小型网络系列:RouterOS 和 Switch 的职责边界
系列导航
- 小型网络系列:开篇 - 300-500 Devices 的网络为什么也会复杂
- 小型网络系列:RouterOS 和 Switch 的职责边界
- 小型网络系列:LAG、VLAN 和 Macvlan 为什么会一起出现
- 小型网络系列:PCC 分流逻辑和故障行为
- 小型网络系列:WireGuard 为什么是日常路径
- 小型网络系列:脚本、Scheduler 和可恢复性
背景
上一篇先把范围定住:这不是企业网络最佳实践,而是一套 300-500 Devices 小型网络里的实用取舍。
这一篇只讲 Office-JT 里的两个核心角色:RouterOS 和 Managed Switch。
它们看起来都在“转发流量”,但职责不能混在一起。Switch 负责物理接入、LAG、VLAN 载体;RouterOS 负责网关、DHCP、NAT、PCC、WireGuard 和路由策略。把这两层拆清楚之后,后面写 LAG / VLAN / Macvlan、PCC、WireGuard 才不会绕成一团。
当前几个管理点是:
| 组件 | LAN 地址 | 职责 |
|---|---|---|
| RouterOS CHR | 192.168.8.1 |
主网关、PCC、WireGuard、DHCP、NAT |
| Managed Switch | 192.168.8.90 |
接入口、LAG1、VLAN Carrier |
| PVE | 192.168.8.100 |
承载 CHR、WRT 和相关基础服务 |
| Ubiquiti UniFi AP | 不展开 | PoE AC AP,无线 Mesh 关闭,2.4G / 5G 分 SSID 接入 |
这些地址都是 LAN 内拓扑语义。公网地址、真实域名和 MAC 不应该出现在文章里。
当前拓扑
Office-JT 的形状可以先画成这样:
sequenceDiagram participant WAN as Modem / WAN Sources
3 WAN Inputs / Future Modems participant Switch as Managed Switch
192.168.8.90
WAN Access / LAG1 / VLAN participant RouterOS as RouterOS CHR
192.168.8.1
Gateway / PCC / WireGuard participant LAN as Office LAN
192.168.8.0/21
Users / PVE / UniFi AP WAN->>Switch: Current 3 WAN Physical Access Ports WAN-->>Switch: Future Modems enter through Switch Ports Switch->>RouterOS: VLAN 10 / 20 / 30 over LAG1 / bonding1 Switch->>RouterOS: System-VLAN / LAN over bonding1 RouterOS->>LAN: DHCP / Gateway / NAT / PCC Policy RouterOS->>LAN: WireGuard Site Routes to Office-SQ / DC-101
sequenceDiagram participant WAN as Modem / WAN Sources
3 WAN Inputs / Future Modems participant Switch as Managed Switch
192.168.8.90
WAN Access / LAG1 / VLAN participant RouterOS as RouterOS CHR
192.168.8.1
Gateway / PCC / WireGuard participant LAN as Office LAN
192.168.8.0/21
Users / PVE / UniFi AP WAN->>Switch: Current 3 WAN Physical Access Ports WAN-->>Switch: Future Modems enter through Switch Ports Switch->>RouterOS: VLAN 10 / 20 / 30 over LAG1 / bonding1 Switch->>RouterOS: System-VLAN / LAN over bonding1 RouterOS->>LAN: DHCP / Gateway / NAT / PCC Policy RouterOS->>LAN: WireGuard Site Routes to Office-SQ / DC-101
sequenceDiagram participant WAN as Modem / WAN Sources
3 WAN Inputs / Future Modems participant Switch as Managed Switch
192.168.8.90
WAN Access / LAG1 / VLAN participant RouterOS as RouterOS CHR
192.168.8.1
Gateway / PCC / WireGuard participant LAN as Office LAN
192.168.8.0/21
Users / PVE / UniFi AP WAN->>Switch: Current 3 WAN Physical Access Ports WAN-->>Switch: Future Modems enter through Switch Ports Switch->>RouterOS: VLAN 10 / 20 / 30 over LAG1 / bonding1 Switch->>RouterOS: System-VLAN / LAN over bonding1 RouterOS->>LAN: DHCP / Gateway / NAT / PCC Policy RouterOS->>LAN: WireGuard Site Routes to Office-SQ / DC-101
sequenceDiagram participant WAN as Modem / WAN Sources
3 WAN Inputs / Future Modems participant Switch as Managed Switch
192.168.8.90
WAN Access / LAG1 / VLAN participant RouterOS as RouterOS CHR
192.168.8.1
Gateway / PCC / WireGuard participant LAN as Office LAN
192.168.8.0/21
Users / PVE / UniFi AP WAN->>Switch: Current 3 WAN Physical Access Ports WAN-->>Switch: Future Modems enter through Switch Ports Switch->>RouterOS: VLAN 10 / 20 / 30 over LAG1 / bonding1 Switch->>RouterOS: System-VLAN / LAN over bonding1 RouterOS->>LAN: DHCP / Gateway / NAT / PCC Policy RouterOS->>LAN: WireGuard Site Routes to Office-SQ / DC-101
这里按“承载交接”从左到右画:Modem / WAN Sources 先进入 Switch,Switch 再通过 VLAN 和 LAG1 / bonding1 把这些 WAN 角色送到 RouterOS,RouterOS 最后向 Office LAN 提供网关、DHCP、PCC 和 WireGuard Site Routes。
所以 Switch 不是“纯 LAN 交换机”,它同时也是 WAN 接入口的物理承载层。当前实际是 3 条 WAN 接入,后续如果继续增加 Modem,也应该优先从 Switch 侧扩展 Access Port,而不是要求 PVE Host 为每条 WAN 都提供独立有线网口。
RouterOS 也不是直接插了三条清晰独立的 WAN 线,而是通过 bonding1 上的 VLAN 接到不同 WAN 角色。
Switch 负责什么
Switch 的职责很具体:
- 哪些口是普通 LAN 口
- 哪些口接入 WAN Source
- 哪些口组成
LAG1 - 哪些 VLAN 通过
LAG1送到 RouterOS - WAN Source 的 Access Port 应该落在哪个 PVID
- 如何用 Switch Port 扩展 PVE Host 有限的有线接入能力
- RouterOS 侧看到的物理承载是否稳定
这是一层物理和 L2 语义。
例如,Office-JT 里 LAG1 是 Switch 到 RouterOS 的复用通道。LAN 继续走基础 System-VLAN / bonding1,当前 3 条 WAN 通过不同 VLAN 挂在同一条 Bonding 载体上。以后如果再加 Modem,优先增加的是 Switch 侧 Access Port 和对应 VLAN 语义,而不是继续消耗 PVE Host 的物理网口。
Switch 在这里不应该理解 PCC,不应该决定哪台客户端走 route2,也不应该判断 Office-SQ 或 DC-101 的回程路径。它只负责把线接对、VLAN 送对、LAG 稳定。
如果 Switch 侧 PVID 配错,RouterOS 上的 PCC 脚本再漂亮也没用。因为 RouterOS 看到的入口已经不对了。
RouterOS 负责什么
RouterOS 是主网关,所以它负责网络决策:
- LAN 网关和 DHCP
- NAT 和基础防火墙
- Multi-WAN 的 PCC 分流
- route1 / route2 / route3 的路由语义
- WireGuard 站点互联
Office-SQ/DC-101的远端 LAN 访问- 管理脚本、Scheduler 和运行状态
RouterOS 看到的是已经由 Switch 承载过来的接口形态:
bonding1是 LAN 和 VLAN 的复用载体br-lan承载 LAN,地址是192.168.8.1/21vlan10、vlan20、vlan30对应不同 WAN Rolemacvlan10、macvlan20、macvlan30给每条 WAN Path 独立 L2 身份
这就是为什么 RouterOS 和 Switch 的边界必须清楚。
Switch 处理“哪根线、哪个 VLAN、哪个 LAG”;RouterOS 处理“这条路径要不要参与 PCC、哪些网段走 WireGuard、客户端默认网关是什么”。
为什么不能把边界合起来
小型网络里最容易发生的事情,是一开始觉得“能通就行”,后面所有东西都混在一起。
比如:
- 看到 VLAN,就想顺手做部门隔离
- 看到 Switch 管理界面,就想在那里表达业务策略
- 看到 RouterOS 能做 Bridge,就想把所有物理语义也挪进去
- 看到 WRT 能跑服务,就想把管理路径也从主网关拿走
这些不是不能做,而是要先问:它解决的是什么问题?
当前 Office-JT 的 VLAN 不是部门隔离。它解决的是 WAN 接入和 Bonding 复用。RouterOS 的 PCC 不是 Switch 负载均衡。它解决的是连接级出站路径选择。WireGuard 也不是个人 Overlay。它是办公室站点之间的日常路径。
边界一旦混掉,排障会很痛苦。
例如用户说访问 DC-101 的 SMB 或非 HTTP 服务慢,到底该看哪里?
- 如果是 Switch 端口或 LAG 问题,看 Switch
- 如果是 PCC 把流量标错,看 RouterOS Mangle 和 Route
- 如果是 WireGuard Peer 抖动,看 RouterOS WireGuard / Netwatch
- 如果是 DNS 解析成了不合适的地址,看 DNS 记录或解析结果
- 如果是 WRT Admin Overlay 断了,不应该第一时间怀疑办公室日常 WireGuard
边界不是为了文档好看,而是为了排障时问题能落到正确层。
和 WRT 的关系
Office-JT 也有 WRT,但它不是这套小型网络主数据面的核心。
WRT 更像额外 Admin Layer:
- NetBird Peer
- ZeroTier Peer
- Sing-box 备用入口
- 管理时的第二条路径
这些能力有价值,但它们不是办公室日常用户访问 Office-SQ / DC-101 的主路径。
日常站点互联在 RouterOS WireGuard 上。普通办公流量、运营同事访问 SMB LAN IP Windows 共享、技术同事访问 DC-101 非 HTTP 服务,都不应该依赖 WRT 这层额外能力。
这和 Homelab 系列不同。
Homelab 里 WRT 承载透明代理和 Admin Overlay,是一个很重要的策略层;Office 网络里,RouterOS / Switch / WireGuard 才是主叙事。
最后的结论
这套小型网络里,RouterOS 和 Switch 的职责边界大概是:
- Switch 负责物理接入、LAG、VLAN Carrier
- RouterOS 负责网关、PCC、WireGuard、DHCP、NAT
- PVE 负责承载,不直接表达网络策略
- WRT 是额外 Admin Layer,不是日常主数据面
这个边界不花哨,但它能让后面的复杂度有地方放。
后面继续拆 LAG、VLAN 和 Macvlan。这一层才是真正把“多条 WAN 怎么复用到 RouterOS”落到拓扑里的部分。