homelab-network-setup

家庭实验室网络设置

使用此技能设计一个可以增长而无需完全重建的家庭或小型实验室网络。

何时使用

• 规划新家庭网络或重新设计仅 ISP 路由器设置。
• 选择网关、交换机和接入点角色。
• 设计 IP 范围、DHCP 范围、静态保留和 DNS。
• 为未来的 VLAN、Pi-hole、NAS、实验室服务器或 VPN 访问做准备。
• 排除具有双 NAT、不稳定 Wi-Fi 或更改服务器地址的新网络故障。

工作原理

首先分离设备角色：

互联网
  |
调制解调器或 ONT
  |
网关或路由器      NAT、防火墙、DHCP、DNS、VLAN 间路由
  |
托管交换机         有线客户端、AP 上行链路、可选 VLAN 中继
  |
接入点          仅 Wi-Fi；理想情况下有线回程
服务器和 NAS        稳定地址、DNS 名称、监控
客户端和 IoT        DHCP 池，如果 VLAN 可用则隔离

选择与运营商匹配的网关，而不仅仅是功能清单：

选项	最适合	说明
ISP 路由器	仅基本互联网	控制有限，通常 VLAN 支持差
UniFi 网关	托管家庭网络	良好的 UI、生态系统锁定
OPNsense 或 pfSense	灵活的家庭实验室	强大的 VLAN、防火墙、VPN 和 DNS 控制
MikroTik	高级网络用户	功能强大，但容易错误配置
Linux 路由器	爱好者	在用作主网关之前记录回滚

IP 计划

当您期望使用 VPN 时，避免最常见的默认值 192.168.1.0/24。它经常与酒店、办公室和 ISP 路由器冲突。

示例小型家庭实验室计划：

192.168.10.0/24  可信客户端
192.168.20.0/24  IoT 和媒体设备
192.168.30.0/24  服务器和 NAS
192.168.40.0/24  访客 Wi-Fi
192.168.99.0/24  网络管理

网关约定：.1
基础设施保留：.2 至 .49
动态 DHCP 池：.50 至 .240
备用空间：.241 至 .254

对本地名称使用 home.arpa。它专为家庭网络保留，并避免了临时名称（如 home.lan）的泄露/冲突问题。

nas.home.arpa
pihole.home.arpa
gateway.home.arpa
switch-01.home.arpa

DHCP 和 DNS

• 对您 SSH 进入、添加书签、监控或作为服务公开的任何内容使用 DHCP 保留。
• 在有意部署本地解析器之前，将网关作为 DNS 分发。
• 如果使用 Pi-hole 或另一个 DNS 过滤器，首先为其保留地址，然后将 DHCP DNS 选项指向该地址。
• 保持每个子网的小型静态/保留范围，以便替换不会与动态租约冲突。

布线和 Wi-Fi

• 如果可以运行以太网，优先使用有线 AP 回程而非网状。
• 如果预算允许，为 AP 和摄像头使用 PoE 交换机。
• 标记每条电缆的两端并保持简单的端口映射。
• 如果停电常见，将网关、交换机、DNS 服务器和 NAS 放在 UPS 电源上。

示例

初学者升级

目标：保留 ISP 路由器但稳定小型实验室。

1. 为 NAS、Pi 和任何 SSH 主机设置 DHCP 保留。
2. 将本地名称移动到 home.arpa。
3. 在辅助路由器或 AP 上禁用重复的 DHCP 服务器。
4. 有线连接主 AP 而非依赖无线回程。

VLAN 就绪计划

目标：为未来分段做好准备，而无需立即启用。

1. 为可信、IoT、服务器、访客和管理选择非重叠的 /24 范围。
2. 在每个子网上为网关保留 .1，为基础设施保留 .2-.49。
3. 购买支持 VLAN 和 VLAN 间防火墙规则的网关和交换机。
4. 记录哪些 SSID 和交换机端口最终将映射到每个网络。

反模式

• 没有理由或文档的双 NAT。
• 计划 VPN 访问时使用 192.168.1.0/24。
• NAS、Pi-hole、Home Assistant 或其他服务主机的动态地址。
• 重新用作 AP 的消费路由器，同时其 DHCP 服务器仍启用。
• 扁平网络，摄像头、智能插头、笔记本电脑和服务器都共享相同的信任边界。

另见

• 技能：network-interface-health
• 技能：network-config-validation