我的家庭网络架构：IPv6 + NAS + 智能家居 + Cloudflare

硬件结构#

光猫出来接两台交换机，按用途做了物理分流：

物理分离的好处：IoT 设备的广播风暴不会影响主网络，摄像头持续上传也不会抢占 NAS 的带宽。

交换机 1 — 数据网络#

1
交换机1
2
 ├── NAS（飞牛 FNOS）
3
 │    ├── Gitea（Git 服务）
4
 │    ├── 博客源码/构建
5
 │    ├── 方案文档版本管理
6
 │    └── 其他 Docker 服务
7
 ├── 台式机（开发/办公）
8
 └── 手机/平板（WiFi）

交换机 2 — 智能家居#

1
交换机2
2
 ├── 摄像头（监控，持续上传）
3
 ├── 天猫精灵（语音控制）
4
 ├── 小爱同学（米家入口）
5
 └── 宠物喂食机（定时任务）

IPv6 + DDNS#

光猫开启 IPv6，NAS 上跑 DDNS 客户端，将域名解析到 NAS 的 IPv6 地址。

1
用户 → 域名（AAAA 记录）→ NAS IPv6 → 服务

这样通过域名就能从外网直接访问 NAS 上的服务，无需中转。

FNOS 公网（备用通道）#

飞牛系统自带穿透功能，提供了一条公网访问通道，但速度较慢，仅限于 NAS 管理界面，作为备用入口。

Cloudflare Zero Trust Tunnel#

Cloudflare 端部署了 Zero Trust Tunnel，映射 NAS 中的网站服务。流量路径：

1
用户 → Cloudflare → Tunnel → NAS 内网服务

好处：

• 不需要开放防火墙端口
• Cloudflare 提供 WAF 和安全防护
• 同时支持 IPv4 用户访问（自己没有 IPv4 的用户也能访问）

两个外网通道各有分工：

资产流向#

1
本地编辑
2
   ↓  git push
3
Gitea（NAS 内）
4
   ↓  webhook
5
Cloudflare Pages / Workers
6
   ↓
7
博客站点（公网可访问）

博客 CI/CD#

博客（SelfStack）流程：

1
本地写文章（Markdown）
2
       ↓ git push
3
Gitea 仓库
4
       ↓ webhook 触发
5
Cloudflare 自动构建部署
6
       ↓
7
blog.selfstack.xxx（全球 CDN）

Gitea → Cloudflare 的 CI/CD 链路实现了”推送即发布”，写完文章推上去，Cloudflare 自动构建，几分钟后全球生效。

方案文档管理#

除了博客，所有项目方案也托管在 Gitea：

1
Gitea
2
 ├── selfstack-blog/        # 博客源码
3
 ├── proposals/             # 建设方案
4
 ├── project-plans/         # 项目计划
5
 └── notes/                 # 技术笔记

方案在本地 Obsidian 编写 → 推送到 Gitea → 需要时通过 NAS 外网访问或下载。

Home Assistant#

NAS 上装了 Home Assistant，但目前还没真正用起来。计划中：

• 接入米家设备，统一管理
• 摄像头接入 HA，做动作检测
• 自动化场景（离家关灯、宠物喂食提醒等）
• 通过 Cloudflare Tunnel 开放 HA 外网访问

分层防护#

1
互联网
2
   ↓  Cloudflare WAF + Zero Trust
3
   ↓  NAS 防火墙
4
   ↓  交换机 ACL（未来）
5
内网设备

当前措施#

• IPv6 防火墙：NAS 仅开放必要端口（HTTPS、Gitea SSH）
• Cloudflare WAF：拦截恶意流量，隐藏真实 IP
• Zero Trust 策略：Tunnel 层面做访问控制
• 物理隔离：IoT 设备与主数据网络通过不同交换机分离