远洋边缘网络:基于 Linux 构建高可用隔离 海事网关 的底层代码复盘
最近帮一家航运公司解决了一个极度恶心的边缘节点网络问题。起初,实施方图省事,在远洋货轮的弱电控制箱里塞了一台市面上常见的千兆企业路由器,想同时接入高轨卫星和近海 5G 网络。
结果老船长发飙了:只要天线遇到一点盲区,主链路掉包,那台路由器的静态策略就直接卡死,底层的 NAT 会话表死活不释放,导致关键报文在旧链路上超时,整个网络陷入假死状态。更要命的是,那玩意儿完全做不到业务网和娱乐网的硬隔离,连基本的网络安全审计都过不了。
被逼无奈,我直接拿了一块经过船级社认证的工业级计算板(也就是业界常说的标准海事网关),决定抛弃一切图形化界面的黑盒配置,直接深入 Linux 内核协议栈,手写脚本来实现秒级的多链路切换和底层的隔离墙。今天把核心代码扒出来,做个实战复盘。
一、 解决链路粘滞:带有状态清理的 Failover 机制
普通的默认路由一旦遇到非对称的卫星网络,就是个睁眼瞎。我们需要用 iproute2 建立高级策略路由(PBR),然后写一个高频探活的守护进程。
这里的坑在于:路由表切了,不代表旧的 TCP 连接就能在新链路上马上重连。必须强行清除 Netfilter 的连接跟踪表,才能让那些卡死的长连接迅速收到 RST 从而重新发起握手。
核心监控脚本如下:
Bash
#!/bin/bash # 1. 为双链路建立独立选路表 ip route add default via 192.168.1.1 dev eth0 table 100 ip route add default via 10.0.0.1 dev eth1 table 200 # 2. 设定系统出站规则的默认权重 ip route add default via 192.168.1.1 dev eth0 metric 10 ip route add default via 10.0.0.1 dev eth1 metric 20 CHECK_IP="8.8.8.8" FAIL_THRESH=2 FAIL_COUNT=0 while true; do ping -c 1 -W 1 -I eth0 $CHECK_IP > /dev/null 2>&1 if [ $? -ne 0 ]; then FAIL_COUNT=$((FAIL_COUNT+1)) if [ $FAIL_COUNT -eq $FAIL_THRESH ]; then echo "[WARN] 链路阻塞,切断 eth0 路由..." ip route del default dev eth0 2>/dev/null # 关键步骤:强洗状态表,专治各种掉线不重连 conntrack -F fi else FAIL_COUNT=0 if ! ip route show | grep -q "default via 192.168.1.1"; then echo "[INFO] 主链路满血复活,执行回切..." ip route add default via 192.168.1.1 dev eth0 metric 10 conntrack -F fi fi sleep 3 done二、 应对合规审查:基于 Nftables 的默认拒绝策略
搞定不断网之后,怎么隔离不同 VLAN 成了一个硬指标。海事审计非常看重物理界限,而用传统的 iptables 写几百条遍历规则,CPU 早就吃满了。直接上 nftables 构建状态机防火墙。
核心逻辑就是:除了明确放行的,其余跨网段的数据包一律斩立决。
Bash
# 1. 净化环境 nft flush ruleset # 2. 建立零信任的核心防御链 nft add table inet maritime_filter nft add chain inet maritime_filter forward { type filter hook forward priority 0 \; policy drop \; } # 3. 状态机放行:只允许已经顺利建立握手的回包通过 nft add rule inet maritime_filter forward ct state established,related accept # 4. 雷池区:任何从生活网段(vlan20)试图访问机舱控制网段(vlan10)的包,直接丢弃并加计数器 nft add rule inet maritime_filter forward iifname "vlan20" oifname "vlan10" counter drop三、 对抗长肥网络:修改拥塞控制算法
卫星网络是出了名的长肥网络(高带宽、超高延迟)。Linux 默认的 CUBIC 算法一旦碰到卫星链路的轻微抖动,就会断崖式地缩减发包窗口。我们要把它强行切到 BBR,基于延迟来计算发包,吞吐量直接原地起飞:
Bash
sysctl -w net.core.default_qdisc=fq sysctl -w net.ipv4.tcp_congestion_control=bbr sysctl -w net.ipv4.tcp_syncookies=1 # 顺手开启防洪攻击 sysctl -p搞完这三把斧,这台网关在海上跑了三个月,老船长再也没报修过。做边缘网络架构,写好一份健壮的内核脚本,比买贵的民用路由器有用得多。