远洋边缘节点实战：基于 Linux 的 LEO 卫星网络多链路融合与合规隔离路由策略

摘要： 散货船直连低轨卫星网络存在单点故障与明文传输风险。本文记录了基于 Linux 构建标准工业边缘网关多链路融合与合规隔离的实操复盘。

导语： 在实操一个远洋散货船网络降本重构项目时，我们面临一个典型的 LEO（低轨卫星，如 Starlink）融合难题：船东希望通过引入便宜的 LEO 带宽来替代昂贵的 GEO（地球同步轨道，如 VSAT）带宽，但 LEO 在大洋深处偶有掉线。同时，合规审计员要求：无论走哪条链路，关键的办公 OT（操作技术）数据必须与船员 BYOD（自带设备）网络严格隔离，且必须进行高强度的底层加密穿透。如果仅仅使用民用路由器，无法实现平滑的 Multi-WAN 切换，更无法构建隔离网段。为了实现高可用且合规的自动化对接，我们抛弃了市面上的低端透传黑盒，直接在一台高集成度的标准工业级边缘网关上，深入 Linux 系统编写了基于 mwan3 的负载均衡脚本，并利用 strongSwan 构建了高强度的专线数据通道。今天把核心的代码做个实战复盘。

基于 Mwan3 的 LEO 与 VSAT 毫秒级故障转移

要让现代应用平滑过渡卫星的盲区，必须在边缘侧配置策略路由（Policy Routing）与高频探活。我们在网关内部署了针对多 WAN 环境优化的 mwan3 服务。

该服务将 eth1（连接 LEO 终端）设为主干道，eth2（连接 VSAT 终端）设为热备道。通过高频 ping 根域名服务器，一旦 LEO 丢包率超过阈值，立刻重写 iptables 路由标记：

Bash

#!/bin/sh
# /etc/config/mwan3 核心配置片段复盘
config interface 'leo_wan'
    list track_ip '8.8.8.8'
    list track_ip '1.1.1.1'
    option reliability '1'
    option count '1'
    option timeout '2'
    option interval '5'
    option down '3'
    option up '3'

config interface 'vsat_wan'
    list track_ip '8.8.8.8'
    list track_ip '1.1.1.1'
    # VSAT 探活间隔拉长，节省昂贵的探测流量
    option interval '10'

config member 'leo_member'
    option interface 'leo_wan'
    option metric '1'     # 高优先级
    option weight '10'

config member 'vsat_member'
    option interface 'vsat_wan'
    option metric '2'     # 备用优先级
    option weight '10'

config policy 'wan_failover'
    list use_member 'leo_member'
    list use_member 'vsat_member'

config rule 'default_rule'
    option dest_ip '0.0.0.0/0'
    option use_policy 'wan_failover'

利用 strongSwan 建立零信任专线与 Namespace 隔离

在链路高可用保障后，底层网络协议栈必须承担起保密与防逃逸的责任。由于公海链路极不安全，我们在网关内核中注入了 strongSwan 进程，利用 IKEv2/IPsec 协议将办公子网（192.168.10.0/24）的流量强制封装进高强度加密专用隧道中，直达国内总部。

更为关键的是防线建设。我们利用 Linux Network Namespace (netns) 配合 nftables 拉起零信任隔离网，坚决阻断船员娱乐子网（192.168.20.0/24）对办公内网的反向嗅探。

Bash

# 1. 配置 strongSwan IPsec 隧道 (避免明文嗅探)
# /etc/ipsec.conf
conn hq-tunnel
    keyexchange=ikev2
    ike=aes256-sha256-modp2048!
    esp=aes256-sha256!
    left=%defaultroute
    leftsubnet=192.168.10.0/24
    right=203.0.113.5  # 总部公网 IP
    rightsubnet=10.0.0.0/8
    auto=start

# 2. Nftables 零信任阻断防御
nft flush ruleset
nft add table inet edge_defense
# 默认拒绝所有跨网段转发连接
nft add chain inet edge_defense forward_chain { type filter hook forward priority 0 \; policy drop \; }

# 3. 状态机：仅允许办公网走 IPsec 专线，拦截船员网向办公网的扫描
nft add rule inet edge_defense forward_chain ip saddr 192.168.20.0/24 ip daddr 192.168.10.0/24 log prefix "[ALERT-LAN-HACK-ATTEMPT] " counter drop
nft add rule inet edge_defense forward_chain ct state established,related accept

通过这套组合拳，网关在接触到廉价的 LEO 带宽时，便能完成免人工干预的安全接管与结构化加密输出。

常见问题解答 (FAQ)：

问题1、为何在边缘侧使用 mwan3 而不是 OSPF 动态路由协议？

答：在极简的边缘网关嵌入式 Linux 系统中，对于非对等的链路（如 LEO 和 GEO），mwan3 基于 iptables 的 MARK 机制提供了极佳的开发效率和精准的源/目的 IP 分流控制，比 OSPF 收敛更快。

问题2、如果高强度的 IPsec 加密导致老旧硬件 CPU 满载怎么办？

答：必须采购支持硬件加密加速引擎（AES-NI 或类似 NPU）的标准化工业边缘网关。纯软件计算会导致极高的延迟，反而拖累了 LEO 的优势。

问题3、如何系统性地学习这套底层隔离与多链路融合拓扑设计？

答：建议深入研究 Linux Kernel Netfilter 架构与 policy routing。

**总结：**在复杂的工控边缘网络改造中，熟练掌握底层负载均衡逻辑、加密专用隧道机制与网络包过滤机制，配置合适的高性能标准网关安全脚本，是架构师低成本盘活 LEO 带宽资产的核心能力。