物理机lede如何配置wan和lan？

在物理机（即直接在裸金属硬件如工控机、旧电脑、迷你主机等上安装）上部署 LEDE（或基于 OpenWrt 的系统）作为软路由时，正确理解和配置 WAN 和 LAN 接口是网络功能正常运作的核心基础，这与购买现成的硬路由不同，物理机上的接口需要您手动定义其角色，本文将深入浅出地解释这两个关键概念、它们的作用、区别以及如何在物理机 LEDE 环境下进行配置。

物理机 LEDE 接口的本质：从硬件到逻辑

物理机通常拥有多个物理网络接口（网卡端口），例如常见的双网口、四网口主板，在初始安装 LEDE 后，这些物理接口默认可能没有明确的“WAN”或“LAN”角色分配，或者分配不符合您的实际网络拓扑需求。

• 物理接口： 指的是您机器主板或扩展卡上实实在在的 RJ45 网口（或其他类型的网络端口）。
• 逻辑接口： 指的是在 LEDE 系统内部，您为这些物理接口赋予的网络功能和角色定义。WAN 和 LAN 就是最重要的两种逻辑接口类型。

配置 WAN 和 LAN 的核心过程，就是将物理机上的特定物理网口，在 LEDE 系统中逻辑地指定为 WAN 接口或 LAN 接口。

WAN 接口：通往互联网的大门

• 功能定义： WAN (Wide Area Network) 接口是您的 LEDE 软路由连接外部广域网（通常就是互联网）的出口，它是数据流进出您本地网络的唯一（或主要）通道。
• 物理连接：
  • 您需要将物理机上的某一个物理网口（eth0）通过网线连接到上级网络设备，这个上级设备可能是：
    • 互联网服务提供商（ISP）提供的光猫/调制解调器（最常见）。
    • 另一个路由器（在复杂网络环境中）。
    • 企业网络的出口网关。
• 逻辑配置 (在 LEDE 中)：
  • 协议类型： 您需要在 LEDE 的 WAN 接口上配置正确的连接协议，这取决于您的 ISP 或上级网络的要求：
    • DHCP 客户端： 最常见的方式，LEDE 会从上级设备（如光猫）自动获取 IP 地址、网关和 DNS 信息，适用于光猫已设置为路由模式或上级路由器分配地址的情况。
    • PPPoE： 国内宽带（如 ADSL、光纤到户 FTTH）最常见的拨号方式，您需要在此处输入 ISP 提供的宽带账号和密码进行拨号认证才能上网。
    • 静态 IP： 如果您的上级网络给您分配了固定的 IP 地址、子网掩码、网关和 DNS，则需要手动在此配置。
    • 其他协议（如 6in4, PPPoA 等，相对少见）。
  • 防火墙区域： WAN 接口必须被分配到 wan 防火墙区域，这是 LEDE 防火墙规则区分内外网、提供 NAT（网络地址转换）和基础安全防护（阻止来自 WAN 的未授权入站连接）的关键依据。
• 关键作用：
  • 建立与互联网的连接。
  • 执行 NAT (Network Address Translation)：将您局域网内多个设备的私有 IP 地址转换成一个（或多个）公网 IP 地址，使内网设备能够访问互联网，这是家用和小型办公网络访问互联网的基础机制。
  • 接收来自互联网的数据包（响应内网请求或配置允许的服务）。

LAN 接口：构建您的本地王国

• 功能定义： LAN (Local Area Network) 接口是您的 LEDE 软路由连接内部局域网设备的桥梁，它负责在您的本地网络（家庭、办公室）内部分配 IP 地址、转发数据并提供各种本地网络服务。
• 物理连接：
  • 您会将物理机上的一个或多个剩余的物理网口（eth1, eth2, eth3）在 LEDE 中配置为 LAN 接口。
  • 这些物理网口通过网线连接到您的交换机、无线接入点 (AP) 或直接连接到电脑、NAS、打印机等终端设备。
• 逻辑配置 (在 LEDE 中)：
  • 协议类型： LAN 接口几乎总是配置为 静态地址 模式，这意味着您需要手动为这个接口指定一个私有 IP 地址（如常见的 168.1.1）和子网掩码（如 255.255.0），这个 IP 地址就是您内网设备访问 LEDE 管理界面和将其作为网关的地址。
  • DHCP 服务器： 强烈建议在 LAN 接口上启用 DHCP 服务器，这样，连接到 LAN 的设备（电脑、手机等）就能自动从 LEDE 获取 IP 地址、网关（即 LEDE 的 LAN IP，如 168.1.1）和 DNS 服务器信息，无需手动配置每台设备，您可以设置分配的 IP 地址范围（如 168.1.100 到 168.1.200）。
  • DNS 服务： LEDE 通常会在 LAN 接口上提供 DNS 解析服务（可能是自身缓存或转发到上游 DNS），这是内网设备能通过域名访问互联网的关键。
  • 防火墙区域： LAN 接口必须被分配到 lan 防火墙区域，这允许来自 LAN 的流量访问 WAN（互联网），并控制 LAN 内部设备之间的访问（如果配置了相关规则）。
• 关键作用：
  • 为内网设备提供 IP 地址分配（DHCP）。
  • 作为内网设备的默认网关（指向 LEDE 的 LAN IP）。
  • 提供内网 DNS 解析服务。
  • 在局域网内转发设备间的通信数据。
  • 将内网设备访问互联网的请求转发给 WAN 接口处理。

WAN 与 LAN 的核心区别总结

在物理机 LEDE 上配置 WAN 和 LAN 的典型步骤

1. 登录管理界面： 通过浏览器访问 LEDE 的默认管理 IP（通常是 168.1.1，安装时或首次启动后需确认）。
2. 导航到网络接口： 进入 网络 -> 接口。
3. 识别物理接口： 查看现有的接口列表（如 LAN, WAN）及其对应的物理设备（如 eth0, eth1），初始配置可能只有一个 LAN 接口绑定到某个物理口（如 eth0），WAN 接口可能未配置或配置错误。
4. 配置 WAN 接口：
   • 找到或创建一个接口（如 WAN）。
   • 在 物理设置 选项卡下，取消勾选当前绑定的物理接口（如果有），然后勾选您计划用于连接光猫/上级路由器的那个物理网口（eth0）。
   • 在 常规设置 选项卡下：
     • 协议： 根据上级网络要求选择（DHCP 客户端 / PPPoE / 静态 IP）。
     • 如果是 PPPoE：在下方填写 ISP 提供的宽带账号和密码。
     • 如果是 静态 IP：填写上级网络分配的 IP、子网掩码、网关和 DNS。
   • 在 防火墙设置 选项卡下，确保该接口分配到 wan 区域。
5. 配置 LAN 接口：
   • 找到默认的 LAN 接口。
   • 在 物理设置 选项卡下，勾选您计划用于连接内网交换机/AP/设备的物理网口（可以是一个或多个，eth1, eth2, eth3）。务必取消勾选之前绑定在 WAN 上的物理口（如 eth0）。
   • 在 常规设置 选项卡下：
     • 协议： 确保是 静态地址。
     • IPv4 地址： 设置您想要的 LAN 网关地址（如 168.1.1）。注意： 确保此地址与 WAN 接口可能获取到的地址（如果是私有地址段）以及您内网其他设备（如光猫管理地址）不在同一个子网，避免冲突，常见做法是将光猫设为 168.0.1/168.1.1，LEDE LAN 设为 168.2.1 或 0.0.1 等。
     • IPv4 子网掩码： 通常为 255.255.0 (/24)。
   • 在 DHCP 服务器 子选项卡下：
     • 勾选 忽略此接口？ 务必取消勾选！ 确保启用 DHCP。
     • 设置 起始地址 和 地址限制（如 168.1.100 到 168.1.250）。
     • 在 高级设置 中，DHCP 选项 通常可以留空，系统会自动下发网关和 DNS。
   • 在 防火墙设置 选项卡下，确保该接口分配到 lan 区域。
6. 保存并应用： 点击页面底部的 保存&应用 按钮。这是关键一步！ 配置不会生效直到应用。
7. 连接测试：
   • 将网线从光猫/上级路由器的 LAN 口连接到您配置为 WAN 的物理机网口。
   • 将网线从您配置为 LAN 的物理机网口连接到交换机或电脑。
   • 重启 LEDE 和您的终端设备（或等待其重新获取 IP）。
   • 在连接到 LAN 的设备上，检查是否获取到了 LEDE LAN 网段内的 IP（如 168.1.x），网关是否为 LEDE 的 LAN IP（如 168.1.1）。
   • 尝试 ping 外网地址（如 ping 8.8.8.8）或访问网站，如果使用 PPPoE，确保 WAN 接口状态显示已连接并获取到 IP。

常见问题与排错

1. 无法上网 (WAN 侧问题)：
   • 检查物理连接： WAN 口网线是否插好？连接到光猫/上级设备的 LAN 口了吗？
   • 检查 WAN 协议： 是否选对？PPPoE 账号密码是否正确？DHCP 客户端能否获取到 IP？静态 IP 配置是否正确？
   • 查看 WAN 接口状态： 在 LEDE 接口页面，查看 WAN 接口是否有 IPv4 地址？状态是连接中还是已连接？
   • 检查防火墙区域： WAN 口是否在 wan 区域？
   • 光猫模式： 如果光猫是路由模式（自带拨号），LEDE WAN 应设为 DHCP 客户端；如果光猫是桥接模式，LEDE WAN 需用 PPPoE 拨号。
2. 设备无法获取 IP / 无法访问 LEDE 管理界面 (LAN 侧问题)：
   • 检查物理连接： LAN 口网线是否插好？连接到交换机或设备的网口是否正常？
   • 检查 LAN 接口物理绑定： 是否勾选了正确的物理网口？是否不小心把 WAN 口也绑到 LAN 了？
   • 检查 DHCP 服务器： LAN 接口的 DHCP 服务器是否已启用？地址池设置是否正确？
   • 检查 LAN IP 冲突： LEDE 的 LAN IP 是否与网络中其他设备（尤其是光猫）IP 冲突？尝试修改 LEDE LAN IP 到不同网段。
   • 尝试手动配置 IP： 给电脑手动设置一个与 LEDE LAN 同网段的 IP（如 168.1.2，网关 168.1.1，DNS 168.1.1 或 8.8.8），看能否 ping 通网关 (168.1.1) 并访问管理界面。
3. 接口命名混乱 (eth0, eth1 与实际网口对应不上)：
   • 这是物理机常见问题,LEDE 的接口命名 (eth0, eth1) 可能不按主板网口顺序排列，解决方法：
     • 观察法： 在 LEDE 启动过程中，观察控制台输出（如果接显示器），看每个物理网口对应的内核名称。
     • 拔插法： 在 LEDE 接口状态页面，拔掉一个网口的网线，看哪个接口的链路状态（Link）从 up 变成 down，即可确定对应关系，然后再插回去。小心操作，避免误拔 WAN 口导致断网。

高级应用提示

• 多 WAN 接入： 如果物理机有多个网口，可以配置多个 WAN 接口，实现负载均衡或故障转移。
• VLAN 划分： 通过支持 VLAN 的交换机和 LEDE 的配置，可以在单个物理网口上虚拟出多个逻辑接口，实现更复杂的网络隔离（如将 IoT 设备隔离到不同 VLAN）。
• 无线作为 WAN/LAN： 如果物理机有无线网卡，可以将其配置为 WAN（连接上级 WiFi）或作为 AP 提供 WiFi 接入（属于 LAN）。
• 自定义防火墙规则： 在 网络 -> 防火墙 中，可以基于 wan 和 lan 区域定制更精细的访问控制策略。

在物理机上部署 LEDE 的强大之处在于其灵活性，而正确配置 WAN 和 LAN 接口是解锁这份灵活性的第一步，理解 WAN 作为互联网入口（负责接入、NAT、防火墙防护）和 LAN 作为内部网络核心（负责 IP 分配、网关、DNS、内部交换）的不同角色和配置要点至关重要，遵循清晰的配置步骤，注意物理接口绑定、协议选择、防火墙区域分配和 IP 地址规划，就能成功搭建起稳定高效的软路由网络基础，遇到问题时，系统性地检查物理连接、接口状态和配置细节是解决问题的关键。

引用说明：

• 本文中关于 OpenWrt/LEDE 接口、协议、防火墙和 DHCP 配置的核心概念和机制，参考自 OpenWrt 官方项目文档 (https://openwrt.org/docs/start)，OpenWrt 是 LEDE 项目合并后的上游，其文档具有权威性。
• 网络基础概念（如 WAN, LAN, NAT, DHCP, 私有 IP 地址）遵循 TCP/IP 协议族和互联网工程任务组 (IETF) 相关标准（RFC 文档），这些是网络领域的通用知识体系。