换猫棒了

去年从KDDI换到NURO之后就一直卡在IPv6无法使用，因为使用的是二级路由，官方说的是不兼容，而且ISP给的路由器（SGP200W）是无法拿到超级管理员权限无法给路由器变更桥接模式的，所以唯一的方法就只有更换第三方光猫了。

如果你不纠结IPv6，对目前状况满意的话确实没必要去瞎折腾。毕竟官方设备又不是不能用。而且在🇯🇵也很难买到类似猫棒或者光电转换盒之类的东西，对网络以及电子产品不熟的话非常不建议自己折腾倒是，老老实实用运营商给的设备就行。

更换设备后好处是可以使用自己的路由器进行管理，IPv6也可以正常使用，而且如果你的路由器比较高级还可以支持2.5G链路，NURO的话理论上可以跑到下行2G上行1G。不过因为我的设备（Ubiquiti UDM-SE）的SFP+口只有1G和10G模式，即便给光口固定10G模式但是插上2.5G模块也只能跑在1G模式下所以就没办法测试到底NURO能不能突破1G了╮(╯▽╰)╭不知道ubiquiti什么时候才能原生支持2.5G SFP+模块，虽然UDM-SE有2.5G电口，然而还得另外准备2.5G的光电转换盒，这类产品在🇯🇵奇缺，到最后还是得从国内海淘_(´ཀ`」 ∠)

另外就是虽然概率比较小但是运营商随时可以通过修改验证方式封锁导致第三方设备失效，至少目前还是能正常使用的。ISP控制路由器的协议叫TR-069，路由器设置页面（虽然没有superadmin的话看不到）是叫ACS。基本上来说就是运营商可以通过这个协议自动向路由器下发各种配置，比如获取设备LOID/SN/MAC，配置VLAN ID等。

之前有人破解过NURO旧的华为路由器HG8045Q的固件。然而后来固件更新后superadmin就改了，网上找的超级管理员信息也都无法使用，据说目前通过ACS已经做到了根据时间自动生成/修改超级管理员密码，所以几乎无法破解。而SGP200W是基于华为固件魔改的版本，理论上也是类似，不过毕竟是运营商“借的”机器，没必要还是别去拆了╮(╯▽╰)╭

而使用猫棒代替原本光猫的话，则是需要将光猫原本的信息提取出来，然后写入到猫棒里，让猫棒代替光猫桥接网络给路由器提供网络。虽然之前查到有用户说只需要修改SN即可，但是我实测是需要LOID/SN/PLOAM密码的。MAC地址倒不需要伪装。好在这些信息都可以无需superadmin，直接在光猫的状态画面即可获取。

在光猫的状态页面就能看到这些信息。PRODUCT ID是LOID，十六进制化的SN是PLOAM密码，SN直接就是SN（我这里是SYNC开头）。将这些信息填入猫棒后就能进入O5认证完成的阶段。

NURO网络的VLAN ID是10，据说还有20和110分别是给电视和电话服务用的，不过我没有签约就不清楚了。

如果使用的是路由器给猫棒设置时需要将IP设置成静态IP，完成后设置将IP改回动态获取即可拿到公网IP。猫棒是直接桥接模式，而且NURO的网络是DHCP分发地址的所以设置动态获取即可上网，如果你的路由器桥接WAN的话据说还能多蹭几个公网IP。我路由器不支持也懒得折腾所以就没进行多IP的测试了。

这次用的猫棒是国内推友送的ODI DFP-34X-2C2，同时还送了一根华为的MA5671A，两个都测试过了都能跑到O5可以正常上网。不过个人还是比较忌讳华为牌的所以还是主要使用ODI为主。据说诺基亚的G-010S-P也可以使用。

ODI的缺点是无法修改/伪装MAC地址。华为的刷的是OpenWRT固件所以可自定项目比较多。而且插到Mikrotik路由器上可以显示内容还是比较多的，比如收发光信号强度等信息，用ODI的话是不会显示的。华为的目前打算备用，万一NURO改了什么规则需要验证MAC地址之类的话至少还有个可以替换的，不过理论上ODI的通过更新固件应该也能达到同样目的就是了。

另外要注意的是MA5671A和G-010S-P的插头虽然也是sc，但是兼容的是绿色的APC插头，而一般家用给的是UPC蓝色的插头，这两个插头的研磨方式不同，APC是斜面而UPC是平面，理论上不能混用。网上说是混用的话轻则光衰大，重的话直接损坏激光头。不过根据我测试好像差别不是那么明显。ODI模块直接就是兼容UPC插头所以这也是为啥我更愿意用ODI模块的原因（毕竟手头上没有UPC转APC的转换头/线）。

GPON本身这个技术倒没什么特殊的，原理就是ISP使用OLT对接所有用户，每个用户使用ONU来连接网络。而数据是群发的，每个用户根据时分获取自己的数据，中间的光纤分割SPL其实就是简单的光纤分光（熔接），没有任何的电子设备参与，所以叫做无源的光网络。所以PON的原理非常类似集线器/交换机，数据包会广播至所有网口，只有对应的网卡自己获取信息，如果网线插上去理论上可以抓包看到数据。不过当然PON网络也有自己的加密认证方式，不像内网集线器/交换机可以简单的抓包就能直接读取到数据。

所以理论上只要认证信息对上，激光波长对上就能上网。网上能买到的ONU模块Class B+/C+/C++/C+++都是发射功率的区别而已，SGP200W属于B+发射功率较低，不过C+/C++/C+++等都可以通过降低发射功率使用。而且从ONU到OLT一般距离都会有几十公里以上，中间还有别的分光器所以光信号衰减还是挺多的，B+的设备换成C+/C++/C+++并不影响使用。

Ubiquiti家的UISP也有GPON ONU模块，网上也有MOD可以用。理论上修改SN/MAC/LOID之类的信息也都可以做到。只不过这些修改基本都是第三方固件或者破解才能完成，所以不保证100%能稳定使用就是了。

这么一说查了一下，当年在国内办专线的时候用的就是PON网络🤔。当年感觉特高科技的东西普及开来了也就如此（

不过在日本大部分运营商（特别是使用NTT光网的）基本都是EPON，最大速率也就1G左右，而且官方给的ONU盒子直接就能插第三方路由器拨号上网，没必要上光猫这么折腾。也就NURO比较特殊用的是自己的光网走的是GPON，所以理论速率可以达到2G，然而默认送的光猫接口却只有1G，除非有线+无线用的都是NURO给的路由器，不然最大速度基本都发挥不出来。

倒是网上有攻略说通过申请NURO某安全服务，可以花大约5.5k更换2.5G光猫（实际好像给的是10G的猫），不过到最后更换的还是SONY自家的设备，所以相比限制也是（ry

到目前来说更换猫棒之后跑了好几天还是很稳定的，没有像网上说的断网或者自动重启之类的问题出现。可能因为是在寄过来之前已经被测试过了🤔，如果是在网上购买的话就得看运气了。建议的话当然是买贵一些的，最好是连光电转换盒也都买了，毕竟也就加几十块的事。不像我之后还得另外想办法海淘（

至于最近换的Ubiquiti设备，个人感觉还是比较满足的。Ubiquiti设备和Mikrotik相比就有点类似iOS和Android，Ubnt的就是满满的各种果风，从开箱到配置以及使用都是Apple的感觉。而Mikrotik就类似Android扩展性高可以玩出很多花样。虽然没有OpenWRT那种随意装插件之类的，不过只是管理网络来说已经不是够用的级别了，也难怪很多地方拿来当主路由/交换，毕竟后台功能确实挺强大的。如果不买unifi的话应该还会继续选RouterOS吧。不过企业防火墙似乎都比较偏好pfsense之类的，我倒是没用过，对内容过滤也不感冒倒是了（

这次之所以换路由，一是之前买的RB2011在之前的KDDI VDSL百兆网勉强还行，但是升级NURO之后缺点就开始暴露了，最主要是路由速度只有700M左右，而如果开了防火墙的IP过滤速度就只剩300M了_(´ཀ`」 ∠)_

而更换UDM-SE之后，至少官方标称开了全部的防火墙/深度检测功能速度还能达到3.5G，而我网络最大也才2G所以完全是能跑满还有剩。只不过现在卡在硬件没办法跑满2G上。不过由于UDM-SE的CPU接内部交换机只有1G，所以除非通过SFP+外接Pro/Enterprise的交换机，不然速度跑不出来，即便能跑出那个速度讲真平时也用不上，没必要这么折腾，倒不如以后直接等10G然后换XGPON╮(╯▽╰)╭所以买2.5G光电转换盒的事情也可以搁置些年了（虽然从国内淘也不贵倒是

Ubiquiti家最强的还得是Wi-Fi，以前用的是4台Apple的Airport来完成Wi-Fi的部署，1台专注WPA2企业级网络，提供802.11ac的网速。而另外2台则是在802.11n上做桥接（因为两个房间不好搭网线），还有一台专门提供2.4G IoT网络。而这次换unifi之后一个AP就搞定了主网+IoT网，WPA2/3 个人/企业一共8个SSID（后来根据设备削减到了5个）。而且因为有开VLAN所以做到主网设备能访问IoT设备，而IoT设备所在的VLAN无法访问主网设备以及路由等方式。也就是即便IoT设备出现安全问题，最多也就是在IoT所在的网络下搞事，不会影响到主网络。这点也是以前一直想做到的但是因为当时用的交换机以及AP不支持Layer2/3控制所以没办法。

之后如果还要升级的话应该还是会考虑把所有交换机都替换成unifi的统一进行管理，并且细分VLAN之后可以开访客网络。而且最近发现unifi可以给门户网页（类似连接公共Wi-Fi时手机弹出的需要登录特定账户或者同意条款方可连接网络的网页）加收费，可以联动stripe API直接做到提供付费Wi-Fi（虽然估计附近没人会去付费用我网络倒是

还有PoE确实是个好东西，一条网线同时提供网络和电源，Raspberry Pi之类的可以密集部署了🤔。只不过才买了U6-Pro之后就在🇯🇵开卖U6-Enterprise了。虽然速度更快支持2.5G网口，但是价格也更贵。讲真UDM-SE的PoE/PoE+只有内建8口千兆交换机有，如果要上2.5G的U6-Enterprise还得买Enterprise支持2.5G PoE++的交换机，还得上10G链路才行。就太耗钱。目前U6-Pro感觉已经满足大部分人需求了。毕竟我这里全部接近100台wifi设备U6Pro都能全部带的动，没必要一次性就上最好。相比之下多买几台AP多利用不同频道扩展一下wifi覆盖范围反而对wifi连接稳定性感觉更好。

最后附上家装猫棒了的主路由的照片：

=======================================

更新：

通过网友代购，买了个SFP+ to 2.5G Ethernet转换盒，路由器上测速成功跑超2Gbps了。说明NURO确实默认提供的就是2G的网，只是得需要支持的设备才能跑到那么高。大部分的路由和电脑都是1Gbps所以基本上是体验不到完整的2G网的。

即便我自己的环境也是只有路由内部能跑到2G以上，真的要给其他设备用2G网就必须得换交换机上10G SFP+接口，电脑没有SFP的也得考虑双网口链路聚合才能体验到超1G网速。

另外关于MAC地址，NURO不仅不检查各光猫的MAC地址，而且通过更换路由器WAN口的MAC地址可以做到更换公网IP。也就是如果IP被国内反墙了无法直接访问国内网站（CDN站点除外），可以通过更换MAC获取新的IP地址达到绕过封锁的目的（虽然很大概率过几天就又被封锁了。

虽然NURO不验证MAC地址，不过不建议尝试多播，特别是同一LOID不同MAC地址获取多个IP，不确定NURO会不会因此找上门或者断网。