虚拟机部署Ikuai并配置NAT内网和桥接外网指南

一、环境准备与虚拟机配置

1.1 虚拟机平台选择

推荐使用VMware Workstation或VirtualBox作为部署平台，两者均支持Ikuai的ISO镜像安装。以VMware为例，需确保：

• 分配至少2核CPU、2GB内存及20GB磁盘空间
• 启用虚拟化支持（Intel VT-x/AMD-V）
• 网络适配器配置为”桥接模式”或”NAT模式”（后续需调整）

1.2 Ikuai系统安装

1. 下载最新版Ikuai软路由镜像（建议选择LTS版本）
2. 创建新虚拟机时选择”自定义硬件”：

   网络适配器1：桥接模式（用于外网连接）
   网络适配器2：仅主机模式（用于管理接口）

3. 启动虚拟机并按照向导完成系统安装，记录初始管理IP（通常为192.168.1.1）

二、网络拓扑设计

2.1 典型拓扑结构

[互联网] ←→ [物理路由器] ←→ [Ikuai虚拟机]
               ↑       ↓
        [NAT内网]  [桥接外网]

• 网卡1（eth0）：桥接至物理网络，获取公网IP或通过上级路由NAT
• 网卡2（eth1）：作为LAN口，配置私有IP段（如192.168.8.1/24）

2.2 网卡绑定策略

对于高可用场景，建议配置链路聚合：

# 在Ikuai shell中执行
cat > /etc/sysconfig/network-scripts/ifcfg-bond0 <<EOF
DEVICE=bond0
TYPE=Bond
BONDING_OPTS="mode=802.3ad miimon=100"
EOF

三、NAT内网配置

3.1 基础NAT设置

1. 登录Ikuai管理界面（Web或SSH）
2. 进入”网络配置”→”内外网设置”：
   • WAN口：选择eth0，配置PPPoE/静态IP
   • LAN口：选择eth1，设置IP为192.168.8.1/24
3. 启用NAT功能：

   # 添加SNAT规则
   iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

3.2 端口转发配置

示例：将外部80端口转发至内网服务器192.168.8.100：

1. 在”防火墙”→”端口转发”中添加规则：
   • 外部端口：80
   • 内部IP：192.168.8.100
   • 内部端口：80
   • 协议：TCP
2. 验证规则生效：

   iptables -t nat -L -n | grep 80

四、桥接外网实现

4.1 纯桥接模式配置

适用于需要将Ikuai作为透明网桥的场景：

1. 进入”网络配置”→”桥接设置”
2. 创建网桥br0并绑定eth0：

   brctl addbr br0
   brctl addif br0 eth0
   ifconfig eth0 0.0.0.0
   ifconfig br0 [公网IP] netmask [子网掩码]

3. 关闭ip_forward：

   echo 0 > /proc/sys/net/ipv4/ip_forward

4.2 混合模式部署

同时满足NAT内网和桥接外网需求：

1. 配置三个网卡：
   • eth0：WAN口（NAT模式）
   • eth1：LAN口（192.168.8.1/24）
   • eth2：桥接口（接入现有网络）
2. 创建网桥并保留路由功能：

   brctl addbr br1
   brctl addif br1 eth2
   ifconfig br1 up

五、高级配置技巧

5.1 多WAN策略路由

配置双线接入时的智能选路：

1. 在”多线设置”中添加第二条WAN连接
2. 创建策略路由规则：

   # 示例：电信流量走eth0，联通走eth1
   ip rule add from 192.168.8.0/24 table 100
   ip route add default via [电信网关] dev eth0 table 100

5.2 VPN服务集成

在Ikuai上部署OpenVPN：

1. 安装OpenVPN包：

   opkg update
   opkg install openvpn-openssl

2. 生成证书并配置server.conf：

   port 1194
   proto udp
   dev tun
   ca ca.crt
   cert server.crt
   key server.key
   dh dh.pem
   server 10.8.0.0 255.255.255.0

六、故障排查指南

6.1 常见问题处理

现象	可能原因	解决方案
无法获取IP	DHCP服务未启动	service dhcpd restart
NAT不通	iptables规则丢失	重新应用NAT配置
桥接失败	网卡未绑定	brctl show检查状态

6.2 日志分析

关键日志文件位置：

/var/log/messages      # 系统日志
/tmp/dhcp.log          # DHCP日志
/var/log/openvpn.log   # VPN日志

七、性能优化建议

7.1 硬件加速配置

启用网卡硬件卸载功能：

# 检查支持情况
ethtool -k eth0 | grep tx-checksumming
# 启用校验和卸载
ethtool -K eth0 tx off rx off

7.2 连接数优化

调整内核参数：

echo "net.nf_conntrack_max = 65536" >> /etc/sysctl.conf
echo "net.ipv4.ip_local_port_range = 1024 65000" >> /etc/sysctl.conf
sysctl -p

八、安全加固措施

8.1 防火墙基础规则

# 禁止外部ping
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# 限制SSH访问
iptables -A INPUT -p tcp --dport 22 -s 192.168.8.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

8.2 定期维护任务

建议配置cron任务：

# 每周清理连接跟踪表
echo "0 3 * * 1 /sbin/conntrack -D" >> /etc/crontab
# 每月更新系统
echo "0 0 1 * * opkg update && opkg upgrade" >> /etc/crontab

九、企业级部署建议

9.1 高可用架构

采用VRRP协议实现双机热备：

# 主备节点配置
keepalived -D -f /etc/keepalived/keepalived.conf
# 配置示例
vrrp_instance VI_1 {
    state MASTER
    interface eth1
    virtual_router_id 51
    priority 100
    virtual_ipaddress {
        192.168.8.254
    }
}

9.2 集中管理方案

通过Ikuai的API接口实现批量配置：

import requests
def set_nat_rule(api_key, rule):
    url = "http://[ikuai_ip]/api/v1/nat"
    headers = {"X-API-KEY": api_key}
    response = requests.post(url, json=rule, headers=headers)
    return response.json()

十、总结与展望

通过虚拟机部署Ikuai软路由系统，开发者可以灵活构建包含NAT内网穿透和桥接外网连接的复合型网络架构。实际部署时需注意：

1. 合理规划IP地址段，避免冲突
2. 根据业务需求选择纯NAT、纯桥接或混合模式
3. 定期备份配置文件（/etc/ikuai/config.xml）
4. 关注Ikuai官方更新，及时修复安全漏洞

未来网络架构发展趋势显示，SDN技术与软路由的结合将成为主流。建议开发者持续关注Ikuai的SDN插件开发，为构建自动化网络奠定基础。”