Online Store 仍有销售,国内可在二手交易网站购买到。

MikroTik

MikroTik 为知名软路由操作系统 RouterOS 的开发商,也推出了自有品牌的硬件。其硬件产品官方支持 RouterOS,并附送 RouterOS 软件授权。

竞斗云

原先以「区块链路由器」的名义高价销售,目前可以用较低的二手价购买,并安装第三方系统。

爱快 iKuai

爱快为软路由操作系统 iKuai OS 的开发商,也推出了自有品牌的硬件,包括无线路由器、企业级路由器、交换机、无线 AP 等。

磊科

网络设备厂商,其路由器的 QoS 功能比较有特色。曾和 360、腾讯等厂商合作推出过定制款无线路由器。

eero

家用无线路由器厂商,目前已被亚马逊收购。外观小巧,主打 mesh 功能,并有付费订阅的 eero Secure 服务。

Google Nest Wi-Fi

来自 Google 的无线路由器,主打 mesh 功能。其 mesh 节点上集成了麦克风和音箱,支持 Google Assistant,可同时做为智能音箱使用。

诺基亚 Nokia

来在诺基亚的 mesh Wi-Fi 系统。

芯片厂商

大多家用无线路由器中的 SoC,一般来自 MediaTek/Ralink、Broadcom、Qualcomm/Atheros、Realtek、Intel 等几大芯片厂商。

操作系统

本节主要介绍通用(支持在不同品牌设备上运行)的网络操作系统。对于 Synology Router Manager 等私有操作系统,请参考设备厂商与品牌部分。

OpenWrt

OpenWrt 是最知名的开源无线路由器操作系统,已支持大量厂商和品牌的路由器,也支持在 x86 电脑/服务器上运行。在 2016 年,OpenWrt 派生出 LEDE 项目,但在 2018 年,LEDE 重新合并回 OpenWrt,合并后继续使用 OpenWrt 的名称。

OpenWrt 目前有着广泛的使用范围,不少个人和团队基于 OpenWrt 推出了修改版固件,一些商业公司的无线路由器、无线 AP 等设备,也是基于 OpenWrt 进行开发的。OpenWrt 社区也为开源社区做出了较多贡献,例如拥塞控制算法 CAKE,最早就是在 OpenWrt 上使用,后续进入 Linux 主线的。

OpenWrt 使用 opkg 包管理系统,支持通过安装软件来扩展功能。

ASUSWRT

华硕路由器官方固件。同时存在知名的 asuswrt-merlin 修改版固件。

padavan/rt-n56u

基于华硕 RT-N56U 等型号路由器的开源代码二次开发而成的路由器固件,支持基于 MT7620 系列芯片的大量无线路由器。在国内经常被称做 Padavan 或老毛子固件。

RouterOS

来自 MikroTik 的无线路由器操作系统,可在通用 x86 硬件(软路由)、以及 MikroTik 自家硬件上运行。

在 x86 软路由上使用 RouterOS,需要购买软件授权。但大部分 MikroTik 自家的硬件附送了 RouterOS 授权,可免费使用。

RouterOS 功能强大,但入门门槛较高,需要经过专门的学习才能熟练操作。

pfSence/OPNSense

基于 FreeBSD 的开源网络操作系统,防火墙功能比较强大。内置的软件包管理器可以方便地安装更多软件、扩充功能,例如 Suricata IPS、ntopng 流量统计工具等。

由于 pfSense/OPNSense 基于 FreeBSD,也可以方便地安装 FreeBSD 软件包,例如安装 java 后运行 UniFi Controller。

VyOS

开源的路由器/防火墙操作系统,基于 Vyatta,功能强大,但仅支持通过 CLI 配置,不支持图形化界面。

EdgeOS

来自 Ubiquiti 的网络操作系统,与 VyOS 同样基于 Vyatta,但拥有图形化界面,支持通过 UNMS 集中管理。

EdgeOS 仅能运行在 Ubiquiti 自己的 EdgeRouter 硬件上。另外 UniFi Security Gateway 的操作系统也基于旧版的 EdgeOS。

爱快 iKuaiOS

免费的软路由操作系统,具有强大的流控功能。

部分旧版本的 iKuaiOS,有不少人反映有流量劫持等问题。

Tomato

易用的开源路由器操作系统。

DD-WRT

组网相关

mesh 网络、有线回程

mesh 网络在多台无线路由器间相互组网,以提高 Wi-Fi 覆盖范围。

  • Mesh无线网络的定义与WiFi的区别

  • 不同型号设备间的 mesh
    部分厂商的不同型号设备间,可以进行 mesh 组网,从而可以充分利用旧设备,节省成本。典型的有华硕的 AiMesh。

  • 不同厂商设备间的 mesh

  • 有线回程
    大多数厂商的无线 mesh 系统,都支持有线回程功能。即 mesh 节点之间的通信,通过有线的方式进行,进一步增大带宽和稳定性。确定是需要重新复杂的布线工作。

  • 三频 mesh
    部分厂商的高端无线路由器型号,拥有一个独立的 5GHz 频段,用于 mesh 节点之前的通信,不占用无线路由器与终端进行通信的频段。这样做也能一定程度上提高带宽、稳定性,且减少了布线带来的麻烦。

有线路由器 + AC + AP

通过有线路由器 + AC + AP 的方式,能够保证最佳的速度和稳定性。不过这样的方案需要更复杂的布线,一般用于企业、酒店、商场等场所。家用时需要在装修前考虑。

大部分厂商的 AC + AP 方案也不是为家用涉及,一般配置比较复杂。不过 TP-LINK、H3C 等厂商目前也推出了家用 AP 套装,并将路由器与 AC 整合在单个设备上,可直接放入弱电箱,节省空间。

另外,Ubiquiti 的无线 AP 方案,由于不需要 AC、配置简单、拥有友好的图形化界面,也受到了一部分家庭用户的喜爱。

无线 AP 除了可以防止在桌面和柜子,也可以选择面板式或吸顶式,从而更好地融入装修风格,并节省空间。

VLAN 划分

通过划分 VLAN 的方式,可以使用一根网线传输多个网络的流量。例如同一根网线实现 Internet 和 IPTV 流量的复用。

单臂路由

对于只有一个网口的设备(例如普通家用电脑、Intel NUC、Raspberry Pi 开发板等),如果想做为路由器使用,可通过单臂路由的方式实现。

单臂路由相当于在一个接口上创建多个子接口,不同子接口对应不同的 VLAN,从而实现将一个接口做为多个接口来使用。

技术概念

MU-MIMO

MU-MIMO 是 802.11ac Wave 2 中增加的特性,能够让多个设备同时与无线路由器进行通信,提高无线的利用效率和吞吐量。

但 MU-MIMO 需要终端设备的支持,且存在较多限制,目前对网络体验的提升并不明显。

在 Wi-Fi 6 中,MU-MIMO 的到了增强,可能会随着 Wi-Fi 6 的普及而变得更加实用。

Wi-Fi 6、Wi-Fi 6E、Wi-Fi 6+

Wi-Fi 6 是最新一代的 Wi-Fi 标准,基于 IEEE 802.11ax,通过多项技术提升了多用户接入下的稳定性和吞吐量。2019 年之后上市的不少无线路由器,已经支持 Wi-Fi 6。

Wi-Fi 6E 则将 Wi-Fi 6 扩展到了 6GHz 频段。

Wi-Fi 6+ 是华为的 Wi-Fi 6 方案,增加了动态窄频宽等特性,能够自动调整频宽,兼顾吞吐量和覆盖范围。具体技术细节暂时没有太多公开文档。

160MHz 频宽

802.11ac 和 Wi-Fi 6 支持 160MHz 频宽,使用 160MHz 频宽能够大幅度提升 Wi-Fi 带宽,但是由于兼容性和干扰等问题,实际效果需要受到多种因素的影响,需要自行测试。

PA/LNA/功放

在阅读路由器的评测、产品介绍页面时,经常会看到 PA、LNA 等概念。其中,PA 为功率放大器,用于增强发射信号的功率,LNA 为低噪声放大器,用于增强接收到的信号。

拥有 PA/LNA 的无线路由器/AP,能够获得更好的信号。

软硬件功能

UPnP/NAT-PMP/端口映射

路由器通过家用宽带接入 Internet 时,运营商会为其分配一个 IP 地址。但家庭中会有电脑、手机等多种设备,多个设备都需要访问 Internet,这时候路由器为各个设备分配一个内网 IP,通过网络地址转换(NAT)来访问 Internet。

但是,通过 NAT 的方式,内网中的设备只能主动发起对外的连接,而不能做为服务器,接收外部的连接。这种情况下,想从外部访问家中的 NAS 等设备、远程控制家中的电脑等,都会变得比较困难。同时 BT、eMule 等 P2P 分享工具的上传下载速度也会受到影响、部分语音/视频通话工具的连接质量也可能受到影响。

针对这种情况,可通过端口映射,将内网设备的端口映射到公网,来实现外部访问。大部分家用路由器都支持手动配置端口映射,也支持通过 UPnP/NAT-PMP 的方式进行自动端口映射。

DDNS

DDNS 也是大部分家用路由器都会拥有的一个常见功能。由于家庭宽带的公网 IP 是不固定的,每次重启路由器,都可能获取到一个新的 IP 地址。通过 DDNS,能够通过一个固定的域名来从外部访问家庭网络中的设备。

流量整形与 QoS

在家用场景下,部分应用需要比较高的带宽,但对延迟不敏感(例如在线视频、P2P 下载等);部分应用对带宽要求不高,但对延迟敏感(例如网络游戏、语音/视频通话等)。

在家中,往往会遇到 P2P 下载等占用了较大的带宽,影响了网络游戏、音视频通话等应用的流畅程度,甚至正常的浏览网页也会变慢。通过 QoS 可以解决这一问题。

大部分中高端型号的家用路由器都提供 QoS 功能,能够手动设置不同设备、不同应用的优先级,例如提高某款游戏,或家中某台游戏机的优先级。

另外 fq_codel 和 CAKE 等算法在家用路由器上也逐渐得到了应用,可以做到无需复杂的配置,智能的管理流量。这项功能在 OpenWrt 中被称为 SQM,在其他路由器固件中的「智能 QoS」、「智能队列」等选项,一般也是指的这项功能。

Captive Portal

Captive Portal 提供了一个网页认证页面,在网页中输入密码,才能访问网络。

在家庭网络中,Captive Portal 常用于访客网络,访客需要在网页中输入密码后连接,避免了 Wi-Fi 密码被类似「Wi-Fi 万能钥匙」等软件泄漏。 同时,也可以在 Portal 页面加入使用须知、免责声明等内容,用户同意后才能连接;如果是在店铺中使用,还可以利用 Portal 页面投放广告。

Captive Portal 功能常见于商用和企业级设备,家用路由器支持此功能的不多。对于 OpenWrt 等开源系统,可使用 WiFiDog 等工具实现 Captive Portal。

内网穿透

由于 IPv4 地址资源有限,部分运营商不会给家庭宽带用户分配公网 IPv4 地址。这时候,如果需要访问家庭网络中的服务,就需要内网穿透功能。

常见的内网穿透方式有两种,一种是通过服务器进行中转,不过一般需要自己购买 VPS 服务器并搭建环境。或者购买专门的商业服务。

另一种是通过 NAT 打洞的方式实现。这种方式优点是设备间能够直接通信,避免消耗服务器流量,一定程度上提高速度。缺点是 NAT 打洞一般使用 UDP 协议,流量较大的情况下可能会被部分 ISP 限速。

  • 通过服务器中转方式实现的内网穿透工具

  • 同时支持 NAT 打洞和服务器中转的内网穿透工具

    • ZeroTier: 主打 NAT 打洞,NAT 打洞成功率较高。打洞失败后回退到服务器中转。
    • frp: 支持多种协议的内网穿透工具
    • nps: 支持多种协议的内网穿透工具
    • 花生壳:商业服务,包含 DDNS 和内网穿透,操作简单
  • 其他

    • Synology QuickConnect:群晖路由器/NAS 中的外部访问服务,通过群晖的服务器进行中转,仅支持访问路由器、NAS 中的部分应用
    • UniFi Remote Access: Ubiquiti UniFi Controller 中的外部访问服务,通过 NAT 打洞或通过 Ubiquiti 服务器进行中转,仅支持访问 UniFi Controller

家长控制

家长控制功能能够控制特定设备的上网时长,避免子女上网时间过长。

部分路由器的家长控制功能,还可以限制设备访问不良网站,同时强制打开 Google 搜索、YouTube 的安全搜索功能,避免子女接触到不良内容。

而 Synology Safe Access 等提供了更强大的家长控制,除了控制上网时长、限制访问内容,还拥有强大的分析与统计功能,能够根据统计信息来分析家庭中不同人的上网习惯。

内容过滤

通过内容过滤功能,可以根据规则,过滤恶意广告、恶意网站、追踪器、成人网站等内容,保护安全与隐私,获取更好的上网体验。同时可以与家长控制结合,限制未成年人访问不适合当前年龄的内容。

  • 基于 DNS 的过滤工具
  • 基于代理服务器的过滤工具
    基于代理服务器的过滤工具,拥有更好的过滤效果,但需要通过 HTTPS 中间人攻击的方式,来实现更复杂的过滤规则。在安全性方面,需要自行了解其工作原理并选择是否使用。
  • 广告过滤的法律/道德问题
    部分人认为,是否选择过滤广告是用户的自由;部分人认为,广告过滤会对互联网生态产生不利影响。关于是否应该进行广告过滤,请参考互联网中的讨论。

IPS/IDS

IPS/IDS 功能通过分析报文中的内容,来记录和阻止具有安全风险的报文,提高家庭网络的安全性。与其他基于域名/DNS 的方案相比,IPS/IDS 能够识别更多安全威胁,但也消耗了更多 CPU 和内存资源。

常见的开源 IPS/IDS 软件有 Snort 和 Suricata,部分路由器的官方固件也提供有 IPS/IDS 功能。

流量统计/DPI

流量统计功能能够分析和统计网络中各个设备流量的使用情况。不过因为需要占用 CPU 和存储资源,部分低端型号的路由器不具备这样的功能。

而一部分路由器拥有基于 DPI 的流量统计,除了能统计各个设备的流量使用情况,还能统计各个应用的流量,从而提供更详细的流量统计数据。

对于开源系统,可使用 ntopng 等工具实现流量统计:

多 WAN 口、多拨

部分路由器拥有多个 WAN 口,可接入多条宽带,实现带宽叠加。并实现一条宽带故障时切换到另一条宽带。

此外还有路由器能通过 USB 接口连接 LTE 网卡,或者使用 Android、iOS 的 USB 网络共享功能,实现在宽带故障时,使用 4G/LTE 链路实现 Internet 的备份。

对于 OpenWrt、RouterOS 等系统,还可以在一个 WAN 口上建立多个 PPPoE 会话,实现「单线多拨」,提高带宽。但部分运营商不支持多拨,具体请参考办理宽带时,与运营商签订的协议。

带宽提升

一些路由器宣称具有「物理带宽提升」的功能,实际上是通过与运营商合作的方式实现的,运营商可以动态地调整带宽限制,付费后自动提高带宽。

「迅雷快鸟」是比较著名的一个网络加速服务,同时有第三方开发者将其移植到路由器,能够在路由器上方便地打开提速服务。

游戏加速

游戏加速也是不少家用无线路由器的一大卖点。一般通过提高游戏的 QoS 优先级来实现,同时内置「网易 UU 加速器」等服务,通过第三方提供的代理服务器连接到更高质量的网络,实现网游加速。

智能家居整合

智能家居属于新兴领域,在路由器中整合智能家居相关功能,不同厂商有着不同的思路。

运行第三方应用

不少路由器操作系统,可以通过一定的方式运行第三方应用,扩展路由器的功能,使路由器更加「智能」。

  • 软件包管理系统
    和不少 Linux/UNIX 发行版一样,一些基于 Linux/UNIX 的路由器操作系统,也有着自己的软件包管理系统。
  • 软件中心
    不少路由器操作系统拥有带有图形化界面的软件中心,可以方便地以图形化的方式添加软件。不过也有一部分路由器,例如 TP-LINK 的部分型号,其「软件中心」只是一系列内置功能的开关,无法做到安装第三方软件扩充功能。
    • Koolshare 软件中心
      来自 Koolshare 论坛的软件中心,支持 OpenWrt、ASUSWRT 等多种路由器操作系统,提供了适合国内用户使用的特色软件。
    • Synology SRM 套件中心
      Synology Router Manager (SRM) 操作系统自带的软件中心,目前仅有来自 Synology 的少量软件。但是来自 Synology DSM 的部分软件,经过修改后,也可以在 SRM 软件中心中手动安装。
  • Entware/Optware
    不少路由器操作系统,例如 Asuswrt-Merlin、DD-WRT、Synology Router Manager 等,默认不支持安装第三方软件,或者对第三方软件的支持有限,可通过 Entware/Optware 的方式来安装软件。
  • docker
    由于部分支持 Docker 的路由器操作系统,还可以通过 Docker 运行容器,来运行第三方软件。

虚拟化

部分路由器操作系统具有一定的虚拟化功能,能够在路由器中运行其他的容器或操作系统。

一种常见的应用,利用 RouterOS 的 Metarouter 功能来运行 OpenWrt,实现在一台设备上同时使用 RouterOS 和 OpenWrt 的特色功能。

手机 App

目前的不少主流的家用路由器,都支持使用手机 App 来控制。但对于一些较为流行的开源的路由器操作系统,会有一些第三方开发者为其开发 App。

这些第三方 App 的质量和安全性不一定有保证,使用前需要先对 App 的功能、作者、开源情况等做一个初步的了解。

SNMP

少量的家用路由器操作系统(例如 Synology Router Manager),以及绝大多数商用/企业级网络设备,都支持 SNMP。通过 SNMP 协议,可实现对设备的集中管理和集中监控(例如利用 Cacti 采集流量统计数据 )。

网络存储、媒体中心

有很多路由器带有 USB 接口,可以连接 USB 移动硬盘,实现网络存储等功能。

此外,也有带有 SATA 接口和带有 M.2 接口的无线路由器,可以直接将硬盘装入路由器内部,外观更加紧凑:

在功能上,连接硬盘后,无线路由器完成如下任务:

第三方服务整合

部分无线路由器能够整合第三方服务,实现更高级的自动化。

Bonjour/mDNS

通过 Bonjour 功能,能够使 Apple 设备直接通过 .local 域名访问路由器,无需记住复杂的 IP 地址。

除了 Apple 设备,目前有不少智能家居设备(例如米家的 Wi-Fi 设备),以及 Chromecast 等,也开始使用 Bonjour 协议。如果家中的网络比较复杂(例如有多个子网/多个 VLAN),可使用 Bonjour 网关的功能,来实现在多个网络之间通过 Bonjour 来发现设备。

校园网

不同学校的校园网有着不同的认证方式,部分学校还会使用私有协议。对于校园网,建议先在学校论坛等社区了解本校的校园网是否可以在 OpenWrt 等设备上连接和认证。

安全性

相关文章

开源固件 vs 闭源固件

在有条件的情况下,尽量使用开源固件,或使用声誉良好的闭源固件/原厂固件。

如下为部分商业固件/闭源固件可能会拥有的「特色功能」:

官方版固件 vs 修改版固件

有不少人和不少组织,会基于 OpenWrt、Padavan、Asuswrt-Merlin 等开源系统,或者部分厂商的官方固件进行修改,使其符合更多人的使用习惯。

一般来说,在安全性方面,使用官方发布的固件,或者基于开源代码自行编译,是最为安全的。而修改版固件质量参差不齐,可能会解决官方固件中的一些安全问题,但又有可能引入新的安全风险。在安全性方面,可以从如下几点做一个简单的判断:

  • 修改版固件是否开源
    修改版固件保持开源,有利于用户通过检查源代码等方式,确保相关修改不引入安全漏洞。例如 coolsnowwolf/lede,就在 GitHub 上公开了基于 OpenWrt 修改后的源代码。
  • 修改版固件的知名度/使用人数
    用户较多的修改版固件,如有安全漏洞,有利于更快地被发现和暴露。从而有利于及时修复。
  • 修改版固件是否通过安全的方式发布
    如果固件以 HTTPS 方式下载,并提供 HASH 和 GPG 签名校验,有利于保证固件的下载过程不被中间人攻击。而通过 HTTP 下载、通过百度网盘等方式下载的固件,可能会导致下载过程被中间人攻击,导致下载到被替换的固件。
  • 修改版固件是否跟随主项目,同步合入主项目最新的安全更新
    可通过版本日志、Git commit log 等方式,观察修改版固件是否及时跟随主项目,进行安全性相关更新与修改。
  • 排查修改版固件的默认设置是否安全
    • 防火墙规则是否默认允许从外部访问路由器中的服务
    • 是否默认使用不安全的协议(HTTP、telnet 等)进行外部访问
      (例如从这篇帖子的配图可以看到,Koolshare 梅林固件之前的远程 Telnet 功能,是通过 HTTP 协议实现的,可能会存在安全性问题。不过目前 Koolshare 梅林固件已经采取其他方式实现远程登录)
  • 系统更新、软件中心等功能,是否使用不安全的协议下载,且不进行签名校验
    一般来说,系统更新或者软件中心等功能,需要实现 HTTPS 下载或签名校验,以避免中间人攻击。Koolshare 软件中心旧版就使用过 HTTP 方式进行下载,不过已经及时修复。
  • 部分比较小众的功能,建议评估安全风险后使用
    • 例如是否存在功能需要通过 HTTPS 解密,在电脑上安装证书后才能使用
    • 或者是否存在使用 FTP、HTTP WebDAV 等未加密协议的文件共享功能

软件更新

厂商和固件开发者可通过软件更新等方式,修复安全漏洞。选择固件时,需要考虑固件是否及时进行安全更新、是否采用安全的方式进行更新。

  • 对于商业固件/闭源固件
    • 确认自动更新时是否使用加密方式,或进行签名校验
    • 从更新日志中,观察软件更新是否及时、是否有安全漏洞休息
    • CVE List国家信息安全漏洞共享平台等网站进行搜索和调查,观察相关漏洞是否及时修复
  • 对于开源固件
    部分开源固件不包含自动更新功能,需要通过一定的方式关注其软件更新。主要要如下集中方式。
    • 定期关注系统的 Release Notes
    • 订阅开源项目的邮件列表,通过邮件的方式获取安全更新相关信息
    • 在 GitHub 中 watch 对应的开源项目,及时收到项目更新的通知

Linux 安全特性的应用

不少家用路由器,并没有应用 ALSR 等 Linux 内核已经提供的安全特性。一定成带上上削弱了设备的安全性。

KRACK

KRACK 是对 WPA2 协议的一种攻击方式,在购买无线路由器或选择固件时,需要考虑对应的路由器或固件,是否已包含针对 KRACK 的修复。

WPA3

WPA3 是新的 Wi-Fi 安全协议,改进了 WPA2 的一些安全性弱点。

同时,WPA3 支持 Wi-Fi Enhanced Open 模式,为开放、无密码的 Wi-Fi 网络提供了加密机制,一定程度上增强了安全性,适合图书馆、商场等公共场所的 Wi-Fi 网络。

目前已有少量无线路由器支持 WPA3。另外,部分无线路由器(例如 Synology RT2600ac)和终端设备(例如 iPhone),已通过软件更新的方式支持了 WPA3。

防火墙配置

在能够获取到公网 IP 的环境中,合理配置防火墙,避免路由器中的服务被外部访问,有利于提高安全性。

###SSID 隐藏、MAC 地址过滤等功能是否能提高安全性?

隐藏 SSID、MAC 地址过滤等功能,对提高安全性的作用有限,所以不建议打开:

网络质量优化

基础设施

装修与布线

弱电箱、机柜

其他创意

网络诊断、调试工具

  • Speedtest by Ookla 知名的测速工具
  • DSLReports Speed Test 网络测速工具,支持 Bufferbloat 测试
  • Fing App 局域网扫描、测速工具
  • iPerf 命令行测速工具,可以搭建在云端进行 ISP 测速,也可以搭建在本地,测试路由器、交换机、Wi-Fi 的最大吞吐量
  • WiFiman Wi-Fi 扫描、局域网扫描、测速工具
  • BestTrace 图形化的 traceroute 工具,能够将 traceroute 结果显示在地图上
  • naliping, traceroute, nslookup 等命令增加中文地理位置信息
  • WiFi魔盒 多功能 Wi-Fi 检测工具,能够在多个 AP、mesh 组网等情况下,进行 Wi-Fi 漫游测试
  • AirPort 实用工具 Wi-Fi 扫描与信号强度检测工具(由于系统的限制,这是 iOS 上唯一一个能实现相关功能的工具)
  • iStumbler macOS 上的 Wi-Fi 扫描工具
  • WiFi Explorer macOS 上的 Wi-Fi 扫描工具
  • Hurricane Electric Network Tools 用于 iOS 和 Android 的网络工具箱,包含 DNS 查询、接口信息、iPerf、Bonjour 浏览器等多种工具
  • Rumble Network Discovery 功能强大的局域网扫描工具
  • macOS 自带的无线诊断 macOS 自带「无线诊断」工具,具有 Wi-Fi 扫描、查看 Wi-Fi 日志、推荐最佳 Wi-Fi 频段、Wi-Fi 性能监控、抓包等功能
  • TP-LINK 网络百宝箱
  • Netool.io - Network Engineer Tool 小巧便携的网络诊断工具

ISP 相关

运营商选择

按照大部分人的经验,移动宽带访问国外网站速度快,电信宽带国内线路质量较高,联通宽带则比较均衡。不过,不同地区之间存在较大差异,需要实际测试才能知道真实情况。

另外,部分地区运营商还提供「国际精品网」等业务,能够加速国外网站的访问。

公网 IP、IPv6 地址的获取

目前国内 IPv6 逐渐普及,越来越多的运营商,开始分配 IPv6 地址,设置路由器后就能分配到。

但 IPv4 地址资源更加紧缺,不少地区已经无法获取到公网 IPv4 地址。

在无法获取到 IPv6 地址,或者没有公网 IPv4 地址的情况下,可以尝试拨打运营商客服电话,申请获取公网 IP 或 IPv6 地址。但由于 IPv4 地址资源有限,即使是拨打客服电话,也有可能申请不到公网 IP。

另外,部分地区可以通过特殊的用户名、或者通过付费购买的方式获取公网 IP。

光猫改桥接,使用路由器拨号

在光猫 NAT 性能不足的情况下,可将光猫修改为桥接模式,使用路由器拨号,提高性能。

大部分地区都可以拨打运营商电话,要求运营商远程将光猫修改为桥接模式。也可以上网根据光猫型号,查找光猫的超级密码或进行破解,并在管理页面中修改为桥接模式。

但部分地区的千兆宽带,光猫改桥接之后,带宽反而会下降。

IPTV 相关

相关政策、投诉方式

常见误区、Q&A

终端只支持 2x2 MIMO,没有必要选用 3x3 MIMO 或 4x4 MIMO 的无线路由器?

目前大多数移动设备只支持 1x1 MIMO 或者 2x2 MIMO,但不少高端的家用路由器,都已经支持 4x4 MIMO 了。不少人认为选择 4x4 MIMO 的无线路由器并没有必要。

但实际上,路由器和终端的无线电发射功率是固定的,支持 4x4 MIMO 的无线路由器,能够通过多根天线接收和发送相同的数据,来提高吞吐量和 Wi-Fi 覆盖面积。

具体请参考如下链接中的介绍:

综合案例

欢迎参与

欢迎通过提交 Issue,或提交 Pull request 的方式,为本文档做出贡献。

本文档遵守参与者公约,此外,在做出贡献时,请注意以下几点:

  1. 本文档遵守 CC BY 协议,请确保新增内容与此协议兼容,避免加入有版权的内容
  2. 本文档不接受违反中华人民共和国法律法规,或不适合在中国大陆地区公开讨论的内容
  3. 本文档主要关注家用网络设备,暂不考虑过于专业的企业级设备

许可证

CC-BY

本作品采用知识共享署名 4.0 国际许可协议进行许可。

Releases

No releases published

Packages

No packages published