家用网络拓扑

接入设备

• 电信OUN认证设备 *2
• 移动OUN认证设备 *1
• 华为USG6330
• 华三MSR36-20
• 华为S5700
• H3CS5020

拓扑思路

由于是小区户型接入，上联OLT设备，所以运营商给了OUN认证设备，电信动态为普通家宽，另外两条专线光猫默认桥接模式。

• 网关接入

电信动态公网桥接到华三路由器使用PPPOE拨号模式，两条专线直接接入华为防火墙，华三路由器直连华为防火墙。

• 内网接入

华为防火墙两个接口做聚合接入华为交换机，华为交换机两根线接入华三二层交换机做一个主备容灾，两台交换机开启STP(聚合对接失败，备用方案)，网关以及DHCP服务器在防火墙上，设备之间对接全程使用静态路由。

网关配置

• 基础的接入配置，PPPOE拨号，静态地址配置，NAT策略配置，DHCP服务器配置。
• 双向nat策略，用于内网环境可以访问当前的公网IP+端口
• 负载策略：配置出口优先级，动态最优，其次是专线，不多占用专线的资源
• 基于负载策略做容灾：配置健康检查，线路丢包率达到20%判定为链路down，自动切换别的线路
• 策略路由：单独指定内网某台设备使用某条线路，或者指定访问某个IP/端口走某条线路(基于五元组的策略路由)
• 安全策略：更多的还是基于自己的理解和需求去做，支持七元组，我个人比较喜欢屏蔽海外对我的访问，可以解决大部分攻击问题
• 防火墙的license是可以试用两个月的，拉取一下最新的文件就行，特别是ISP，地区库和应用特征库是免费更新的

选择这套拓扑/设备的理由

• 统一的执行标准，非常完善的官方文档，官方长期的一个更新支持

为什么不用软路由？

这是我被问到的最多的一个问题，是的，无论是软路由还是硬路由都是遵循RFC的标准进行研发的，软路由因为可以自主DIY所以可玩性比硬路由高很多；但是软路由的稳定性有待考究，其次我工作的原因，对这些设备和执行标准会比较熟悉，基于以上设备产生的网络故障我可以快速进行定位。所以，选什么设备终究还是看自己的习惯，爱折腾的朋友基本上都是软路由，对我来说稳定大于一切，所以我选择更稳定的方案。