Chào mọi người, có sự kiện vui nên mình xin phép viết bài chia sẻ mô hình mạng của gia đình mình. Mục tiêu của mình khi xây dựng hệ thống này là giá rẻ, ổn định, tích hợp hầu hết các nhu cầu từ cơ bản đến nâng cao đáp ứng cho nhu cầu khó tính của mình. Hệ thống này đã sử dụng và nâng cấp nhiều lần trong vòng vài năm nên được tích lũy khá nhiều tiêu chí đáp ứng thói quen phần lớn các gia đình. Mình xin phép được chia sẻ một số điểm phục vụ nhu cầu cơ bản trước, nếu mọi người hứng thú mình sẽ viết tiếp các tính năng cao cấp hơn.
Trước hết mình xin trả lời nhanh mấy câu hỏi của mod để mọi người hiểu trường phái mình theo trước khi đọc chi tiết:
+ Bạn dùng router mạng gì? vì sao? review về nó.
Sử dụng modem gpon đã bridge và Pfsense firewall để quản lý toàn bộ mạng gia đình, 2 access point openwrt để roaming giữa các tầng.
Bởi vì nó ngon, bổ, rẻ...
+ Thiết lập mạng nhà bạn có gì đặc biệt không? Vì sao?
Trước hết mình xin trả lời nhanh mấy câu hỏi của mod để mọi người hiểu trường phái mình theo trước khi đọc chi tiết:
+ Bạn dùng router mạng gì? vì sao? review về nó.
Sử dụng modem gpon đã bridge và Pfsense firewall để quản lý toàn bộ mạng gia đình, 2 access point openwrt để roaming giữa các tầng.
Bởi vì nó ngon, bổ, rẻ...
+ Thiết lập mạng nhà bạn có gì đặc biệt không? Vì sao?
Rất đặc biệt và dễ triển khai bởi vì cần đáp ứng nhu cầu hiệu năng cao nhất, bảo mật tốt nhất, sóng sánh ổn định nhất ở mọi ngõ ngách
+ Bạn có dùng repeater không? Hiệu gì? Lý do và review.
Không, cơ chế của repeater chỉ làm ảo vạch sóng, không có giá trị khi cần băng thông lớn
+ Bạn có dùng wifi mesh? Vì sao? Hiệu quả không? Model gì?
Không, vì mesh không khác repeater bao nhiêu, các node phải share băng thông với thiệt bị và suy hao sóng giữa các node ở khoảng cách xa cũng rất cao. Công nghệ mesh cho dân dụng chưa đến mức đáng tin cậy
OK, bắt đầu đi vào chi tiết, mọi câu hỏi các bạn để lại comment phía dưới cho mình nhé
1. Giới thiệu mô hình và thiết bị
Trước hết khái quát sơ về mô hình vật lý:
Quảng cáo
Các thiết bị sử dụng:
- iGate GW040: Modem quang nhà mạng thiết lập ở chế độ bridge, tắt hết các chức năng có sẵn.
- Pfsense firewall: Build từ mini PC, chip intel j1900, ram 4Gb, SSD 16gb
- Quay PPPOE, cung cấp địa chỉ IP chịu tải toàn bộ lưu lượng mạng
- Chia ra các khu vực mạng riêng ảo(VLAN) và phân quyền, băng thông cho từng mạng.
- Cung cấp DNS server để gán mỗi thiết bị gia đình thành 1 tên riêng để có thể truy cập bằng tên thay vì địa chỉ IP.
- Cung cấp dịch vụ captive portal cho phép mạng wifi khách có thể truy cập miễn phí không cần mật khẩu. Giới hạn tài nguyên sử dụng, giới hạn thời gian sử dụng, hiển thì màn hình quảng cáo hoặc giới thiệu.
- Theo dõi, phân tích lưu lượng mạng, chặn một số dịch vụ ở máy của con cái.
- 2 Access Point(openwrt): Phát wifi cho toàn bộ gia đình và các thiết bị sử dụng, sử dụng roaming để chuyển đổi nhanh vùng sóng
- Xiaomi Pro: Băng thông 2600Mbps(a/b/g/n/ac)
- Zbt WG3526: Băng thông 1200Mbps(a/b/g/n/ac)
- Các sóng wifi(SSID):
- Home: Dành cho thành viên gia đình, có roaming
- iOT: Dành cho thiết bị iot
- Guest: Dành cho khách
- Switch Cisco: Phân luồng cho dữ liệu, tạo đường trunk cho thiết bị có Vlan như 2AP ở trên, cung cấp nguồn POE cho camera, cung cấp link aggregation để gộp băng thông nhiều cổng từ NAS
- IOT server: Cài đặt Home Assistant, điều khiển các thiết bị gia đình tự động trên mini pc
- Nas: Lưu trữ dữ liệu ảnh, video từ các điện thoại thành viên gia đình, download và chứa phim để có thể stream sang xem trên các thiết bị khác.
2. Giới thiệu giải pháp
- Tổ chức mạng riêng ảo(VLAN)
Các nhóm mạng được đánh số như sau, số trong ngoặc là VLAN ID:
- Admin(1): Sử dụng để quản lý, xử lý sự cố hệ thống
- Nhóm này toàn quyền truy cập hệ thống
- Home(11): Sử dụng cho các thiết bị cá nhân các thành viên gia đình như phone, ipad, desktop, laptop
- Nhóm này toàn quyền truy cập đến tất cả các nhóm còn lại, được truy cập đến các thiết bị cùng nhóm, full băng thông internet
- IOT(33): Sử dụng cho các thiết bị thông minh, thiết bị dùng chung gia đình như tivi, nồi cơm, công tắc, bóng đèn...
- Nhóm này không được phép kết nối đến bất kỳ nhóm nào khác, chỉ được phép kết nối với nhau và kết nối với internet.
- VPN(44): Nhóm này dùng cho các thiết bị sử dụng vpn từ bên ngoài
- Guest(55): Sử dụng cho khách
- Phải đăng nhập không cần mật khẩu bằng cách nhấn nút login trên web, giới hạn sử dụng liên tục 2 ngày phải đăng nhập lại, các thiết bị cùng nhóm không nhìn thấy nhau, không có quyền truy cập đến bất kỳ thiết bị nào chỉ được ra internet, giới hạn băng thông 5mbps.
Quảng cáo
2. Tổ chức tên wifi
2 thiết bị wifi đều sử dụng firmware openwrt nên có các tính năng rất cao câp để tùy biến cho từng hoàn cảnh riêng biệtCác access point phát đồng thời 3 SSID có tên là Home, Iot, Guest. Mỗi tên gắn vào 1 VLAN cùng tên ở mục trên.
- Home: Băng tần 5Ghz ở cả 2AP, cấu hình roaming để thiết bị có thể di chuyển quanh nhà tự động sử dụng AP gần nhất mà không bị gián đoạn, tốc độ luôn ổn định và cao nhất.
- Iot: Dùng băng tần 2.4Ghz vì các thiết bị iot đều sử dụng băng tần này, ưu điểm là phát xa.
- Guest: Phát băng tần 5Ghz/2.4Ghz, bật tính năng isolate. Ưu điểm là khách đến nhà thì băng thông sử dụng cao, khách ở ngoài nhà thì sử dụng băng thông thấp
- DHCP: ip của thiết bị cuối được cung cấp và quản lý tập trung tại router pfsense
- DNS: Mỗi thiết bị quan trọng trong gia đình như server, nas, camera để được cấp phát domain cố định sử dụng nội bộ. Việc truy cập đến thiết bị dễ dàng qua tên riêng mà không cần địa chỉ
- Captive Portal: Quản lý khách dùng mà không cần thiết lập mật khẩu wifi, hiện quảng cáo cho khách đến xem hàng, quản lý lưu lượng…
- DDNS: Sử dụng tên miền gán cho IP public của gia đình, có thể truy cập ở bất cứ đâu trên internet
- VPN: Có thể quản lý các thiết bị gia đình ở bất kỳ đâu, tạo đường ống an toàn khi sử dụng thiết bị cá nhân ở nơi công cộng.
Ưu điểm:
- Hệ thống quản lý tập trung.
- Các thiệt bị sử dụng broadcast như google home vẫn cast bình thường mặc dù khác lớp mạng
- Có hết các tính năng cao cấp của doanh nghiệp vừa.
- Mặc dù vị trí thiết bị có thể xa nhau nhưng vẫn thuộc cùng nhóm mạng cần thiết, tối ưu cho lưu lượng, tốc độ khi truy cập NAS(tính năng VLAN)
- Truy cập thiết bị gia đình thông qua domain tự tạo(local DNS server)
- Chặn các trang web không lành mạnh trên máy con cái(tính năng pfsense)
- Tách nhóm mạng để quản lý chặt chẽ quyền và lưu lượng sử dụng hiệu quả.
- Có khả năng roaming, sóng phủ khắp cả nhà, di chuyển khắp nơi đều không bị gián đoạn(802.11r).
- Tốc độ mạng thiết bị cá nhân luôn đạt tối đa ở mọi vị trí.
- Mở rộng tầm phát sóng dễ dàng bằng cách mua thêm AP openwrt rẻ tiền, cấu hình mạng giống AP đang sử dụng và cắm vào là xong.
- Cấp nguồn POE cho camera, link aggregation tăng băng thông cho NAS(mình dùng 2Gbps).
- Dùng 1 dây mạng có thể mang 4 mạng ảo để phân phối khắp cả nhà qua wifi.
- Giá thành tốt so với tính năng nhận được
- Hệ thống sử dụng ổn định, chắc chắn ổn định và tốc độ cao hơn nhiều hệ thống mesh cùng tầm giá
- Có thể chịu tải hơn 500 thiết bị(chưa test).
- Khó cài đặt cho người không biết kỹ thuật
- Hơi tốn điện xíu: Khoảng 30-50k mỗi tháng
- ~6.000.000đ(không tính thiết bị server và nas)
- Giá đó quá rẻ cho hệ thống đầy đủ chức năng và hiệu năng của một công ty tầm trung