[论坛教程] 科技强国家用光猫and路由设备全攻略

本来写这篇是为了给ONEMAN IDC 的用户看看,让他们多找找自己的原因,不要怪马桶没吸力。 我一边写,一边屌他们老母(你可以通过这个链接 https://t.me/boostvmservice 近距离欣赏 ONEMAN IDC 三要素 : 放客户鸽子 ,屌客户老母 ,D爆自己客户并清退 。),一不小心,用力过猛,写了8000多字。 写完了硬件怎么挑,不给他们介绍一下路由器系统总觉得又不行,最终写了13000多字,简直比论文还长。
经过了一个多星期的排版和校正,依然有错别字的话,请回帖指出,我会尽快编辑,THX 。

この番組は、ごらんのスポンサーの提供で送りします ~

爆炸实验室 : https://t.me/boomcx
正规群 : https://t.me/zhenggui
Doki Doki 马 Club : 私有群
本文中所有理论姿势,实践经验,测试数据…均为群友共同出品,本人仅负责编写。

鸣谢梨园论坛让本人发表这篇文章,我反复修改尝试了多个国内论坛,得到的结果依然是 :
bbs.png

在教程开始之前,你必须了解一下什么是NAT以及NAT效能 :

https://netsecurity.51cto.com/art/201906/597260.htm

无需了解过多理论,简而言之就是路由器或者光猫WAN⇋LAN转发的性能 。


设备排查篇

国内超过一半的用户,光猫入户后是不接其它设备的,光猫负责路由和无线AP的角色。
因此排查光猫的型号是首要任务 :

情况1 : 光猫可以用超密破解,而且性能比一般路由器还强大,比如华为 HN8245Q , HN8546Q 。通常带 10G PON 模块的ITMS光猫,NAT性能不会比 500块钱以下的无线路由器差 。
目前只要是用 海思 SD5118 作为CPU的光猫,虽然不支持 硬件 NAT 负载加速,NAT转发全CPU硬刚,但是CPU性能足够强大, NAT性能就完全OK 。
如果你得到的光猫不是华为的,那你和这款CPU基本无缘。
无需刷固件, 只要开启 UPNP, 给你的游戏机做个DMZ即可 …
你可以一分钱都不花 。或者再弄个N1盒子 IP设在同一个IP段内,做旁路网关 。

情况2 : 除了用海思 SD5118 和 SD5117芯片以外的一切ITMS家用光猫的NAT性能都非常普通,请果断破解超密改桥接。桥接的意义就是让光猫负责光转电即可,NAT的工作交给性能更强大的路由器。尤其是烽火通信的光猫,为了您的生命安全,最好直接更换成华为光猫。你看这人如其名 Violet EverGarden 就在这图上体现出来了:
fh.png
有部分光猫,虽然是千兆口,改成桥接模式给路由器后,带宽依然跑不满。这是因为大多数光猫的网桥也纯靠CPU硬刚的,而有些CPU弱到连网桥都撑不住。遇到这种情况建议直接更换无脑更换华为 8145V 这个型号。

情况3 : SDN网关的光猫,所有配置都要局端下发 。 这是目前最糟的情况 。
SDN网关应该是为了方便使用,改善体验而生的,然而固件开发的一塌糊涂,也没给力的厂家生产。
比如光猫里的 UPNP 和 DMZ 都是打不开的,别说游戏机,就连部分PC游戏都没办法玩。
解决方法有两种,第一和运营商签协议改桥接模式,然后下行速度会因为固件的关系打折。
第二就是自行购买一个 ITMS光猫,输入LOID,因为你的账户已经切换到 SDN网关上。局端不能自动下发配置。 必须手段创建 Internet配置 。

遇到情况2和3,请务必先从源头解决问题,不能开启桥接模式的情况下负责NAT的永远就是光猫本身,那么后面买路由器的事情根本就不用想了~
有同学问到 : 老湿,我这个光猫查了老半天网上没提供任何破解方法 。
我 : 淘宝买一个能破解的,注意自己是 GPON 还是 EPON 即可 。


大战三百回合后,你总算驯服了光猫 。

接下来的结合自己当前宽带的情况,以及未来可能会发生的变化 。
1000M的宽带全国正在推广中 。 为了国际出口接双网的用户也正在持续增长中 。
因此建议你购买的路由器NAT性能起码能撑得住一条千兆 PPPoe 宽带才行 。
有同学提问 : 我想组 10G局域网方便 NAS传文件 。
我 : 这是Switch的事情,和Router无关 。
10G的事情你大可以先放一下,超五类线在你小さな部屋里是完全没问题的。
等今后RJ45电口10G交换机和网卡价格下来之后再升级 。

买怎样的设备又取决于你愿意花多少精力 :
愿意看800页教程的人,可以上RouterOS,上个PVE装双系统 。
时间对你完全不是问题,觉得玩转各类路由器是一种娱乐项目的人,那可以上二手专业级的 Firewall 。 Juniper Fortinet Sophos Cisco Huawei… 每种都要独立的从头学起。
只想跟着网络教程一次性设置好,不再研究的,建议还是买个能刷Openwrt的无线路由。

Ps : 本篇不谈无线网络相关话题 ,想要速度快威力大,加钱即可达 !


理论姿势篇

先要了解一下Firewall&Router的区别:

https://www.geeksforgeeks.org/difference-between-router-and-firewall/?ref=rp

说白了 Firewall 和 Router 也就是软件功能上的区别 。 Firewall更注重流量识别和控制,是个功能更多的路由器 。
软件配置方式上专业设备基本都是 Zone-Based,物理接口逻辑接口等等一切都要分区。 在配置之前,你要脑补一下自家家里的网络拓扑大概是怎么样子的。
一般性的路由器都是 Rule-Based,想到一条规则就写一条,不讲究规划,目的达到了就好。 家用是完全OK的 …

接下来Choose Your Own Destiny ~

这里我们给路由系统四个评价标准(五颗★最高) :
1 难度系数 : 熟练掌握这套系统的难易程度。
2 稳定性 : 生产模式下修改配置 以及 正常生产模式下的出错概率 。
3 生产力 : 操作速度越快越简便,APM越高的系统得分越高 。
4 穿墙力 : 大家都懂的。

首先是特别符合国情&简单易上手的系统 :

OpenWRT&CentOS&Debian&Ubuntu :
女汉子都会刷的OpenWRT。 CLI界面的话实际上就是在操作Linux,类似于debian的操作 。 opkg库里简直是你想要的 100样东西都有 。
关键是有 Web界面,然后可以看的网络教程多 。
ASUS&Netgear&Linksys 的无线路由玩的就是刷刷刷,你随便怎么刷都不可能把RouterOS刷进去的 …Openwrt 使用 OpenClash 就是你的宿命。 适合不爱折腾的人。
我们把常用的Linux类操作系统放在同一类里,区别就是鼠标点和键盘打 。

难度系数 : ★★
稳定性 : ★★☆
生产力 : ★★☆
穿墙力 : ★★★★★

Mikrotik / RouterOS :
使用前无比看余松老师写的 : RouterOS入门到精通 。 避免走弯路,800页的教程,关于NAT部分的设定一定要全部看完 。
上手难度3颗星,之后的使用难度简直是毫无,Mikrotik的Winbox是地球上最简单的路由管理软件。 同样基于 Linux, NAT表实际上就是iptables的另一种形式 。
比起NGFW大佬们复杂的Zone-Based配置方式,RouterOS 是一个间于 Zone-based 与 Rule-Based 之间的狂乱流派。
他可以通过 Interface List,Address List 这种配置方法达到和 Zone 差不多的目的 。
一切功能均可以通过 GUI操作界面进行配置,简直就是手残党的救星 。
最重要的是他是目前最适合中国国情的系统 。 比如各类隧道和VPN对端地址都可以用 DDNS自动解析。 还可以用简易脚本更新不同Interface的IP地址 。
直接购买 Mikrotik 的设备会根据产品定位赠送不同级别的 RouterOS 授权。
没错, 就这个系统要授权,没有任何DLC需要付费 。
那么自行安装 X86 或 CHR版 的RouterOS 正版授权大概是 160元左右 (P1/L4 1G总带宽)
Mikrotik 自家的路由仅推荐 : RB750GR3,hap AC2,RB4011,CCR2004 。 剩余都是高价低能的产品。

难度系数 : ★★★
稳定性 : ★★★
生产力 : ★★★★★
穿墙力 : ★★★★

Pfsense :
基于FreeBSD 开发的免费开源Firewall 。 Youtube上美国人民发了很多教程 。 Web界面可以配置OSPF和BGP …他的功能上是一点都不输给 RouterOS。
然而用起来略复杂 。 插件中心里面你们想要的功能 …是不存在的 。
适合不想安装破解版RouterOS 或者 不想花钱买RouterOS 授权的人体验 。
这个系统推荐用来做 X86_64 路由平台的主路由,Openwrt做旁路 。

难度系数 : ★★☆
稳定性 : ★★★
生产力 : ★★☆
穿墙力 : ★★★

爱快 :
简单好用,然而中国人对国内网络设备/软体厂商的信任度是不存在的 …每家都有黑历史 。
比如说后台挖矿之类的,说不定后台还在查水表- -!!
难度系数 : ★☆
稳定性 : ★★
生产力 : ★★
穿墙力 : ★★★

Ubnt EdgeOS(Vyos):
他的Router和Firewall就是一坨屎。 Vyos与JUNOS是幸福的一家,但是Vyos可不是commit到天亮,直接commit到爆,你不拔电源他还真启不来。
Edgemax系列Web界面同样烂到爆。硬件性能也不如同价位 Mikrotik产品 。
我曾经有一台 ERLite-3 心态崩溃,差点从 14楼飞出去 。
然而他家的无线AP和POE SWITCH到是非常好用。因此推荐购买的Mikrotik路由来搭配。

难度系数 : ★★★☆
稳定性 : ★★
生产力 : ☆
穿墙力 : ★


常见企业级 Firewall介绍 :

5.png

有很多二手淘汰下来的专业 Firewall 那是价格又便宜性能又爆表。
愉快的挑选老古董的技巧 :
1 购买前必须搞清这台机器License限制的功能有哪些。
2 认真阅读Datasheet,性能参数要看。各类硬件offloading,各类隧道协议是否支持要考虑。体积和功耗也非常重要,一不小心就买了台压路机回来。
3 看生产年份,超过10年的除了CISCO的高端设备其它一律不要。
4 产品是否已经 End of support,这决定了操作系统是否支持最新版本 。
5 二手产品中是否已经含有 License,以及卖家是否能提供初始化配置的技术支持 。
6 国内的家庭宽带都采用的是PPPoe拨号,部分专业Firewall不支持PPPoe 硬件加速,全靠CPU硬刚,那么性能就非常可怜了。

以下厂家采用订阅制,按年付费的 License,提供各种软件特征数据库,病毒数据库的实时更新 。

Palo Alto (派拓网络) / PanOS :
他的数据识别功能简直是天下第一,他的主要功能是用来查水表 。
个人使用毫无必要,企业里或者IDC要做管控的那就合适了。
二手的巨无霸 PA-5050 还是挺有性价比的 。 美国Ebay就卖 200刀 。国内3500的样子 。

https://www.paloaltonetworks.com/apps/pan/public/downloadResource?pagePath=/content/pan/en_US/resources/datasheets/pa-5000-series-specsheet

小的机器看都别看,毫无C/P。
别以为 5050买了之后就能愉快的使用了,按年付款的"DLC"就出现了:

https://docs.paloaltonetworks.com/pan-os/8-1/pan-os-admin/getting-started/activate-licenses-and-subscriptions.html

这一套下来年付1000美元不止 。 不用"DLC"则失去了使用 Palo Alto设备的意义 。
总体来说不推荐在国内使用,尤其是家用 。

难度系数 : ★★★☆
稳定性 : ★★★★★
生产力 : ★★★☆
穿墙力 : ★★★

Fortinet (飞塔) / Fortigate :
和楼上一样配置方式都是Zone-Based,甚至可以通过脚本转换互相直接导入配置 。
飞塔的二手设备性价比很高 。 不订阅 License的情况下,所有的基础功能包括 Ipsec 和 SSL 隧道都是可以用的 。
推荐型号 : 60E 。
60E 全新价格在 3900元左右,二手价格在 1000-1500之间。
60E能支持到最新的系统,而且他能配合 Fortiap的E系列做无缝漫游。

难度系数 : ★★★
稳定性 : ★★★★
生产力 : ★★★☆
穿墙力 : ★★★

Sophos / XG Firewall :
实际上是老牌的网络安全产品企业 。只不过这发展速度比较慢,当人家都升级成拆包一次能分析多种数据的 NGFW防火墙引擎时,他们公司还在做传统的UTM防火墙 …
好不容易NGFW 做出来了 …楼上两家已经全部支持 Intel DPDK了,那性能是快到恐怖 。 Sophos这里是一点消息都没有 ~
然而 …
最关键的是: NGFW产品"XG Firewall 家庭版"完全免费 …完全免费…完全免费 … 开放除了病毒程序提前识别(SandStrom)外的一切功能 。
注册Sophos 账号后就可以下载到 X86_64 实体机版和虚拟机版 。
这个蜜汁操作一下子让 Sophos 成为了 最最最亲民的专业级防火墙厂商,没有之一 。

难度系数 : ★★★
稳定性 : ★★★★
生产力 : ★★★☆
穿墙力 : ★★★

顺便一提的是这三家防火墙用来查水表非常强力,还有通过自签证书来解密https流量的功能。说不定2021年的机场,为了存活,会要求用户强制导入机场的自签证书到浏览器才允许访问 https网站。有兴趣学习一下的可以观看 :

这项功能甚至可以屏蔽机场厂长不喜欢的Youtube频道。比如发布哥,金水神技能 ,AK电丸科技,左罗TV… 册那娘のB一瞬屏蔽掉 。只给用于看神楽めあ和角巻わため。具体不详解 :
sophos.jpg


以下厂家就更过分了,很多基础组网功能都要购买一次性付费DLC开通 。

CISCO (DISCO) / iOS :
部分型号 PPPoe 都需要"付费DLC" 。 经济条件特别好的可以考虑玩 ASR1002 。
9ee71720cb22d8b58de30c516af640e7.png
那么经济条件不是很好的可以玩 ASA5550 。 这个系列有 ASDM 这款相当于Mikrotik Winbox的软件,入们难度大大降低。
不过思科的CLI操作是最经典的。 不喜欢用模拟器的话,那么用ASA来学习一下非常合适。

难度系数 : ★★★★★
稳定性 : ★★★★★
生产力 : ★☆
穿墙力 : ★★★★

HuaWei (996) :
我最喜欢华为的光猫,因为烽火通讯大家都懂的…
Anyway,华为还是有一款AR6120-S推荐购买 :

https://www.router-switch.com/pdf/ar6120-datasheet.pdf

淘宝全新的只卖2000块钱 。 顺便一提这个系列有Web界面, 因此操作难度不是很大 。
Ipsec 性能 2G,而且是混合包,性能翻了Mikrotik RB4011 2倍 。
华为和思科一样也是 DLC 狂魔 …有很多企业级的组网功能都是要付钱才能开通的,好歹PPPoe不用花钱 。

难度系数 : ★★★☆
稳定性 : ★★★★
生产力 : ★★★
穿墙力 : ★★★★


Juniper (大黄狗网络/瞻博网络) / JUNOS :
女友分手专用品牌,把会刷Openwrt的技术宅女汉子弄哭系列…操作系统劝退向是其一 。
硬件方面,SRX系列没有 PPPoe offloading 。 买一个小巧的SRX300,他最多能带的动一根 300M国内宽带 。
当然你可以购买鼠式坦克 SRX650,那真的是想怎么跑就怎么跑,二手只要1000块不到。4个高速风扇 声浪迷人,功耗122W 冬天能当暖风机。
二手市场设备种类丰富,EX系列的Switch性价比也很高 。
License 有没有基本没区别 。
爱折腾的 HardCore User推荐TG知名 "GFW总工"的大黄狗网络设备批发频道购买各类低于淘宝价格的二手高性价比Juniper设备 :

https://t.me/bigyellowdog

虚拟机方面X86_64用的 vSRX 到是支持 Intel DPDK,然而 commit 到天亮,autoback 一整天的特性是完美传承的。

难度系数 : ★★★★★
稳定性 : ★★★★★
生产力 : ★
穿墙力 : ★★★★


中场休息

以上都是我觉得个人可以使用的系统&品牌 。
还有很多优秀的厂家 : 比如 Checkpoint,深信服,Hillstone 等等 。。这些和个人用就没什么太大关系了 。
写到这里,有小伙伴问到 : 我…真的有必要了解那么多不同的系统么?
我表示 : 2020年依然生活在强国的你,必须随时做多手准备 。 技术不到位的话,说不定哪天就见不到你了 …


硬件设备篇

路由器这个东西基本上是 24小时开着的,你必须把他当矿机一样考虑。
每天要产生多少电,产生多少热量,发出多大的噪音,占用多少的空间 。 这4个问题比性能还要重要 。
就像上文说的,部分机型就是一台坦克,采用上古科技制成,除了性能好,其它都是缺点 …
除非你家里经济条件比较好,住在大别墅里,设备全放地下室,弄个44U机柜,那到是可以随意折腾一下 。
本人的观点是即使你要用 X86_64 平台,那也尽量整一台和正常家用路由器差不多大小的低功耗低热量设备 …
甚至果断投奔ARM平台专业路由器的怀抱 。

选购高性能路由器有哪些技巧 ?

认真看Datasheet,不光要看转发性能,加密隧道性能,硬件 Offloading也要多多益善。
上文提到的 华为AR6120 为例,WAN⇋LAN口的转发性能,IPSEC 加密性能,在Datasheet 里都有明确标注:
AR6120.png
国内宽带还要考虑 路由器有没有PPPoe硬件或软件加速,没有的话又是靠 CPU 硬刚
楼上 AR6120 没有 PPPoe Offload , 但是他CPU 超强大,硬刚2条 1000M宽带OK。
楼下这台只要350元的 Fortigate 60D 虽然转发性能有1.5G,IPSEC 有硬件加速 性能高达1G,但是他采用一个单核的CPU,并没有给PPPoe 做硬件加速,所以他跑国内家宽只有200M 。60d.png

说到这里有人表示: 我横竖没找到适合的路由器,那种Offloading也搞不懂 …
坊间所讲的 " 软路由 ",指用 X86_64平台的 PC机来做路由器,我一开始根本没看出哪里软,看上去比正常的路由器还要硬 …为啥要叫软路由呢 ?因为他没有专用的硬件芯片或CPU内集成模块帮你offload this offload that , Soft Vlan , Soft Bridge , Soft NAT …全靠超强劲的X86_64 CPU帮你硬刚下来 。

那么自建软路由应该用怎么样的设备呢 ?

带着这样的问题,我们举办了一场百人协力完成的 “CPU AES/ChaCha 冲塔大奖赛”。

传送门 : https://docs.google.com/spreadsheets/d/1KiAYPETdhDm5vzZyrNs-hHNAQ7e4dOBX1QFBQ0mRXwU/edit?usp=sharing

注意 : 数据为单线程性 。 还记得联发科CPU 1 2 3 围观 CPU 0那张图么 ? 这种事情在各类路由器上都属于日常,Work As Design。

本次数据收集鸣谢来自爆発試験センター,傻十(马)群,梨园,91yun的各位大佬贡献了接近140份的数据 。

数据当中甚至有国产超级计算机的 CPU…高通骁龙 865…华为麒麟 990 等等。
需要注意的是 OpenSSL 所跑出来的速度是 与 加密隧道所跑出来的速度是有差异的,实际速度肯定会慢一些。
使用SSL 测速是为了排除各种网络上的环境不同,最直接的还原不同CPU在处理加密运算上的性能差距 。

本次实验的加密方式,选了 AES-128-CBC,AES-128-GCM,ChaCha20 三种出国深造最普遍使用的加密方式。
从冲塔结果来看 :
1 单核主频高,必有优势 。
2 Intel t结尾的低功耗CPU,单核睿频非常高,用来做软路由优势明显 。 Ryzen 大军三种加密方式性能碾压同价位 Intel 标压 CPU 。
3 手机大军AES-128-CBC 性能实力碾压一切平台 。 除非今后这些CPU能做成树莓派类似的开发板,否则用来做路由是不切实际的 。

选完了CPU就应该选网卡了…没错,既然CPU选好了,你连配台电脑都不会么 - -?

那么这里唯一会选错的为什么是网卡呢 ?
因为不管是哪个操作系统,大多数都是基于 BSD 和 Linux开发的 …
在Windows 下 Realtek 的网卡驱动很完善,和 Intel 的网卡你用起来是完全没差别的 …
你想用 BoardCom Realtek 这种网卡跑 Virtio 半虚拟化网卡,分分秒秒叫你出事情,虚拟机一开出来网速就很慢,跑个BT下载网没了 …
在 Linux 下 Intel 就是王者了 。
那么王者也分不同驱动的, RJ45 千兆网口的 Intel 网卡分 e1000 和 igb 两种,古董网卡采用 e1000 驱动,那性能就和楼上 Realtek 差不多 …
所以要果断排雷 !
了解到你看中的网卡是 高贵的 igb 驱动后,那就可以果断购买了么 ?
依然还有一个问题需要考虑,你需不需要网卡端口直通虚拟机?
所谓的直通有2个条件 首先你的 CPU要支持 Intel VT-d 或者 AMD-vi(IOMMU),其次你的网卡注名支持 SR-IOV 。
通常你路由内NAT要跑到 1G以上的吞吐量,KVM 网桥是很难撑住的,这个时候必须做直通。
当然放弃做虚拟机,直接物理机装路由系统…也是个解决方案 …

因此在需要直通的情况下 我们选择 Intel I350 芯片组的网卡,不需要直通的话 就选 Intel I340 即可。
这两款全新的网卡,那都是 2000 RMB以上的,不用多想 。
山寨卡,4口的 200多块钱 …芯片组是拆机报废网卡焊下来的 。
品牌机二手网卡,4口的还是 200多,成色一定要新,接触不好,给你每天断个几秒那就搞笑了…
这种网卡通常有2口和4口的,超薄型ITX机器通常只有一个PCI-E 扩展槽,没有别的机会了,因此果断买口最多的…

比如这个富士通拆机的 I350 就不错,SuperMicro也是可以的 :
i350.jpg


解决方案篇

又说了一大堆理论知识,能不能直接讲应该买什么…
吼啊 ~
根据上文 "冲塔大奖赛"的结果,找一找有没有价格特别便宜,跑分特别惊人的设备 。
于是它那超越日本天皇孙笑川的战斗力一瞬映入了我的眼帘 - -!
没错,那就是恩山论坛 24小时高强度吹捧的 斐讯N1 盒子 。
3.png

他是作为旁路网关的首选 。刷成Armbian或Openwrt系统,基本上就和你们最喜欢的KVM VPS一样,样样都能运行。

传教直达:https://www.right.com.cn/forum/forum.php?mod=forumdisplay&fid=158&filter=typeid&typeid=21

So。。
我们通常选择稳定性和生产力高的系统和硬件做主路由,穿墙力高的做旁路设备 。
这里推荐的组合有 :
1 Mikrotik RB系列路由器 + OpenWRT/Linux ARM 盒子 采用网线物理连接两台路由器
2 X86_64平台 使用ProxmoxVE 虚拟化管理平台安装 RouterOS + Openwrt/Linux
3 同样 X86_64平台 安装 Sophos XG-Firewall Home + Openwrt/Linux

贫民组 - 100元即可搞定

当你已经平穷到连饭都吃不起,都还想体验一下充值起步就上千的韩服&日服游戏,卖肾换任天堂Switch 玩动物森友会之类的 …
不要怕 !
这里推荐你一款性能超级强劲的路由器,堪称21世纪中国国宝 - 二手斐讯N1盒子 (70元) 。
那么有人问只有一个网口怎么办 ? 完全不用担心,地球上有个非常美好的东西叫 VLAN 。
我们可以先给他刷个 Openwrt 。利用VLAN TRUNKING 连接到价值20元的水星二手千兆VLAN交换机上面。
简单的理解 : 现在水星交换机的网口就是N1盒子的网口了。
接下来Openwrt的套路大家都很清楚了,不再讲解 。
如果对我说的不太理解,推荐一下这位TUBER的视频 :

PS : N1 盒子的无线网卡还能打开, 让它成为2.4G 无线AP,有总比没有好。
实测是这个机器无论是 Chacha20 还是 AES, 用 OpenClash 都是能到 500M以上 。
所以说呢,用他作为一个路由器,无论你是一边欣赏视频,一边干网游,都是毫无压力的 。
话说回来,你真的穷成这种地步…不赶快去送亡命外卖,还有空在这里玩 ?

推荐带宽 : PPPoe 1000M 单条 - 没错,真的带的动 。

平民组 500-1500元 二手战斗机

用最少的钱压榨出最多的性能是所有垃圾佬统一的目标 - -!
这下可以考虑用X86_64平台起个 RouterOS + Openwrt 双系统了,这下总算不用N1盒子了 。
那可以看一下这位YOUTUBER的视频 :

我是非常反对路由器弄个 MATX 甚至 ATX大机器。 这位YOUTUBER的思路非常符合我的观念。
LAN口不够用怎么办 ? 接交换机。
只有单个网口怎么办 ? VLAN 一把梭。
当然买一台更高级的联想M720Q,配上一张半高网卡,一个I5级的CPU实际上更合适。

这里我想提出2点建议 :
1 参考百人冲塔表格,建议使用 core i3 或 i5 后缀t结尾的 低功耗CPU,睿频特别高。 给任务繁重的那个核心 Boost 一下效果极佳 。
2 建议 PCI-E拓展卡能用上 intel igb 驱动,最好能支持直通,具体操作请GOOGLE一下。

推荐带宽 : PPPoe 1G 2-3条或多拨 - 没错,家里面不准备搞多条宽策略路由的上面那货足够你玩了。

屌丝组 - 1500元全新设备

Mikrotik RB4011 + N1 盒子 …
围观群众 : 你好过分啊 - - ! 这是 Mikrotik还是斐讯产品推销会 ?
我 : NoNoNo,这是一篇讲究事实,讲究科学依据的指南 。 我本人用的就是这套方案 。

我们来看一下官网这款设备的Datasheet :

https://mikrotik.com/product/rb4011igs_rm#fndtn-testresults

按照中国人民使用ROS的习惯肯,定会做一堆复杂的策略路由,看一下再配置了25条防火墙规则后RB4011之后的性能 :

Routing	25 ip filter rules  :
1518 byte 7,209.9 mbps
512 byte 2,560.8 mbps
64 byte 289.1 mbps

RouterOS系统的物理端口可以统计不同大小数据包的数量,以下是一台正常使用PC的数据包分布图 :
4.png
大包(比如你看YOUTUBE时收到的TCP数据包)占绝大多数,按照测试结果,这些大于 1024的数据包这个设备毫无瓶颈 。 小包(比如ping,traceroute,玩CS:GO等UDP游戏)显然速度不可能会很高,如果你能到 289。1mbps,那我相信肯定是玩游戏开挂被人DDOS了。
这台路由器的 NAT 性能,能带2条 1000/200M 的家宽 …推荐起码有1条千兆宽带,而且不想花功夫组建X86平台软路由的,那就果断买这款 。
这里有人肯定要说 : 我查了一下,这台机器根本没有 PPPoe 硬件 offload,那他CPU那么强劲能带2条千兆 ?
Mikrotik 就是邪教,他没有硬件加速,但是有一个叫fasttrack connection的软件加速,这玩意一开 PPPoe的性能一瞬提升。

再来看看 Ipsec 性能 :

Single tunnel	AES-128-CBC + SHA1
1400 byte  1577.0 mbps
512 byte  578.4 mbps
64 byte 71.6 mbps

单条隧道混合包的情况下 跑到 500M 是没问题的 …
AES-128-GCM 加密能跑的更快,但是IPSEC 隧道这个东西必须要讲究 2端都可以采用同样的加密方式 。
很多品牌的设备暂时还不支持 AES-128-GCM 这是一点 。
还有部分滑稽的 IDC,比如大韩冥国的 KT,如果你使用 AES-128-GCM 他会判定你为DDOS发包 - -…
所以在百人冲塔大赛中AES-128-CBC 作为了首要参考指标 。

推荐带宽 : PPPoe 1G 2-3条或多拨


有同学问到 : 那有没有富裕阶层用的方案 ?
当然没有 - -~ 有钱人从来不需要自己关心这种问题的啦 …


写完这一帖,本菜鸡准备学习并考出CCNP …
这年头 ONEMAN 都已经开始普及 CCIE 和 JNCIE了 … 我落后实在太多了…

Drcai
2020/8/28

SmokePing: http://ping.boom.cx
Boomvm Customer Service Group :https://t.me/boomvmservice

嗯嗯,原来如此,噢!我完全懂了(什么都没懂

虽然看不懂,但是好厉害