家庭网络准备检查

低风险

作者 @affaan-m已验证来源

4.2247 次安装v1.0.0更新于 2026年5月25日

使用方式

在 Claude Code 中运行以下命令

第一步：添加 Marketplace

/plugin marketplace add affaan-m/ECC

第二步：安装插件

/plugin install ecc@ecc

关于

在更改路由器、防火墙、DHCP 或 VPN 配置之前的 Homelab VLAN 分段、本地 DNS 过滤和 WireGuard 远程访问就绪检查清单。

name: homelab-network-readiness description: 在更改路由器、防火墙、DHCP 或 VPN 配置之前，用于家庭实验室 VLAN 分段、本地 DNS 过滤和 WireGuard 式远程访问的就绪检查清单。 origin: community

家庭实验室网络就绪检查

在更改混合了 VLAN、Pi-hole 或其他本地 DNS 解析器、防火墙规则和远程 VPN 访问的家庭或小型实验室网络之前，使用此技能。

这是一个规划和审查技能。除非目标平台、当前拓扑、回滚路径、控制台访问和维护窗口全部已知，否则不要将其转化为复制粘贴的路由器、防火墙或 VPN 配置。

何时使用

准备将扁平网络拆分为可信、IoT、访客、服务器或管理 VLAN。
将 DHCP 客户端迁移到 Pi-hole、AdGuard Home、Unbound 或其他本地 DNS 解析器。
添加 WireGuard、Tailscale、ZeroTier、OpenVPN 或路由器原生 VPN 访问。
审查家庭实验室更改是否会将操作员锁定在网关、交换机、接入点、DNS 服务器或 VPN 服务器之外。
将非正式的家庭网络想法转化为带有验证证据的分阶段迁移计划。

安全规则

第一个回答保持只读：清单、风险、分阶段计划、验证和回滚。
不要将网关管理面板、DNS 解析器、SSH、NAS 控制台或 VPN 管理 UI 直接暴露到公共互联网。
在没有确认平台和回滚程序的情况下，不要提供防火墙、NAT、VLAN、DHCP 或 VPN 命令。
在更改管理 VLAN、中继端口、防火墙默认策略或 DHCP/DNS 设置之前，需要带外或同室控制台访问。
在将整个网络指向新的 DNS 解析器或 VPN 路由之前，保持一条可用的互联网回退路径。
将 IoT、访客、摄像头和实验室服务器网络视为不同的信任区域，除非操作员明确选择其他方式。

必需清单

在给出实施步骤之前收集以下信息：

| 领域 | 问题 | | --- | --- | | 互联网边缘 | 调制解调器或 ONT 是什么？ISP 路由器是桥接还是仍在路由？ | | 网关 | 什么设备负责路由、防火墙、DHCP 和 VPN 终端？ | | 交换 | 哪些交换机端口是上行链路、接入端口、中继端口或非管理端口？ | | Wi-Fi | 哪些 SSID 映射到哪些网络，AP 是有线还是 Mesh？ | | 寻址 | 目前存在哪些子网，哪些范围与 VPN 站点冲突？ | | DNS/DHCP | 当前哪个服务分发租约和解析器地址？ | | 管理 | 更改后操作员如何访问网关、交换机和 AP？ | | 恢复 | 如果 DNS、DHCP、VLAN 或 VPN 路由中断，什么可以在本地恢复？ |

VLAN 和信任区域规划

从意图开始，而非厂商语法。

| 区域 | 典型内容 | 默认策略 | | --- | --- | --- | | 可信 | 笔记本电脑、手机、管理工作站 | 仅在需要时可访问共享服务和管理 | | 服务器 | NAS、Home Assistant、实验室主机、DNS 解析器 | 接受来自可信客户端的窄入站流量 | | IoT | 电视、智能插座、摄像头、音箱 | 仅互联网访问加明确例外 | | 访客 | 访客设备 | 仅互联网，无 LAN 可达性 | | 管理 | 网关、交换机、AP、控制器 | 仅可信管理设备可达 | | VPN | 远程客户端 | 与可信客户端相同或更窄的访问权限 |

在推荐 VLAN ID 或子网之前，确认：

网关支持 VLAN 间路由和防火墙规则。
交换机支持所需的标记和未标记端口行为。
AP 可以将 SSID 映射到 VLAN。
操作员知道更改期间自己通过哪个端口连接。
中继和 SSID 更改后管理网络仍然可达。

DNS 过滤就绪

Pi-hole 或其他本地解析器应作为依赖项引入，而非单点故障。

在 DHCP 选项中使用解析器之前，为其分配保留地址。
确认它可以解析公共 DNS 和本地 home.arpa 名称。
保持网关或第二个解析器作为临时回退可用。
在更改所有 DHCP 范围之前，先测试一个客户端或一个 VLAN。
记录哪些网络可以绕过过滤及原因。
检查阻止规则是否会破坏强制门户、工作 VPN、固件更新或医疗/安全设备。

有用的验证证据：

Client gets expected DHCP lease
Client receives expected DNS resolver
Public DNS lookup succeeds
Local home.arpa lookup succeeds
Blocked test domain is blocked only where intended
Gateway and DNS admin interfaces are not reachable from guest or IoT networks

远程访问就绪

对于 WireGuard 式访问，在生成密钥或开放端口之前决定 VPN 允许访问什么。

| 模式 | 适用场景 | 风险说明 | | --- | --- | --- | | 分隧道到单个子网 | NAS 或实验室主机的远程管理 | 保持路由列表精简 | | 分隧道到可信服务 | 通过 IP 或 DNS 访问选定应用 | 需要精确的路由和 DNS 配置 |

兼容工具

Claude CodeCursor

家庭网络准备检查

关于

name: homelab-network-readiness description: 在更改路由器、防火墙、DHCP 或 VPN 配置之前，用于家庭实验室 VLAN 分段、本地 DNS 过滤和 WireGuard 式远程访问的就绪检查清单。 origin: community

家庭实验室网络就绪检查

何时使用

安全规则

必需清单

VLAN 和信任区域规划

DNS 过滤就绪

远程访问就绪

兼容工具

标签

相关推荐

MCP 服务器构建

分布式追踪实现

家庭网络搭建

容器编排部署

DevOps 故障排除

Azure密钥管理 (Keys)