论一台理想的硬路由（主网关）

无线射频方面理念全：立即观看

[分体式三频路由器🛜] 拆掉弱电箱，双 5G 搬家里！无线频宽、信道射频一点通.准 6GHz.高性价比.不止于快.5.2G+5.8G

不要让老头乐上高速，在家里修个双层立交桥，新手机上 5.2G 高速 8 车道 160 频宽，老手机小爱音箱上 5.8G 四车道 80 频宽，分流共存。

“在常规消费级无线局域网的物理层约束下，能量与数据的有效载荷不可能在不借助有线介质的情况下，通过单一射频接口在同一信道内实现无损的中继转发”

只要房屋不超过 150 平、长边小于 15 米、单层，宁可直连原 5G 信号,也不要用 2.4G 或者拓展出虚假的 5G 强信号。忘掉三频和无线回程，10cm 短跳线连两个普通路由器，分体式双路由器三频，物理法则比什么都有效，或者直接有线回城，有线才是原教旨路由器。

一个生动的例子：

家里最重要的还是把隔离给做好，很多人认为中国只有一个 5G 频段，但我想说的是有两个，一个 5.2 ，一个 5.8 ，现在越来越多的 IoT ，例如小爱音箱都支持 5G 了，这些性能要求相对较低的设备，一定要让它们连 5.8G ，去把纯净的 5.2G 160 只留给手机。

简单的说，厂家所谓的双频，其实是一个可变的车，要么开 58 码，但是这个货车载货量低，因为我们通常说的网速是载货量，而不是飙的有多快。58 码的时候，货箱长度是四节一共 80 厘米。

(叠甲：比喻不严谨，电磁波的传输速度才影响延迟，所以用时速来类比并不严谨。但是确实，目前随着绝大多数小区都普及了 160 平宽的路由器和光猫，大多数都占据在 5.2G 。所以如果对吞吐量要求不高，只需要极致的低延迟的话，可能确实 5.8 在某些时候延迟会较低。但是可能老小区除外，这个要实地看。

但是最终要的目的还是让大家明白，中国其实是有两个 5G 频段的，与其操心目前用不了的 6G ，不如把已有的先给用好)

开 52 码的时候，货箱长度是 8 节，一共 160 厘米。

至于所谓的双频路由器，其实里面就只有一个司机，一次只能工作在一个频段，有驾照的司机就只有一个，剩余的 2.4G 无非是附赠一个骑自行车的小孩罢了。

所谓的三频路由器，就是请了两个司机，两套射频。

但是这样子集成度会更复杂，所以完全可以用不到 10 厘米的短跳线连接两台普通路由器，当一个三频。无论是没有预埋网线时的无线回程，还是已经预埋网线时想进一步提升性能。

其实很多东西压根就不需要部署成所谓的服务。

比如去广告，手机装一个李跳跳，比什么网络层的折腾都强。

个人认为路由器只需要以下功能:

1.完善的广域网链路和局域网链路配置

不需要搞成什么所谓的路由模式、桥接模式、有线桥接模式、AP 模式、无线桥接（Media bridge）、无线中继（ Repeater ）、WISP（或者叫公共热点模式，就是无线链路，同时支持做 NAT ）。

给用户界面（ GUI ）备注：无线路由器的 AP 模式本质上就是有线桥接+无线交换机模式。有线桥接模式本质上就是切换成有线网络管理交换机模式。

2.完善的 NAT 类型配置

最新版的 NAT 不是把四种类型改成了 Mapping 和 Filtering 的两种 Independent 的指标吗？同理，网络链路直接拆散解耦：

无需：

无线桥接，Media Bridge

无线中继，Wireless Repeater

WDS，WISP （无线+NAT ）

[理想中] 直接：

上游链路：WAN ，无线，双 WAN ，WAN+无线

DHCP 开关

工作模式：（NAT 开关）

完全圆锥型 NAT （ 1 ）、IP 受限锥型 NAT （ 2 ）、端口受限锥型 NAT （ 3 ）、对称型 NAT （ 4 ）

该整合就整合，该解耦解耦—就像家用没有必要用独立防火墙一样。Nat 也是的，理论上有 9 种组合，但是实践中只有 4 种组合，这个时候就可以做成简单的选项卡了。

二层透传路由

多 IP 直接上网

WiFi 参数设定

无线射频设定

3.完善的 WiFi 射频设定

例如自动信道允许自动成 5.2 的范围或者 5.8 的范围，而不是要么定死，要么全范围自动。

中兴频宽可以锁 160 ，这比较好。他的策略比较正常，目前一年多了都没有突然触发 DFS 退避。不像某些品牌。

4.支持简易的自动化

类似于米家极客版或者米家 APP 。米家极客版就是一个类似于 Scratch 的编程，多余的要么开放 API ，没有必要做到路由器里面。逻辑之类的，你要跑就跑到 HA 里面，路由器只开放 API 。

自身的类似于一个极客版，是为了满足用户多样的需求。这样子也不用劳烦开发人员专门设定什么半夜降低功率之类的功能选项。

甚至连指示灯都不需要专门做一个定时设定了，只需要有最简单的指示灯开关，这样子开发人员也方便，用户也自由。

5.总而言之，无线射频方面，以及 WiFi SSID 等方面，能做到 ASUS 和优倍快的水平就可以了

6.完善的网络层设定

例如中兴在 DHCP 下也可以设置 MTU ，小米就不行。

完善的 IPv6 设定。例如，GUA 允许来源、无状态 DHCPv6 从前缀获取，都要打开。

允许不下发 DNS V6 直接用 IPv4 的 DNS 。

全自由的组合包括 DHCPv6 服务器、路由通告、是否下发别的参数、M 状态、O 状态、重试间隔、前缀下发方式、端口控制之类。

7.完善的[多链路聚合配置]。

这一点反而是小米唯一超过中兴的地方。中兴负载均衡就只能所有设备都走均衡，分流就只能部分走一，部分走二。小米支持某些走一，某些走二，某些走 1+2 。

8.与其用所谓的强制踢人算法是不合适的。

你觉得我讲的这些是不是有点类似于路由器界的“完备”（类比 Turning complete 概念）

好，我接着讲。

一个自洽的逻辑。

目前绝大多数消费级路由器均只支持 802.11kv ，很少有支持 r 的，除非是 AC+AP 。

当然支持了更好，这和这里的讨论无关，这里先按下不表。

那么一台高性能正常的手机，只要有 K 和 V ，当然有 R 更好，它都是能完成漫游的，这就像一个健全的设备 完全不需要靠路由器强制剔除。

如果一台手机，它已经垃圾到需要靠强制剔除的程度了，那就证明漫游算法不起效。既然不起效，你强制剔除，至少需要 0.5 秒以上的关联时间，对于这种性能的手机而言。

而且路由器没有上帝视角。手机它自己是能够根据合适的时间来切换的。

9.还有，与其搞什么双频合一，我家里都是 5.2G 160 和 5.8G 都要分开的。

优化这些算法，不如把漫游拆解为

允许开始漫游阈值（高于该阈值，例如-45 ，则无论如何雷打不动都不漫游，甚至都可以不做扫描，节约手机的电量，电费不贵，主要是降低发热量和提升续航）

开始漫游建议阈值（例如-60 ）

RSSI 提升阈值（在到达了开始漫游建议阈值以后，达到了这个提升值，就开始漫游）

漫游引导建议阈值

甚至可以设置一个积极漫游阈值，在这个阈值状态下，提升阈值的灵敏度也是有区别的。

当然，这些词汇不是我乱编的，我可能还可以分得更细，但是至少我在专业的设备里面，确实是看到过，强制剔除阈值（这个我不赞成），开始漫游阈值，提升阈值，无漫游阈值之类的一大堆选项。

10.支持自定义 Hosts ，支持屏蔽 URL ，支持屏蔽指定协议和端口。

这些和深度 DPI 流控不一样，我最讨厌流控和 QoS 。但是这些可以打击流氓 PCDN 。

浏览器可以用 WebRTC Control ，B 站可以用第三方 Pili Plus

但是像爸妈喜欢用手机刷抖音这种就没有办法，所以必须在网络层禁止偷上行带宽。这些任务通常可以用 NPU 完成的，不会大幅增加网络负担。

11.支持精确到每一台设备的防火墙，支持 IPv4 和 IPv6

12.保留对 ALG 的支持，但是默认全部关闭。允许更改本地服务的端口

13.把 [UPnP] 藏到最深的地方，并且不建议打开。

14.支持统计每台设备任意周期内的总上行流量、总下行流量。

整个路由器的 WAN 侧总上行和总下行。不要分析每台设备用了哪些软件，这是该每台设备查的，路由器只需要有一个总账就行了。

15.支持端口转发和端口触发

16.支持 WireGuard 的 VPN 服务端和 FRP 服务端以及客户端。

17.支持 [DDNS]。

防火墙支持命中关键词即拦截，或正则匹配 URL 。这样，最多 CPU 只用介入首包，后续毫无影响。

18.支持内网 NTP

因为这个对延迟和抖动要求很高的。这不适合旁路部署在 Windows Home Server 。

19.支持划分 VLAN，支持设置静态路由表。

20.总而言之

支持所有必须部署在网关上，或者可以替代，但是部署在网关上会非常方便的东西。

不要支持跑 Docker 之类一机多用，网关是一个网络角色，不是一个万能白盒子，全部塞到一个容器里并没有用，因为 Docker 里面很多服务的 IP 地址甚至跟路由器都不一样。打个不恰当的比方，你在里面装一个 Glasswire 能监控流量吗？虽然我不喜欢流控，但是你要是连监控流量的本事都没有，那放网关的意义在哪？

要理解网关是一个唯一且稀缺的资源 这就像无线频谱一样，不是说多贵，而是说是不可再生，一个家庭中通常只有一个网关。不要把乱七八糟的东西全部都堆在上面。

除非这个东西放网关会比放在 Home Server 上面方便很多

然后还是说类比于完备的概念嘛，很多东西把接口提供了就行了。比如说与其支持访客 WiFi ，不如解耦，把所有东西全部都暴露给用户，该配置就自己配置。如果照顾小白的话，直接把以前的旧 UI 拿出来做个简易模式，或者支持在网上一键下载配置就可以了。

这就是当下我认为作为一台合格的网关需要支持的所有功能。

UPnP 设定：

[安全警告]

UPnP 存在巨大的安全风险，并且容易被 PCDN 利用，影响网络质量。

开启 UPnP 开关后：

1.任何设备或程序都可以申请自动端口转发或映射，绝大多数操作系统都不会拦截该请求或权限设定。

2.UPnP 协议不指定时间默认会映射 1 周，映射时间可能从 5 分钟到 30 天不等，直至重启路由器。

3.UPnP 允许映射 TCP 端口，若您的路由器直接获得公网 IP ，则可能会被非法用于不良用途。且端口长期开放，可能无法追溯到软件厂商的服务器，您将承担全部责任。

4.UPnP 协议目前正在淘汰的进程当中，并且很多新开发的软件和开源软件已经不会再使用 UPnP 协议。

下一步（等待 10s ）

取消（ 10s 后自动取消）

[注意事项]

若有 P2P 联机需求，建议设定为 IP 受限锥型（ Restricted Cone NAT 2 ）。这是一种极其稀有、罕见的类型，攻击面相对较小，但建议专业用户使用。

事实上，绝大多数家用路由器默认的类型都为端口受限锥型 NAT ，对于 RFC 的设定，两个端口受限锥型的用户是可以完成 P2P 连接的。

如果设定为 IP 受限锥型，理论上还可以和对称型 NAT （ Symmetric ）的用户进行联机。

此时部分游戏软件可能会显示您的类型为 Type A 或者优良。这比常见的“Open Internet”更安全且几乎不会影响使用。

仍要开启 UPnP （等待 10s ）

取消

转到 NAT 类型配置（ 10s 后跳转）

[安全风险]

您确定仍要开启 UPnP 吗？这是一种非常不安全的协议。

这可能导致您的上行带宽被流氓软件或潜在的不受欢迎软件恶意利用。

这可能导致您的路由器被非法映射了大量端口，造成运行卡顿。

若有疑问，请咨询 ISP 政策或智慧家庭客服。

您确定仍要开启 UPnP 吗？

绝大多数家庭宽带并不会限制 NAT 类型，并且默认配置下是可以和其他个人用户进行 P2P 的。请先自行检测对方配置，再来决定类型。

温馨提示：

如果您的上游网络为端口受限锥型（ NAT 3 ），则可能是由您的边缘侧接入设备，例如光纤调制解调器（光猫），或者校园、公司等大内网所限制，通常不在运营商局端所限制。

如果您的上游网络为对称型（ Symmetric, NAT 4 ），请咨询您的 ISP 。

继续开启 UPnP （等待 10s ）

取消（ 10s 后自动）

[最后检验]

路由器检测到您的 IPv4 WAN 接口为全球唯一单播地址。请注意，UPnP 可以长时间的暴露包含 TCP 在内的任何端口。

最安全的 NAT 类型为 NAT4 ，但是 RFC 推荐的类型和日常最实用的类型为 NAT3 ，安全性和可连接暴露性平衡的最好的类型是 NAT2 ，最万能开放的类型是 NAT1 。UPnP 是最不安全的。一个开启了 UPnP 的路由器，无论设置为何种 NAT 类型，其安全性甚至低于 NAT1 （ NAT 会话表只会允许 UDP 在 5 分钟内回连）