tplink omada wifi网络分享
本帖最后由 summerq 于 2024-2-24 03:35 编辑最近论坛有朋友对tplink在海外销售的ap ac wifi系统omada感兴趣,因此我特地分享一下。这次照片随便拍了几张,就不发原创区了。
首先,两张图说明最终效果
家里两条宽带,万兆上下对等以及另一个千兆上下对等
wifi6支持160MHz,实际测试能跑到1600-1900mbps
0. 硬件配置
wifi ac:omada oc200,这是ac控制器,带两个百兆网口,usbc供电
wifi路由器: tplink tl-er8411。此路由器带两个万兆SFP+接口,一个千兆SFP接口,8个千兆电口,以及两个usb接口,可以支持usb 4g模块作为备用wan
核心路由器: tl-sx3206hpp。此路由器带两个万兆SFP+光口,4个万兆PoE++电口,支持三层管理,也支持omada ac控制器管理
ap:
EAP650 outdoor x 1,千兆PoE接口,支持wifi6 160MHz,IP67防水,天线为2t2r,支持16个ssid,支持vlan
EAP670 x 4,2.5g PoE接口,支持wifi6 160MHz,天线为4t4r,支持16个ssid,支持vlan
旁路由: Lenovo P340 TINY,i9-10900T 10核,64G DDR4,Mellanox connectx-4 25G 双口网卡,存储方面有一个三星2TB 870 EVO, 一个intel optane p1600x做启动盘,以及一个intel 760p nvme做高速存储
1. 弱电箱以及安装环境
我家有五层,包括地下一层,地上四层。弱电箱在地下室,楼上每层一个EAP670 AP做wifi覆盖
弱电箱在中间,出入门在左边,右边是电梯。因为此位置两边都有门,没办法放机柜,只能把所有设备放在弱电箱里。
新加坡的弱电箱非常浅,放不了太厚的设备
左上是EAP670 outdoor,它的wifi能覆盖整个地下室以及门口的一部份区域。
右边中间是p340 tiny,我用支架竖起来,因为深度太浅了。p340通过DAC线连到核心路由器的万兆SFP+接口上。
下面一排是光猫。左边是诺基亚万兆猫,带一个万兆电口,三个千兆电口,以及二个ip电话接口。右边是华为千兆光猫,带四个千兆电口。
在下面一排里面是主路由器ER8411,外面是万兆交换机SX3206HPP。最右边是AC控制器oc200。主路由与万兆交换机通过万兆DAC连接。不用电口,还能减少发热。
最下面左边是EAP650 outdoor的PoE电源。因为这个设备是千兆,因此我直接把它接在ER8411的千兆电口上。
客厅由于层高太高,且房顶没有布线,因此我就得另外找地方安装AP。
最终把AP藏在右边酒柜上面的画后面。
AP型号是EAP670,体积巨大,直径24cm,好处是发热很低,信号非常非常强,而且天线是4t4r。支架是淘宝上买的茶叶饼支架,正好放这个ap。
楼上一共四层,每层都有一个AP,以及一个茶叶饼支架[恶魔] 图我就不放了
1. omada ac控制器的一些细节说明
网上对omada的测评很少,也缺乏一些比较重要的细节描述,因此我就把比较关键和有特色的一些功能写下来
首先omada对wan口的配置很灵活,每一个接口都可以选择作为wan或者lan接口。我的两条宽带一个是万兆,一个是千兆,因此SFP+就作为万兆wan,千兆的LAN4作为另一个wan接口
支持ddns功能,可以选择不同的wan口
nat端口转发也可以绑定不同的wan口
每一个wan接口可以通过dhcp获得ip,也可以指定另一个额外的ip来访问光猫。但是这个ip需要跟光猫的ip在同一个网段,同时要配置静态路由。
VLAN的设置界面十分友好。这里我配置了三个vlan。家里主要设备均通过默认LAN来上网。
VLAN100设置了分流,去广告与mac绑定,限制孩子上网时间,以及block一些不良网站。
LAN200专门给IOT设备上网,限制次vlan访问其他vlan或者设备。
VLAN300是一个桥接网络,给旁路由里的pfsense使用
具体看一下VLAN100的设置。这里可以配置网关,两个dns,以及子网信息等。重要的一点是,也可以选择路由器上那些LAN口使能这个子网。
对于在某一个子网下面的设备,可以通过ACL来控制行为。譬如说我就设置了三个ip地址,只能走千兆wan。具体的做法是先设置一个策略组,把三个需要管理的ip加进去。
保存后可以看到除了默认的两个策略组之外,最下面是我新添加的
之后在ACL策略中添加管理策略,设置为前面策略组里所有成员只走WAN1
ACL也可以配置VLAN之间禁止互相访问。因为默认是可以互通的。我就把IOT设备与pfsense隔离开。这里要注意的是,omada可以设置访问方向,因此需要两条ACL来禁用两个方向。
wifi的配置是非常简单的。我配置了三个ssid。EAP650和670支持最多16个ssid,每个ssid都可以配置vlan。
第一个用来给不需要分流的设备上网,同时它跟旁路由无关,十分稳定。这里我就没有选择vlan,这样可以管理局域网中的设备
第二个个是IOT设备专用ssid,我只给了2.4g,不需要开放5g给这些设备。
最后一个wifi ssid是带分流的,去广告限制上网等都通过pfsense来做掉。
omada也支持无线调优,但是这里有一个问题,就是5g只支持80mhz,只有6g才能打开160mhz。因此我在自动调优后,还需要手动配置每一个ap,打开160MHz
vxn方面除了ipsec之外,也支持wg,这点我非常喜爱。wg能选择走哪一个wan口,也可以选择所有wan口。防火墙会自动开放端口。
wg可以配置多个peers
2. 旁路由的一些细节,关于pve
我的旁路由是用p340 tiny,系统用proxmox。硬件可以看我以前的贴子。
https://www.chiphell.com/thread-2408241-1-1.html
查看pcie设备信息
运行起来温度很舒服
pve这部分,网上有很多教程,因此我就只将一些比较关键或者值得注意的细节写出来
首先是cpu的选择。10核心20线程是比较好的选择。因为网卡的rss queue是根据核心分配的,因此vm分配8-16核对网络性能来说有正向提高
boost频率可以到4.7g,但是大部分时候待机频率不高,800mhz很节能,很棒。
grub设置很重要,我配置了大页,可以分配连续内存空间给vm,从而提高性能。
网卡是mellanox connectx-4 lx, 25g双SFP+,qnap的卡带散热风扇,温度不高。
关于如何打开sr-iov,方法是写一个脚本,再通过systemd启动时开启。我分配了6个vf
重启后可以看到网卡信息。vf可以作为pcie设备直通给vm
pf可以接入网桥,作为pve的管理端口
虚拟机我有四个实例在运行
两个linux实例都直通了网卡vf,跑一下iperf看看速度
单线程28.9g,已经超过了实际物理接口速度(10G),这说明网卡是内置有switch硬件的
双线程超过了40G,吞吐足够了
3. pfsense分流的具体配置
这部分资料很少,因此我分享一下
pfsense是安装在pve的vm上,版本是pfsense ce 2.7.2.我分配了8核8gb内存。三个网卡。这里需要注意的是,网卡的lan信息是在pve开启sriov的时候就配置过的,这里只要直通到vm,网卡就已经配置好vlan了。对于vm里的操作系统来说,就相当于没有vlan,直接操作即可。这样就用硬件做掉了vlan, 减小了实例中的开销。
pfsense中首先安装pfblockerng,然后在里面填入自己的maxmind序列号。这部分网上有教程,我就不写了。
之后在GeoIP中选择你需要分流的国家,譬如我选择美国作为分流的目标区域,action里面选择match,而不要选择其他任何操作。
配置好后更新pfblockerng,然后在防火墙规则中,LAN里面添加一条规则,匹配所有美国的ip走WAN1,这样其他区域的IP就走wan,从而实现了分流的目标。
这里要注意的是,源地址选择any,目标ip匹配这个输入框中只要输入pfB,下面就自动列出前面配置好的match规则,选择即可。
配置好之后看一下效果,ping测试。到国内速度很棒
3. pve中windows虚拟机的一些心得
我直通了sata控制器,nvme pcie设备,以及通过gvt-g直通虚拟显卡,可以用qsv加速
网卡直通,性能没问题。win server 2022自带smbdirect(smb rdma),跑万兆cpu几乎不动
4. 写在最后,一个小彩蛋
我有一个NTP服务器,型号是NTP250,自带pps同步,PoE供电
具体信息在这里:
https://centerclick.com/ntp/
这个ntp服务器十分小巧,它有一个web'主页可以查看关键信息
授时精度是1us左右,因为它有pps时钟同步,以及温补晶振
运行历史记录
谢谢观赏!
界面还挺好看的 [偷笑] 过分了哦。。。万兆。。。 膜拜大佬 TP海外版的UI这么好看~过分了,在国内搞得不比寨厂好多少,而且功能很简陋。。[困惑] uuyyhhjj 发表于 2024-2-24 03:59
界面还挺好看的
界面设计很简洁 一眼看上去还是不错的。该有的功能也都齐全。其实还有一部分高级功能,比如osfp,vrrp等,我没有用到,也就没写 EAP670对应的国内版本是哪款? 大概在多年之前美亚买过EAP245,wifi5 ac1750,后来更新了omada固件用过一段时间,TP海外公司的设计团队跟国内基本没有关系,不过产品更新没有国内版本快,比如BE5100这种外观好看的AP也没有。另外你这个还是弄个简易机柜吧,鞋柜里放设备及不安全也没有档次 archimedes 发表于 2024-2-24 13:32
EAP670对应的国内版本是哪款?
对应国内的应该是TL-XAP5407GC-PoE/DC易展版 nn1122 发表于 2024-2-24 13:32
大概在多年之前美亚买过EAP245,wifi5 ac1750,后来更新了omada固件用过一段时间,TP海外公司的设计团队跟 ...
机柜我有 目前在顶层书房。大部分时候都在吃灰。需要的时候开一下。你说的安全性倒是非常重要的。过几天我去买个灭火器放旁边… er8411,支持NAT1/FULLCONE么? summerq 发表于 2024-2-24 13:55
对应国内的应该是TL-XAP5407GC-PoE/DC易展版
羡慕帮顶,询问一下新加坡电信运营商是否全部都是iPoe 那边是否已抛弃pppoe pdvc 发表于 2024-2-24 14:56
er8411,支持NAT1/FULLCONE么?
firmware 1.1.0以上就支持 啵妞妞 发表于 2024-2-24 15:03
羡慕帮顶,询问一下新加坡电信运营商是否全部都是iPoe 那边是否已抛弃pppoe ...
pppoe早已被淘汰。这边全部是dhcp获得公网ip 这就叫专业 summerq 发表于 2024-2-24 15:38
pppoe早已被淘汰。这边全部是dhcp获得公网ip
果然遥遥领先 coolbo 发表于 2024-2-24 16:13
果然遥遥领先
我记得大约在2010年,香港就已经是ipoe了。我印象中从来就没有pppoe拨号过。越是小地方,反而越先进。 两个问题带来的帖子,进来拜谢大佬。先回复,再细看学习。 本帖最后由 iget 于 2024-2-25 08:41 编辑
感叹:
1、万兆上下对等+千兆上下对等,拜服;
2、下一层,地上四层的五层大house,拜服;
3、茶叶饼支架好评,原来TP这些碟形天花板类型的也支持桌面安装;
4、对LAN内设备做了去广告+限制孩子上网时间,周到啊!这个我也在用,预计孩子大学前不一定有能力+时间破解这套限制措施。只是在家之外,以及流量情况下还需要另想办法;
5、IOT设备独立vlan好评!
6、“把IOT设备与pfsense隔离开”,“omada可以设置访问方向,因此需要两条ACL来禁用两个方向。”细节好评!!
7、SR-IOV硬件设置VLAN减少VM开销好评。可惜我手里设备不支持,只能再创造机会再试验了;
8、自用NTP叹服,,,时间精度精确到1us,拜服!
疑问:
1、wifi ac:omada oc200。为什么需要这个硬件?我看原帖里说到“ac控制器可以用docker或者开vm debian10装一个。”我的理解这个设备是用来管理和记录日志的,配置好后是可以离线的吧?选用硬件是有什么考虑吗?
2、碟形天线桌面式安装+画遮挡,对信号覆盖有多大影响?对安装位置是否有要求?例如对碟形天线贴墙一侧的信号有衰减吗?是不是要布置在房间偏角落的位置?
3、IOT设备是否再区分多个vlan?比如按照厂商做区隔?我目前没区分,不知您是否考虑过,不确定这样做的收益与缺点都有哪些;
4、“VLAN300是一个桥接网络,给旁路由里的pfsense使用”这里没看懂关系和作用;
5、Server2022是用来做网络共享和转码用的?Windows下安装jellfine?
NTP还是要天线的,是网线POE到室外用这个设备?
6、主路由ER8411和sx3206hpp是啥配置关系?
7、以上提到的是网络内持续开机的设备吧?其他万兆设备是接在交换机上,不是一直开机对吧? summerq 发表于 2024-2-24 20:50
我记得大约在2010年,香港就已经是ipoe了。我印象中从来就没有pppoe拨号过。越是小地方,反而越先进。 ...
没用过ipoe,这协议下家到运营商的联络如何抗旁路攻击? summerq 发表于 2024-2-24 13:56
机柜我有 目前在顶层书房。大部分时候都在吃灰。需要的时候开一下。你说的安全性倒是非常重要的。过几天 ...
不确定他的原意是担心防火安全还是防盗安全,又或者是怕老鼠蟑螂?不过家里是有全屋新风系统吗?敞开式运行散热是好,不会有灰尘积累吗? iget 发表于 2024-2-25 08:01
没用过ipoe,这协议下家到运营商的联络如何抗旁路攻击?
我想大陆没有抛弃pppoe的原因 是因为用户数量级不同 小地方用ipoe没毛病 数量多了就不行,各种问题 pppoe在未来很长时间内都不会被淘汰 iget 发表于 2024-2-25 07:58
感叹:
1、万兆上下对等+千兆上下对等,拜服;
2、下一层,地上四层的五层大house,拜服;
oc200本身是ac控制器,需要一直开机。虚拟机也可以做。不管是硬控制器还是软控制器,功能和性能没区别。
一幅画对无线信号没影响。因为这幅画是纸的水墨画,不是油画,颜料里没有金属。
vlan300是用来给pfsense的一个wan口使用的。因为pfsense要求两个wan不在同一个子网内,那么我就把一个wan设置在lan的子网内,另一个wan用了vlan id 300,用另一个子网。然后再设置其中一个wan走默认的10g线路,另一个走另一条宽带。这样就可以分流了。
iot单独分开主要是隐私考虑。
server 2022是用来做smb和转码。里面有handbrake。
ntp需要有源gps天线。设备在顶层书房。
主路由接核心交换机sx3206hpp,配置是通过omada oc200自动下发的。譬如vlan信息都是通过控制器自动下发。
以上是24小时开机的设备。我还有个机柜,里面有两个nas,一个服务器,一个防火墙和一个12口交换机,主要用来实验一些配置和编译程序。平时作为业余爱好而已。现在兴趣不大了。 iget 发表于 2024-2-25 08:05
不确定他的原意是担心防火安全还是防盗安全,又或者是怕老鼠蟑螂?不过家里是有全屋新风系统吗?敞开式运 ...
吃灰是比喻,是说不使用。新加坡没什么灰尘,但是蚂蚁壁虎蟑螂松鼠等小动物多。 [恶魔]茶叶饼支架放ap到是不错,我是打算下次更新AP就塞电视机后面,但是又担心电视机影响信号
要么到时候把AP贴墙上,主要我的网口位置2个都在电视机后面 bxhaai 发表于 2024-2-25 13:30
茶叶饼支架放ap到是不错,我是打算下次更新AP就塞电视机后面,但是又担心电视机影响信号
要么到时候把AP贴 ...
那还不如用个支架,把ap放在电视机旁边。放后面会挡住信号的。 啵妞妞 发表于 2024-2-25 11:01
我想大陆没有抛弃pppoe的原因 是因为用户数量级不同 小地方用ipoe没毛病 数量多了就不行,各种问题 ppp ...
见解深刻[可爱] summerq 发表于 2024-2-25 12:35
oc200本身是ac控制器,需要一直开机。虚拟机也可以做。不管是硬控制器还是软控制器,功能和性能没区别。
...
TP这些Omada设备的性能参数再研究研究看如何融入我的下一步规划里。
没用过handbrake。个人是把smb、syncthing、docker等服务跑在lxc的alpine里。主打的一个短小精悍省资源。[狂笑] 看到大佬这个放在画后面的AP 又想起了我曾经思考过的一个问题:
为什么没厂商把AP和吸顶灯整合一下呢?
很早以前也看到过什么研究,说是用光波当wifi信号,这么多年过去了怎么还没应用呢。
现代社会哪个年轻人家里要是没个wifi信号简直不可想象,路由器和电灯一样基本算标配了吧。多数人其实还是有点嫌弃长牙五爪的路由器,还得占个地。
可是一般随便装个吸顶AP就会显得突兀,如果不是精心设计风格其实也很难融合。我寻思这个需求还是杠杠的,而且整合以后不但美观,信号覆盖肯定拉满,可惜就是没看到有人做呢?
真要说做的话,其实也不难,初步设想:
最简单的吸顶灯中间一块留空可以塞下AP,另外预留电源接口和走网线的通道,装好AP后,吸顶灯中间部分的盖板一扣,完成
万兆,还是上下对等[流泪]