前言: 对于网络爱好者而言，一套由运营商提供或消费级固件驱动的网络，总让人觉得束手束脚。在搬入新家并短暂使用临时方案后，我决定进行一次彻底的网络架构升级。本文将记录我如何用 RouterOS 取代标准路由器功能，将先进的 Wi-Fi 7 Mesh 设备“降维”为纯粹的无线AP，并在此过程中遇到的从“失联”到掌控全场的部署细节、方案权衡与待解的挑战。

1. 架构演进：从“够用”到“好用”

任何升级都源于对现状的不满。我之前的临时方案，是一套非常典型的消费级 Mesh 方案：

• 旧拓扑: 光猫 -> 中兴BE7200Pro+ (主路由) --(无线Mesh)--> [书房]BE7200Pro+ (子节点) -> 万兆交换机 -> 后端设备

这套 Wi-Fi 7 Mesh 系统在无线速率和覆盖上表现优异，但其“大脑”——路由固件，存在几个核心痛点：无法进行精细的流量走向定义、扁平化网络的安全隐忧、以及受限的远程接入能力。

2. 新架构解析：专业分工与关键权衡

新架构的核心思想是“专业分工”，让每个设备都做它最擅长的事。

新拓扑图:

      光猫 (路由模式)
         |
     RouterOS (网络总控核心)
     /        \
软路由 (旁路网关)  [客厅] 主AP (BE7200Pro+ AP模式)
                     |
                   (无线回程 Wireless Backhaul)
                     |
                 [书房] 副AP (BE7200Pro+ AP模式)
                     |
                  万兆交换机
                     |
                  服务器/NAS/PC等

设计的思考与权衡:

• RouterOS 为核心: 选择 ROS 作为主网关，是看重其无与伦比的稳定性和专业级的路由与防火墙功能。
• BE7200Pro+ 为纯AP: 目的是实现“功能分离”，最大化其 Wi-Fi 7 的硬件价值，让它只专注无线信号覆盖。
• 架构中的关键权衡：无线回程的便利与性能
  • 这个架构的诞生，源于一个非常普遍的现代家装困境：我的新书房作为所有服务器和工作站的安家之所，墙上却没有预留网口。从客厅拉一条长长的明线过来，在美观上是完全无法接受的。因此，我主动选择了无线 Mesh 方案，用可接受的延迟和稳定性损失，换取了整洁、无需布线的家居环境。将万兆交换机和所有高性能有线设备放在书房的副AP之下，意味着所有后端流量都必须经过无线回程链路，这是一个经过深思熟虑的权衡。

3. 部署实录：一次“标准的”技术折腾

理论规划总是美好的，但实际部署总会充满“惊喜”。

初次启动即“失联”: 我将吃灰已久的 ROS 设备通电，并接入新网络。结果是灾难性的——全网瘫痪。由于设备里残留着旧的网络配置，加上 RouterOS v7 的底层已有不少改动，它直接导致了网络风暴或IP冲突，所有设备均无法联网。

Mac 生态的“有线之困”: 更麻烦的是，我的主力设备是 MacBook，早已没有了RJ45网口。为了能有线直连到 ROS 设备进行配置，我上演了一场“寻宝总动员”：翻箱倒柜找到一个2014年购买的 Apple USB-A 网卡，再找出一个 Type-C Hub，将两者“串联”起来，总算让我的 Mac 拥有了连接网线的能力。

ROS v7 Quick Set 的“下马威”: 连上 ROS 后，我本想省事儿，直接用 Quick Set（快速设置）来初始化。结果发现 v7 的界面已面目全非，不再是旧版经典的 Router/Bridge 选项，而是多出了一大堆预设方案。在尝试了几个看似相关的选项无果后，我只好查阅官方文档，最终选择了 Home Dual AP 这个预设，才算让 ROS 正常作为路由工作起来。

软路由的“IP迷踪”: ROS 正常后，我将 Mesh AP 改为桥接模式，无线网络恢复。但新的问题来了：我的软路由（iStoreOS）使用的是静态IP，且与 ROS 新规划的网段不同，导致无法直接访问。我懒得在 ROS 里为其临时增加一条路由，灵机一动，翻开我的密码管理器（1Password），从中找到了之前记录的软路由Web管理地址，确认了它的IP。随后，再次请出我的“宝贝”网卡+Hub套装，将Mac设为同网段静态IP，有线直连软路由，成功进入后台将其IP改回DHCP，问题解决。

这一系列操作虽然繁琐，但也是网络折腾中不可或缺的醍醐味。

4. 核心配置思路与实践分享

在网络恢复平稳后，我开始实施本次升级的核心配置。

• 硬件优化: 为无风扇的 ROS 盒增加了 USB 小风扇主动散热，并关闭其自带无线功能，避免干扰。
• 策略路由 (DHCP Option): 通过 DHCP Server 的 Options 功能，为特定设备（电视盒子、手机等）下发旁路软路由的网关地址（Option 3）和纯净DNS（Option 6），实现了无感的流量分流。这比传统的 Mangle 标记路由更为简洁高效。
• 双保险异地组网 (WireGuard + ZeroTier): 我同时部署了两种VPN方案。WireGuard + VPS 作为高速主干道，提供最佳性能；ZeroTier 作为全地形备用方案，保证在任何复杂网络下的连接可靠性。

5. 无法回避的挑战：深入分析与思考

新架构解决了主要痛点，但两个“老大难”问题依然存在，且经过分析，其根源比想象中更为复杂。

挑战 1: 2.4GHz 频段的“幽灵”干扰

• 现象: 书房的蓝牙设备（鼠标、键盘）出现严重的卡顿和延迟。
• 深入分析: 最初我以为是简单的信道拥堵，但在将AP的2.4G信道手动调整到相对干净的11信道后，问题依旧。我的进一步推测指向了更复杂的跨频段谐波干扰。BE7200Pro+作为三频Mesh，其独立的5.2GHz频段在高速率工作时，其强大的无线电信号可能会产生多重谐波或带外散射（即信号频率的2倍、3倍等），这些“幽灵信号”恰好衰减并跌落至2.4GHz频段的某个范围内（例如用户提到的7信道附近），从而对该频段的蓝牙等设备造成了意想不到的精准打击。这已超出典型的同频干扰范畴，解决起来更为棘手。

挑战 2: 消费级 Mesh 的“VLAN 次元壁”与安全抉择

• 现象: 无法通过 ROS 创建的 VLAN，将 IoT 设备与可信设备在无线层进行隔离。
• 技术根源: 这套旗舰级的 Wi-Fi 7 Mesh 系统，其固件在 Mesh 模式下完全不支持 802.1Q VLAN 标记，也无法将 SSID 绑定到 VLAN。
• 后果与理性抉择：
  • 这意味着我精心规划的多网段安全隔离蓝图在无线接入层彻底失效。所有无线设备，无论可信主机还是智能灯泡，都被迫挤在同一个广播域。
  • 面对现实，我有两个选择：
    1. 权宜之计： 在 RouterOS 防火墙中，手动创建基于 IP 地址段的规则，限制 IoT 设备访问内网资源。但这意味着我需要维护一个不断变化的 IP 地址列表——每添加一个新智能设备，就得更新防火墙规则。考虑到未来还要部署智能中控和更多 IoT 网关，这种高维护成本的临时方案显然不可持续。
    2. 着眼未来： 暂时搁置无线层的严格隔离目标，将问题留待下一次的终极升级解决。与其用一个繁琐且脆弱的方案妥协，不如坦然接受当前设备的限制，将精力聚焦于核心网络已实现的强大控制力（路由、策略分流、远程访问）。安全很重要，但可持续性和优雅的解决方案同样重要。

6. 总结与展望

这次网络改造，是一次从硬件连接、系统配置到问题分析的完整实践。我成功地构建了一个高度可控的网络核心，但也深刻体会到，家庭网络的体验上限，取决于整个链路中最薄弱的一环。

下一步的探索方向已经非常明确：唯一的彻底解决方案是升级无线接入设备。这将能同时解决VLAN隔离和潜在的谐波干扰两大难题。我的备选清单上，有几个不同侧重点的专业级AP方案：

• MikroTik cAP 系列: 出于系统兼容性的考量，使用同为 MikroTik 的AP可以通过CAPsMAN功能实现最完美的集中管理，与现有RouterOS生态无缝集成。
• Aruba Instant On 系列: 看重其享誉业界的企业级稳定性，对于7x24小时运行的网络服务来说，这是一个非常重要的加分项。
• Ubiquiti UniFi 系列: 如果在性能和稳定之外还追求工业设计颜值，UniFi无疑是其中的佼佼者，能很好地融入现代家居环境。

至于回程方式，我暂时会继续沿用无线回程。但若未来要彻底释放书房万兆局域网的全部潜能，部署有线回程将是最终的归宿。网络折腾之路，永无止境——每一次对现状的剖析、对方案的权衡、对挑战的取舍，都让下一次的升级目标更加清晰，也更能体会掌控技术的乐趣所在。