摘要船舶网络单点故障与频繁掉线易导致海上业务中断。本文记录了基于 Linux 构建标准工业级海事网关多链路调度与高可用网络的实操复盘。导语在主导一个远洋船队的网络重构项目时我们面临一个典型的技术与风控双重挑战业务方要求在航次中保障关键报关与导航数据的高可用避免因卫星信号丢失或设备宕机导致的断网压船等待同时依据最新的船舶网络安全合规精神必须将不可控的船员生活网络与船舶的航行办公网严格隔离防止因单点感染导致的系统级瘫痪。如果仅仅使用单链路的商业级路由器无法实现平滑的链路状态监控与故障转移Failover。为了用技术手段避开这些潜在的“断网停摆大坑”我们直接在一台高集成度的标准工业级海事网关上深入 Linux 系统编写了基于mwan3的多链路调度脚本并利用nftables构建了稳固的隔离链路。今天把核心代码做个实战复盘。基于 Mwan3 的高可用多链路故障转移要避免因单一卫星信号丢失导致的业务断网停摆必须在边缘侧配置策略路由与高频探活。我们在网关内部署了针对多 WAN 环境优化的mwan3服务实现主备卫星链路的平滑切换。Bash#!/bin/sh # /etc/config/mwan3 核心调度配置片段 config interface primary_sat list track_ip 8.8.8.8 list track_ip 1.1.1.1 option reliability 1 option count 1 option timeout 2 option interval 5 option down 3 option up 3 config interface backup_sat list track_ip 8.8.8.8 # 备用卫星探活间隔拉长节省通信流量 option interval 10 option down 2 option up 2 config member primary_member option interface primary_sat option metric 1 # 优先链路 option weight 10 config member backup_member option interface backup_sat option metric 2 # 备用链路 config policy wan_failover list use_member primary_member list use_member backup_member config rule default_rule option dest_ip 0.0.0.0/0 option use_policy wan_failover利用 Nftables 建立底层隔离防线在高可用通信链路保障后底层网络协议栈必须承担起防越权访问的责任这也是应对合规审查的技术底座。我们利用 Linux 配合nftables拉起隔离网有效阻断非信任生活子网192.168.20.0/24对船舶办公内网192.168.10.0/24的扫描嗅探。Bash# Nftables 阻断防御与区域隔离策略 nft flush ruleset nft add table inet ship_defense # 定义转发链默认拒绝所有跨网段转发连接 nft add chain inet ship_defense forward_chain { type filter hook forward priority 0 \; policy drop \; } # 状态机拦截生活网段向核心办公网的探测直接丢弃并记录安全审计日志 nft add rule inet ship_defense forward_chain ip saddr 192.168.20.0/24 ip daddr 192.168.10.0/24 log prefix [ALERT-CREW-SCAN] counter drop # 允许办公网主动访问外网及合法连接的响应包返回 nft add rule inet ship_defense forward_chain ct state established,related accept nft add rule inet ship_defense forward_chain ip saddr 192.168.10.0/24 oifname eth0 accept # 允许生活网在限速策略下主动访问公网 nft add rule inet ship_defense forward_chain ip saddr 192.168.20.0/24 oifname eth0 accept通过这套底层脚本组合拳网关不仅实现了关键业务数据的高可用出海更构建了能够应对安全审计的稳健网络接管机制。常见问题解答 (FAQ)问题1、为何在边缘侧使用 mwan3 而不是动态路由协议答在精简的边缘网关 Linux 系统中对于非对等的链路如高通量卫星与 L 波段备用卫星mwan3基于 iptables 的 MARK 机制提供了良好的开发效率和准确的源/目的 IP 分流控制在弱网环境下收敛更稳妥。问题2、这套隔离策略如何应对现场网络安全审计答配置了log prefix的nftables规则会将拦截事件写入内核日志。配合网关自带的日志外发模块可形成直观的安全审计报表向审查员证明船舶已采取有效的边界隔离手段。问题3、如何系统性地学习这套底层高可用调度设计答建议深入研究 Linux Kernel Netfilter 架构与 Policy Routing 机制。同行可以在相关技术社区搜索查阅大型船舶合规组网与高可用部署脚本进行参考研究。总结在复杂的商船网络改造中熟练掌握底层链路调度逻辑与网络隔离机制配置合适的高性能标准网关策略是用技术手段降低断网隐患、化解业务停摆风险的核心能力。
