鲲鹏CPE 蜂窝+有线网络分流教程｜校园网+5G双通道｜IP域名分流

概览

通过本教程，你将在鲲鹏CPE上同时接入有线网络和蜂窝5G/4G网络，并规划分流策略，实现指定域名/IP（网站）走有线网络通道，其余域名/IP（网站）走蜂窝5G/4G通道。

该方案非常适合校园用户：让学校内网网站（教务选课系统、知网数据库、教学实验平台等）走校园网通道，日常上网网站（微信、抖音、哔哩哔哩等）仍走蜂窝5G/4G高速通道。

为什么分流？

鲲鹏5G CPE给用户提供了500M以上的超高速上网体验，让众多学生用户摆脱了价格贵、网速慢、网络不稳定、晚上还断网的校园网。但很多学校限制教务选课系统、教学实验平台等仅能使用校园内网访问，中国知网这类学术数据库限制仅通过教育网访问才能免费阅读文献。为了解决这些问题，可以将鲲鹏CPE同时连接蜂窝5G/4G网络和校园网，并使校园内网网站、中国知网分流到校园网通道，即可在享受鲲鹏超高速上网体验时，访问校园内网、知网数据库也畅通无阻。

分流方案对比

方案一：OpenWrt 静态路由

方案二：DNSMasq + PBR 策略路由

准备工作：在开始之前

在开始实施分流之前，请确保你的鲲鹏 CPE 已切换至 OpenWrt 第二系统。

鲲鹏 CPE 切换双系统教程

点击https://www.nbcpe.cn/article/1781935392354676737访问。当前适用机型：鲲鹏 C8-668、鲲鹏 C8-660、鲲鹏 C8-650 系列。

1. 将网线一端连接CPE的蓝色网口，另一端连接宿舍内的校园网网口。

2. 在浏览器中打开路由器管理页面，默认为 http://192.168.66.1/ 。进入菜单[状态]-[CPE概览]。
   记录下图中1处的网关。注意设备为“BLUE4”，代表CPE上蓝色的第四网口。
   地址：10.102.131.231/15 网关：10.103.255.254

   

3. 进入菜单[网络]-[接口]，记录下校园网网口，并编辑该接口。
   接口名：BLUE4WAN

   

4. 选择[高级设置]，取消勾选[使用默认网关]。这一步是确保蜂窝5G/4G为默认上网出口。

   

5. 点击[保存]，滑到页面下方点击[保存与应用]，等待应用生效。

   

6. 整理搜集要分流的校园内网网段，可借助IP查询网站 IP138 整理稍后需要填写的信息。
   常见的参考IP：上网认证门户（必须配置，否则可能无法访问上网认证门户。校园网通道因未上网认证而不通，分流也就没有意义）、接入校园网通过DHCP服务器自动获得的IP段、以 10.x.x.x、172.16.x.x～172.31.x.x、192.168.x.x 为网址的校园内网网站。

   示例1：笔者所在学校的上网认证门户IP为 211.83.192.55 ，通过IP138查询网查询该IP，记录下图中绿色部分信息
   IP段起始：211.83.192.0 子网掩码：255.255.240.0
   

   示例2：在笔者学校，CTF竞赛网站解析到的内网IP为 172.30.254.48 ，该IP地址属于RFC6890规定的私有地址，公网无法路由，只能在校园内网访问。保险起见，可先只配置 172.30.254.0/24 这段路由（一般来说，内网也遵循公网最小可广播原则，最小内网段为/24，即172.30.254.0～172.30.254.255）。
   IP段起始：172.30.254.0 子网掩码：255.255.255.0
   
   示例3：中国知网域名cnki.net、常见高校域名*.edu.cn

准备工作结束。

方案一：配置 OpenWrt 静态路由

1. 进入菜单[网络]-[静态路由]，点击[添加]新增一条静态IPv4路由。

   

2. 填写校园网内网段信息，点击[保存]。多条内网段依此类推，多次添加。
   网关填写第2步记录的网关地址，笔者记录的是10.103.255.254。

   

3. 滑到页面下方，点击[保存并生效]，等待生效。

   

4. 至此结束。试试连接CPE的Wi-Fi，在浏览器访问一个校园内网网站试试吧！

   

方案二：DNSMasq + PBR 策略路由

1. 进入菜单[系统]-[软件包]，点击[更新列表]更新软件包源。
   

2. 在[过滤器]栏目输入pbr进行检索。
   

3. 选择安装软件包luci-i18n-pbr-zh-cn。
   
   
   

4. 刷新页面。进入菜单[服务]-[策略路由]，于[高级配置]-新增之前记录的接口。
   笔者记录的示例：BLUE4WAN
   
   
   

5. 于[策略]板块点击[添加]，按照在准备工作搜集到的要分流的IP地址、域名依次添加策略。
   对于绝大多数分流需求，都仅需填写图中标红的选项，其余选项保持默认或留空。
   笔者以211.83.192.0/20 172.30.254.0/24 edu.cn cnki.net为例。
   PBR对于域名遵循尾匹配原则，远程域设为edu.cn，代表匹配所有以edu.cn结尾的域，包括cnki.net www.cnki.net mobile.cnki.net。
   
   
   
   

6. 启动PBR服务
   
   

7. 至此结束。试试连接CPE的Wi-Fi，在浏览器访问一个校园内网网站试试吧！

   

需要注意的是，虽然我们可在策略中配置域分流，但PBR实质上仍然是基于IP的分流。其工作流程为，用户使用域名发起网络请求时，DNSMasq进行DNS解析，PBR监听到DNSMasq的解析后将解析结果（IP地址）写入路由表，然后进行基于IP的分流。因此，对于某些特别情况，可能导致令人意外的分流。

下面是一个这样的例子。

假设你添加了一个策略，远程地址为steampowered.com，分流至BLUE4WAN接口。此时有另一域github.com，你并不希望它被分流，而是保持走WAN接口。

但不巧的是，steampowered.com和github.com使用了同一家CDN服务（假设），因此他们的DNS解析结果（IP地址）几乎一致。

PBR是基于IP完成分流的，而github.com解析得到的IP地址和steampowered.com的相同，因此github.com域也会被分流到BLUE4WAN接口。

结束

蜂窝+有线网络分流教程结束了，你在实践中是否也有一些想法和创意？欢迎在评论区与大家一起交流：）