核心在于：第一，密度高的时候Mesh真的卵用没有。如果你也做了大量Wifi IOT，你应该能够认识到这一点。第二，Mesh不能够控制你的STA（设备）到底链接哪个AP，在信号差不多的时候会左右横跳反复断联。第三，安卓不支持802.11 k/v/r，所以根本不能无缝漫游！根本不能无缝漫游！根本不能无缝漫游！Windows和iOS支持，但是依靠STA来做roam也是非常灵车的。第四，如果你真信了无线回程的鬼话你这辈子就有了。

目前的解决方案中还是AC+AP能够提供最好的漫游体验。AC能够主动踢设备下线，也能绑定设备到底能连接哪个AP，杜绝反复横跳的问题，还可以主动更改信号发射频率。

当然，还有不用漫游的方案。比如单一路由+全屋馈线，这样整个房子只有一个信号，就是难做。或者说，上个路由器pro plus max ultra xxxl。

pro plus max ultra xxxl#

有一个TP路由器的型号叫TL-7DR6430，我之前180买的，支持wifi7。我用了大概几天，发现在路由器旁边的时候一直会头晕。我之前没发现，后来问了群友才知道这东西的增强模式的信号强的离谱（国标是23dBm，但是这个路由器的信号强度已经秒了aruba的AP了，真的离谱），遂把这个路由器放在了很很远的地方，结果发现隔了两堵水泥墙手机还能收到-49dBm的信号，过于抽象，20米，满格。在这么远的距离下我依然能够协商出1000+Mbps的速度，真的是大受震撼。

当然还有一个TL-7DR6450，算是30的上位。TP还是祖传偷散热，30用的时候可以加个风扇吹吹。但是200块钱不到真的太牛逼了。

流控/审查#

人人有墙建啊家人们。跨省结算之后，不管你有没有fullcone，有没有公网ip，只要上传一大就给你限速/拔网线。在2026年居然真的要在家里部署防火墙了。不过有些应用侧的处理还是可以在应用侧处理。

BT#

必须使用qBittorrent client blocker或者BTN-PBH，接入行为分析和云端黑名单，不然吸血的客户端会直接把你的上传全部吃满送你归西。现在的滥用已经不能靠增强版ban UA了，基本上只能通过行为分析和共享黑名单处理，真的太多太多了。

如果你有公网#

可以考虑开fullcone，但是把upnp关了。这样子能够减少很多pcdn直接注册成upnp服务偷跑流量。

PCDN等等#

真的，有钱买个起夜级防火墙。这东西我目前的解决方法是，把特别会跑PCDN的设备，比如电视拉入一个用户组，然后对这个用户组应用白名单的规则。非已知应用+上行统一限速5Mbps，直接拦截PCDN已知域名，这样子才能够解决PCDN的问题。

Openwrt的流控和QoS真的非常摆设。先不说吃性能，开源DPI方案的识别准确度也是非常的乐。opnSense上也有相关的插件，不过还是对中国有点水土不服。总之，一定一定要对不可控的可能跑PCDN的设备限速，不然随时都可能爆个大的。

IPV6#

嗯，没有人会配IPV6。我的意思是大部分人都不会配置IPV6的防火墙和规则不是说我不会，所以最好在路由器上直接拒绝所有IPV6的入站。或者找起夜级防火墙做风险情报检测自动阻断，不然IPV6真的太危险了。一个0.0.0.0+ip地址泄露就能够让坏人直接访问你本地的服务，而你一般还在用弱密码。

如果你是懒狗，也可以直接禁用IPV6，这一般不会导致什么问题，如果你真的用得到IPV6那你也不会这么懒。

UPNP#

一定要管理好能注册UPNP的设备。你去搜索引擎上搜qB的默认网页title，看看有多少个UPNP设备注册了这个服务。然后又有多少能直接通过这个ip进入路由器/群晖的后台。现在这帮搞DMZ和NAS教程的真的太野了。

DNS缓存#

223.5.5.5都上QPS限制了。ISP的DNS有可能有污染或者别的灵车注入。你需要在内网放一个DNS服务器来代理网络中所有的DNS流量。op上可以用smartdns，当然我推荐smartdns-rs，因为rust版本的支持更新更好，不过正常版本也能用。有些弱智设备是没有本机DNS缓存的，这会导致如果你用公共DNS打到Rate Limit之后直接网络爆掉。