阻止我的网络中的辅助路由器

Question 1

如果您想利用您的连接来创造利润，您需要投资使其变得可行。普通的家用设备不够用，如果您的连接速度较慢，它可能不适合许多用户。

实现此目的的方法是：

端口安全：托管交换机允许您在每个端口注册一个设备，其他设备都无法连接。这将使租户很难（但并非不可能）连接除您注册的 PC 以外的设备
使用带有集成登录服务器的强制门户，以便每个租户都有必须输入的自己的凭据

住宅路由器上的普通访客 WiFi 将无法工作，因为它无法阻止租户彼此共享密码。

Answer

如果您想利用您的连接来创造利润，您需要投资使其变得可行。普通的家用设备不够用，如果您的连接速度较慢，它可能不适合许多用户。

实现此目的的方法是：

端口安全：托管交换机允许您在每个端口注册一个设备，其他设备都无法连接。这将使租户很难（但并非不可能）连接除您注册的 PC 以外的设备
使用带有集成登录服务器的强制门户，以便每个租户都有必须输入的自己的凭据

住宅路由器上的普通访客 WiFi 将无法工作，因为它无法阻止租户彼此共享密码。

Question 2

专业人士会对你有所帮助。这是一个可能的设计，这也许可以解释我为什么这么说。曾经做过这件事的人更懂得从必要性或预算的角度来偷工减料。

在路由器上实现 AQM（全部设备）

这可以防止使用过程中的延迟（又称缓冲区膨胀）。这是一个普遍存在的问题，它可能会导致严重的甚至完全的性能下降，正如您所描述的那样。单租户网络没有这个问题：如果我使自己的网络对于我正在做的事情来说太过延迟，那么我可以取消导致这种情况的后台下载/上传，或者找到一种方法来限制它的速率。

检查网络负载下的延迟非常容易：http://www.dslreports.com/speedtest

负载下延迟增加的常见目标是 100 毫秒（0.1 秒）。在慢速 DSL 线路上，最先进的平均延迟很容易达到 50 毫秒。因此，100 毫秒并不完美，但对于网页浏览来说，这是可以接受的，并且对缓冲区膨胀进行任何控制都应该让您领先于竞争对手 :)。

显然，这是一个持续存在的问题，这意味着您不能相信标有 AQM 的复选框实际上可以正常工作（我们在实践中已经看到了这一点）。或者最有可能的是，营销人员一开始就没有将其描述为 AQM。

需要注意的廉价“品牌”是开源fq_codel。如果某个产品确实实现了这一点，那么它可能知道自己在做什么。它不是独家的；任何构建廉价 Linux 路由器的人都可以启用它。有 OpenWrt 路由器，可以使用 GUI 进行配置，还有 Ubiquiti（仅限美国的中间业务提供商）。如果你可以购买预装 OpenWrt 的路由器，GUI 就不是也很糟糕，而 wiki 上有一个不错的 AQM 操作指南。Gargoyle 有自己的奇怪 AQM；它们是开源的，并且仍在营业，所以希望他们没有完全搞砸代码。如果您知道自己在寻找什么，我想至少还有另一个好的提供商。

codel不是那么好，但可能更广泛地可用。OpenBSD 支持它，PFSense 有一个支持它的 GUI。

因此，您可以购买一个价格约为 150 美元的盒子，它带有支持设置 AQM 的 GUI。硬件将具有运行此设备的最大速度；我假设您的速度低于 50Mbps，所以这不是问题。它还可以支持 11n wifi（最新的 11ac 不是开源友好的），这很有用（请参阅下一个要求）。

昂贵的商业品牌设备（即思科商业产品和同等产品）声称具有 AQM 功能，但我认为思科设备需要专家来配置。这是一项相当特殊的技能；我认为这也会限制您可以让谁来长期维护/支持网络。

基本上，我没有亲身体验过带有用于设置 AQM 的 GUI 的商务级设备。我知道它会存在的。我无法描述如何将其与廉价路由器（例如 AQM 实现拙劣的廉价 Linux 路由器）区分开来。

限速可能是解决方案的一部分。（减少互联网连接膨胀目前涉及将速率限制在一定范围内）。但是，我不相信仅通过限速就能解决您的问题。而且您似乎有三个或更多的租户。如果您将互联网速率除以四，当我想下载一个大文件并且没有其他人在使用互联网时，最终的速率将比必要的速率低得多。这对于上传速率尤其明显，因为在大多数情况下，它已经非常低了。

实施 AQM 后，如果如果您使用的服务需要特定数量的带宽，那么考虑为自己保留这些带宽是合理的。（即限制访客网络总体上的总保留量）。实际上，这涉及视频或高清视频。

理想情况下，当您的网络空闲时，您可以允许访客使用该带宽。这是完全可能的，例如在 Linuxhtb排队规则中，但这是专业管理员的技能。我不认为该功能可以在 GUI 中使用。

不幸的是，我认为仅使用 OpenWrt GUI 无法实现该保留；它需要两个盒子以菊花链方式连接。您无法设置涵盖多个网络的单一速率限制。但如果所有来宾网络都聚合在第二个盒子后面，那么它就可以轻松工作。我强烈推荐 OpenWrt 的 fq_codel。希望使用可以fq_codel解决几乎所有与负载相关的问题，并且通过更好地控制网络来防止完全中断（见下文）。

看看你是否能提供一个良好的无线网络，

至少对于大量房间来说是这样。每个人都想要无线。每个人都想使用这些供不应求的许可无线电频率。当你在一个小空间里有很多无线网络时，它们往往会相互干扰和降低质量。

您现在负责隔离租户的无线，因为他们不能使用自己的路由器来提供隔离:(。

隔离网络

是个好主意，只是引入了另一组约束。请注意，以太网的另一个名称是故障域。隔离网络意味着当租户 1 不恰当地将路由器的 LAN 端口（而不是 WAN 端口）插入墙上的 LAN 端口时……或者插入带有从一个端口到另一个端口的电缆的交换机时……他们不会破坏房子里其他人的网络！

面向未来的假设是，人们拥有无线打印机和类似笔记本电脑的设备，真的也不喜欢电线。在这种情况下，您无法使用咖啡馆风格的“无线隔离”功能（以有线“端口隔离”命名）来帮助将每个设备彼此隔离 :(。

现在每个租户必须使用不同的无线密码。

最不受约束的设计可能是完全摆脱有线网络端口；人们总是可以为他们的计算机购买便宜的 USB 无线适配器。（从技术上讲，它回答了你的问题：他们没有地方插入路由器 :) 有线端口的问题在于隔离它们需要托管交换机。这些比非托管交换机贵得多。OpenWRT 可以用作托管有线交换机如果硬件支持它（VLAN支持）；但是OpenWRT设备往往只有4个LAN端口。

OpenWRT 有一些隔离无线网络的说明 - 作为单身的为客人提供网络。……这可能是你最终在实践中走的弯路，说实话这对你的租户安全不利，但这与你当前网络的情况非常相似。否则，你必须进行实验，或者找一个在隔离网络方面有一定经验的人。设置是在 GUI 中，不是也很丑，我喜欢这些说明，只是这被认为是企业网络，而不是家庭网络。

您必须勘察房屋以确定是否需要多个无线接入点。添加辅助接入点是可行的，尽管这会增加复杂性。唯一的限制是您必须考虑是否需要一个由中央控制器管理 AP 的集成解决方案。Ubiqiti 就是一个例子。

多个 AP 的复杂性与隔离有关。我建议使用第 2 层以太网 VLAN 通过一条线路多路复用多个无线网络，然后所有第 3 层 IP 防火墙规则、DHCP 服务器等都可以放在一个中央路由器上。我思考您可以使用非管理型交换机来扩展无线接入点可用的端口数量（或者，如果您只需要 4 个端口，则硬件（例如 OpenWrt）不需要专门支持 VLAN，只需要软件）。

随机选择的人会更喜欢无线。显然，您的租户中至少有一个人使用无线。问题是您的租户是否已经习惯了有线网络……一个典型的例子是“网络硬盘”。最终，他们可能不得不为成为更不寻常的用户付出代价。

Answer

专业人士会对你有所帮助。这是一个可能的设计，这也许可以解释我为什么这么说。曾经做过这件事的人更懂得从必要性或预算的角度来偷工减料。

在路由器上实现 AQM（全部设备）

这可以防止使用过程中的延迟（又称缓冲区膨胀）。这是一个普遍存在的问题，它可能会导致严重的甚至完全的性能下降，正如您所描述的那样。单租户网络没有这个问题：如果我使自己的网络对于我正在做的事情来说太过延迟，那么我可以取消导致这种情况的后台下载/上传，或者找到一种方法来限制它的速率。

检查网络负载下的延迟非常容易：http://www.dslreports.com/speedtest

负载下延迟增加的常见目标是 100 毫秒（0.1 秒）。在慢速 DSL 线路上，最先进的平均延迟很容易达到 50 毫秒。因此，100 毫秒并不完美，但对于网页浏览来说，这是可以接受的，并且对缓冲区膨胀进行任何控制都应该让您领先于竞争对手 :)。

显然，这是一个持续存在的问题，这意味着您不能相信标有 AQM 的复选框实际上可以正常工作（我们在实践中已经看到了这一点）。或者最有可能的是，营销人员一开始就没有将其描述为 AQM。

需要注意的廉价“品牌”是开源fq_codel。如果某个产品确实实现了这一点，那么它可能知道自己在做什么。它不是独家的；任何构建廉价 Linux 路由器的人都可以启用它。有 OpenWrt 路由器，可以使用 GUI 进行配置，还有 Ubiquiti（仅限美国的中间业务提供商）。如果你可以购买预装 OpenWrt 的路由器，GUI 就不是也很糟糕，而 wiki 上有一个不错的 AQM 操作指南。Gargoyle 有自己的奇怪 AQM；它们是开源的，并且仍在营业，所以希望他们没有完全搞砸代码。如果您知道自己在寻找什么，我想至少还有另一个好的提供商。

codel不是那么好，但可能更广泛地可用。OpenBSD 支持它，PFSense 有一个支持它的 GUI。

因此，您可以购买一个价格约为 150 美元的盒子，它带有支持设置 AQM 的 GUI。硬件将具有运行此设备的最大速度；我假设您的速度低于 50Mbps，所以这不是问题。它还可以支持 11n wifi（最新的 11ac 不是开源友好的），这很有用（请参阅下一个要求）。

昂贵的商业品牌设备（即思科商业产品和同等产品）声称具有 AQM 功能，但我认为思科设备需要专家来配置。这是一项相当特殊的技能；我认为这也会限制您可以让谁来长期维护/支持网络。

基本上，我没有亲身体验过带有用于设置 AQM 的 GUI 的商务级设备。我知道它会存在的。我无法描述如何将其与廉价路由器（例如 AQM 实现拙劣的廉价 Linux 路由器）区分开来。

限速可能是解决方案的一部分。（减少互联网连接膨胀目前涉及将速率限制在一定范围内）。但是，我不相信仅通过限速就能解决您的问题。而且您似乎有三个或更多的租户。如果您将互联网速率除以四，当我想下载一个大文件并且没有其他人在使用互联网时，最终的速率将比必要的速率低得多。这对于上传速率尤其明显，因为在大多数情况下，它已经非常低了。

实施 AQM 后，如果如果您使用的服务需要特定数量的带宽，那么考虑为自己保留这些带宽是合理的。（即限制访客网络总体上的总保留量）。实际上，这涉及视频或高清视频。

理想情况下，当您的网络空闲时，您可以允许访客使用该带宽。这是完全可能的，例如在 Linuxhtb排队规则中，但这是专业管理员的技能。我不认为该功能可以在 GUI 中使用。

不幸的是，我认为仅使用 OpenWrt GUI 无法实现该保留；它需要两个盒子以菊花链方式连接。您无法设置涵盖多个网络的单一速率限制。但如果所有来宾网络都聚合在第二个盒子后面，那么它就可以轻松工作。我强烈推荐 OpenWrt 的 fq_codel。希望使用可以fq_codel解决几乎所有与负载相关的问题，并且通过更好地控制网络来防止完全中断（见下文）。

看看你是否能提供一个良好的无线网络，

至少对于大量房间来说是这样。每个人都想要无线。每个人都想使用这些供不应求的许可无线电频率。当你在一个小空间里有很多无线网络时，它们往往会相互干扰和降低质量。

您现在负责隔离租户的无线，因为他们不能使用自己的路由器来提供隔离:(。

隔离网络

是个好主意，只是引入了另一组约束。请注意，以太网的另一个名称是故障域。隔离网络意味着当租户 1 不恰当地将路由器的 LAN 端口（而不是 WAN 端口）插入墙上的 LAN 端口时……或者插入带有从一个端口到另一个端口的电缆的交换机时……他们不会破坏房子里其他人的网络！

面向未来的假设是，人们拥有无线打印机和类似笔记本电脑的设备，真的也不喜欢电线。在这种情况下，您无法使用咖啡馆风格的“无线隔离”功能（以有线“端口隔离”命名）来帮助将每个设备彼此隔离 :(。

现在每个租户必须使用不同的无线密码。

最不受约束的设计可能是完全摆脱有线网络端口；人们总是可以为他们的计算机购买便宜的 USB 无线适配器。（从技术上讲，它回答了你的问题：他们没有地方插入路由器 :) 有线端口的问题在于隔离它们需要托管交换机。这些比非托管交换机贵得多。OpenWRT 可以用作托管有线交换机如果硬件支持它（VLAN支持）；但是OpenWRT设备往往只有4个LAN端口。

OpenWRT 有一些隔离无线网络的说明 - 作为单身的为客人提供网络。……这可能是你最终在实践中走的弯路，说实话这对你的租户安全不利，但这与你当前网络的情况非常相似。否则，你必须进行实验，或者找一个在隔离网络方面有一定经验的人。设置是在 GUI 中，不是也很丑，我喜欢这些说明，只是这被认为是企业网络，而不是家庭网络。

您必须勘察房屋以确定是否需要多个无线接入点。添加辅助接入点是可行的，尽管这会增加复杂性。唯一的限制是您必须考虑是否需要一个由中央控制器管理 AP 的集成解决方案。Ubiqiti 就是一个例子。

多个 AP 的复杂性与隔离有关。我建议使用第 2 层以太网 VLAN 通过一条线路多路复用多个无线网络，然后所有第 3 层 IP 防火墙规则、DHCP 服务器等都可以放在一个中央路由器上。我思考您可以使用非管理型交换机来扩展无线接入点可用的端口数量（或者，如果您只需要 4 个端口，则硬件（例如 OpenWrt）不需要专门支持 VLAN，只需要软件）。

随机选择的人会更喜欢无线。显然，您的租户中至少有一个人使用无线。问题是您的租户是否已经习惯了有线网络……一个典型的例子是“网络硬盘”。最终，他们可能不得不为成为更不寻常的用户付出代价。

阻止我的网络中的辅助路由器

答案1

答案2

在路由器上实现 AQM（全部设备）

看看你是否能提供一个良好的无线网络，

隔离网络

相关内容