基于Plan 9的轻量级虚拟路由器9router：原理、部署与网络隔离实践

1. 项目概述与核心价值

最近在折腾家庭网络和边缘计算设备时，我遇到了一个非常具体但又普遍存在的需求：如何在一台性能尚可但资源有限的设备（比如一台老旧的迷你PC、树莓派4B，或者一台轻量级服务器）上，同时运行多个需要独立网络环境的服务或应用。比如，我想同时跑一个旁路由、一个游戏加速器、一个去广告的DNS服务，可能还想挂个下载工具，每个服务都希望有自己的IP地址、独立的防火墙规则，甚至不同的出口策略。直接在宿主机上混装，配置冲突、端口占用、依赖污染简直是噩梦。这时候，一个轻量级的虚拟化或隔离方案就成了刚需。

我尝试过Docker，但对于需要完整网络栈、甚至要自定义内核路由表的服务来说，Docker容器虽然轻量，但在网络层面的隔离和灵活性上有时还是显得“隔靴搔痒”。全功能的虚拟机（如KVM）又太重了，资源开销大，管理也复杂。就在这个当口，我发现了decolua/9router这个项目。光看名字“9router”，结合其GitHub仓库的描述，我就知道这玩意儿不简单——它很可能就是基于Plan 9 from Bell Labs那套经典的、以“一切皆文件”和简洁网络协议栈著称的操作系统理念，构建的一个路由或网络隔离方案。

深入研究后，我发现9router的精髓在于，它利用9front（一个活跃的Plan 9分支）的vether（虚拟以太网）和ip(3)等网络工具，构建了一个极度轻量级、高性能的“用户态网络路由器”或“网络命名空间”替代方案。它不像Docker那样依赖庞大的守护进程和驱动，也不像虚拟机需要虚拟化硬件，而是通过Plan 9特有的文件系统接口和协议，直接操作网络栈，实现多个虚拟网络接口的创建、路由和防火墙策略的隔离。这对于我们这些喜欢“螺丝壳里做道场”、追求极致效率和可控性的网络爱好者来说，无疑是一把利器。它特别适合以下场景：在单台Linux/Unix主机上创建多个逻辑路由器实例；为开发测试环境快速搭建复杂的网络拓扑；构建一个高性能、可编程的软件定义网络（SDN）数据平面原型。

2. 核心架构与Plan 9网络哲学

要理解9router，必须先搞懂Plan 9操作系统的网络模型，这和Linux、Windows的TCP/IP栈有根本性的不同。在Plan 9的世界里，“一切皆文件”不是一句口号，而是网络栈的构建基石。网络接口、路由表、防火墙规则，甚至TCP连接本身，都被抽象成文件系统（通常是/net目录）下的一个文件或目录。你对网络的操作，就变成了对这些文件的读写。

2.1 Plan 9网络栈文件化解析

在Plan 9或9front系统中，/net目录结构大致如下：

/net ├── tcp/ # TCP协议相关 │ ├── clone # 打开此文件以创建一个新的TCP控制文件描述符 │ └── [N]/ # 具体的连接目录，包含ctl、data、local、remote等文件 ├── udp/ # UDP协议相关（类似tcp） ├── ip/ # IP层相关 │ ├── clone │ ├── route # 写入字符串来添加/删除路由 │ └── [interface]/ # 如ether0, vether0，包含ctl、data、stats等 └── cs/ # 网络配置服务，如DNS解析

举个例子，在Linux里你要添加一条路由，可能用ip route add命令。在Plan 9里，你只需要向/net/ip/route这个文件写入一行字符串，比如"add 192.168.1.0/24 192.168.0.1"。同样，配置一个网络接口的IP地址，可能是向/net/ip/vether0/ctl文件写入"bind 192.168.10.1 255.255.255.0"。这种设计使得网络编程和脚本化变得异常直观和统一。

9router项目正是基于这套哲学。它并不是一个从零开始写了几万行C代码的巨型路由软件，而更像是一个精心编排的“脚本集合”或“配置框架”，它通过调用9front系统原生的工具（如ip、aux、listen等），并操作/net下的文件，来快速实例化出一个具备完整路由、NAT、防火墙功能的虚拟路由环境。每个9router实例，可以理解为一个独立的“网络命名空间”，但它不依赖Linux的namespace技术，而是利用Plan 9自身的文件系统隔离能力（通过不同的挂载命名空间或rfork进程隔离）和虚拟设备（vether）来实现。

2.2 vether：轻量虚拟化的关键

vether（虚拟以太网）是9front中实现网络虚拟化的核心。它完全在软件中模拟一个以太网接口，可以像物理网卡一样被绑定IP、加入路由。与Linux的veth对或macvlan相比，vether的创建和销毁开销极低，因为它直接集成在IP栈的文件系统抽象里。在9router的上下文中，通常会为每个路由实例创建一对或多对vether接口：一对用于连接“内部网络”（比如模拟的LAN口），另一对可能用于连接“外部网络”或与其他实例互联。

创建一个vether接口，在Plan 9 shell中可能只需要一条命令：ip/ipconfig vether0 192.168.10.1 255.255.255.0 up。这条命令背后，其实就是向/net/ip/vether0/ctl等文件写入了一系列控制信息。9router将这些操作封装起来，使得批量创建和配置变得简单。

注意：9router的运行环境通常是原生的9front系统，或者是在Linux/其他Unix下通过9vx（一个Plan 9用户态虚拟机）或drawterm连接到的9front服务器。它不是一个可以直接在Linux内核上运行的二进制程序。理解这一点至关重要，它决定了你的部署环境。

3. 环境准备与9front系统部署

要让9router跑起来，第一步是搭建一个9front运行环境。对于大多数爱好者，我推荐以下两种方案：

3.1 方案一：物理机或虚拟机安装9front

这是性能最好、最纯粹的方式。你可以在一台闲置的电脑、迷你主机，或者VMware、VirtualBox虚拟机中直接安装9front。

1. 获取镜像：前往9front的官方网站或镜像站，下载最新的ISO安装镜像。
2. 安装系统：启动虚拟机或物理机，从ISO引导。9front的安装器是文本界面的，步骤清晰。关键分区时，建议给/根目录分配至少10GB空间，/usr可以大一些（20GB+），因为很多端口软件会装在这里。交换分区（swap）按需设置。
3. 网络配置：安装过程中会提示配置网络。建议先配置一个能上网的接口（比如DHCP），方便后续安装软件。记下你的IP地址。
4. 基础更新：安装完成后，登录系统（默认用户glenda，密码glenda）。首先更新系统：hget http://9front.org/plan9/plan9front.iso.sha1 > /tmp/sha1然后使用9fs挂载远程文件系统获取更新，或者使用git（如果已安装）同步源码树。更常见的是使用upas/fs邮件系统接收补丁，但对于新手，可以先跳过，使用镜像站预编译的包。

3.2 方案二：在Linux下使用9vx（用户态虚拟机）

如果你不想独占一台机器，或者只是想尝鲜，9vx是一个完美的选择。它像一个模拟器，在Linux用户态运行一个完整的Plan 9内核，性能损失在可接受范围内，并且可以直接访问宿主机的部分文件系统和网络。

1. 安装9vx：在Debian/Ubuntu上，可以直接apt install 9vx。或者从源码编译，依赖libx11-dev,libxext-dev,libxrandr-dev等。
2. 获取9front磁盘镜像：你需要一个预安装好的9front磁盘镜像文件（通常是.img或.iso格式）。可以从9front社区找到，或者自己用方案一安装后导出磁盘镜像。
3. 启动9vx：一个典型的启动命令如下：

   9vx -t -n -I ne2000 -a 192.168.64.9 -g 192.168.64.1 -m 1024 -h /path/to/9front.img -u glenda

   • -t: 启用TCP/IP协议栈（使guest能上网）。
   • -n: 启用网络。
   • -I ne2000: 模拟网卡类型。
   • -a 192.168.64.9: 指定guest系统的IP地址。
   • -g 192.168.64.1: 指定网关（通常是宿主机上为9vx创建的虚拟网桥的IP）。
   • -m 1024: 内存大小（MB）。
   • -h /path/to/9front.img: 磁盘镜像路径。
   • -u glenda: 自动登录用户。
4. 配置宿主机网络：为了让9vx内的系统能访问外网，你需要在宿主机上创建一个网桥（如br0）并设置NAT。这步稍复杂，但网上有大量关于9vx网络配置的教程。

实操心得：对于长期使用和性能测试，我强烈推荐方案一（物理机/虚拟机）。方案二（9vx）更适合快速开发和体验，但在进行大量网络包转发时，性能瓶颈会比较明显。我第一次用9vx跑9router做NAT，当内网有多个设备高速下载时，CPU占用率飙升，而换成物理机安装后，同样负载下CPU风平浪静。

3.3 获取9router源码与初步探索

假设你的9front系统已经可以上网（可以通过ping 9front.org测试）。获取9router通常通过git。

1. 打开9front的终端（Rio窗口系统下的rcshell）。
2. 克隆仓库：git/clone https://github.com/decolua/9router.git（注意，9front下的git命令路径可能是/sys/lib/git，所以完整命令可能是/sys/lib/git/clone ...）。
3. 进入目录：cd 9router。
4. 首先，仔细阅读README文件。Plan 9社区的文档风格通常很简洁，但信息密度高。README里会说明项目的基本结构、依赖和快速启动方法。

通常，9router的目录里会包含几个关键文件：

• router.rc：主启动脚本，这是核心。
• config或router.cfg：配置文件示例。
• bin/目录：可能包含一些辅助工具脚本。
• lib/目录：可能包含函数库。

4. 9router配置详解与实例化

9router的强大和灵活，很大程度上体现在它的配置上。它通常不是通过一个复杂的图形界面，而是通过一个结构化的文本配置文件来定义整个虚拟路由器的行为。

4.1 配置文件深度解析

让我们假设一个典型的config文件内容，并逐行拆解：

# 9router 配置示例 routerid=lab1 # 路由器实例标识，用于生成唯一的文件系统路径和进程名 user=glenda # 以哪个用户身份运行路由服务（涉及权限） # 网络接口定义 interface { name = vether0 # 接口名称，对应 /net/ip/vether0 type = internal # 类型：internal 表示这是“内网”接口 addr = 10.0.1.1 # 接口IP地址 mask = 255.255.255.0 # 子网掩码 up = yes # 启动时自动启用 } interface { name = vether1 type = external # 类型：external 表示这是“外网”接口，通常用于连接上游或物理网络 addr = dhcp # IP地址通过DHCP获取，也可以是静态IP如 `192.168.0.100/24` up = yes } # 路由规则 route { target = 0.0.0.0/0 # 默认路由 gateway = vether1 # 下一跳网关是 vether1 接口的网关（从DHCP获取） # 或者静态指定: gateway = 192.168.0.1 } route { target = 10.0.2.0/24 # 指向另一个内部网络的静态路由 gateway = 10.0.1.254 # 下一跳IP（假设这是另一个9router实例的IP） } # 防火墙/NAT规则 (示例，语法可能随版本变化) filter { rule = "input from any to vether0:http allow" # 允许外部访问内网的HTTP服务 rule = "input from vether0 to any allow" # 允许内网访问外网（出站） rule = "input from any to any deny" # 默认拒绝所有其他入站 } nat { enabled = yes outbound = vether1 # 在 vether1 接口上做源NAT（SNAT/Masquerade） # 这将把来自 internal 接口（vether0）的流量，其源IP伪装成 vether1 的IP } # DNS转发 dns { enabled = yes upstream = 8.8.8.8, 1.1.1.1 # 上游DNS服务器 listen = vether0 # 在哪个接口上提供DNS服务 }

关键点解析：

• routerid：这个标识符非常重要。9router可能会在/srv或/net下创建以routerid命名的目录或文件，用于隔离不同实例的配置状态。确保不同实例的routerid唯一。
• interface type：internal/external主要是逻辑标签，用于指导脚本自动应用某些规则（如NAT默认在external接口做）。底层都是vether。
• addr = dhcp：这要求你的9front系统必须能正确运行DHCP客户端（通常是ip/dhcp命令）。在启动9router前，最好手动测试一下ip/dhcp vether1能否成功获取IP。
• 路由与NAT：路由的配置直接映射到向/net/ip/route文件写入操作。NAT的实现，在Plan 9中可能通过ip/ipnat命令或直接操作/net/ip/nat文件（如果内核支持）来完成。9router脚本会自动生成这些命令。
• 防火墙：Plan 9的防火墙规则通常通过ip/ipfilter命令配置，规则语法类似BSD的pf。9router的filter块会生成相应的ip/ipfilter规则集并加载。

4.2 单实例启动与验证

配置好config文件后，启动通常很简单：

cd /path/to/9router ./router.rc

或者，如果脚本设计为后台服务：

./router.rc &

启动后，你需要进行一系列验证：

1. 检查接口：运行ip/ipconfig -a或查看/net/ip目录，应该能看到vether0和vether1接口，并且状态是up，IP地址配置正确。
2. 检查路由表：运行ip/iproute查看路由表。应该能看到指向vether1的默认路由，以及你定义的任何静态路由。
3. 测试连通性：
   • 在9front系统本身，ping -c 3 8.8.8.8应该能通（测试外网）。
   • 接下来，你需要另一个“客户端”来测试内网。由于vether0是虚拟接口，你需要将其“导出”给其他环境使用。这里有几种方法：
     • 在9front内创建命名空间：使用rfork n创建一个新的命名空间，在这个新namespace中，将vether0的网络文件系统绑定进去，然后在这个namespace中运行一个shell或服务，它就处于9router的“内网”了。这是最Plan 9的方式，但概念较新。
     • 通过9p协议导出给其他机器：在9router脚本中，可能会启动一个listen进程，在某个端口（比如564）上监听9p协议。然后，你可以从另一台机器（可以是另一台9front，也可以是运行了9p客户端（如9p）的Linux机器）通过9p协议挂载这个“内网”接口对应的文件系统，从而让那台机器接入这个虚拟网络。这是9router项目可能提供的核心功能之一。
     • 与宿主机网络桥接（仅9vx或特定环境）：在9vx中，可以配置将vether0与宿主机的一个TAP设备桥接，这样宿主机或其他虚拟机就可以直接连接到9router的内网。

踩坑记录：我第一次启动时，vether1（external）始终拿不到DHCP地址。排查后发现，是因为我的9front虚拟机所在的物理网络段没有DHCP服务器（我用的隔离的测试网络）。解决方法有两个：一是给vether1配置静态IP（与宿主机或上游路由器同网段）；二是在测试环境中自己启动一个DHCP服务器（比如用dnsmasq）。对于测试，静态IP更简单可靠。

5. 多实例部署与复杂网络拓扑

9router的真正威力在于可以轻松部署多个实例，构建复杂的虚拟网络。想象一下，你可以用三四个9router实例，模拟出一个包含核心层、汇聚层、接入层的企业网络拓扑，或者搭建一个多租户的隔离测试环境。

5.1 多实例配置要点

假设我们要搭建两个路由器：R1和R2。R1的vether1连接“外网”（或模拟的上游），R1的vether0（10.0.1.1/24）作为内部网络A。R2的vether1连接到R1的内部网络A（IP为10.0.1.2/24），R2的vether0（10.0.2.1/24）作为内部网络B。

R1 的配置 (/path/to/9router-r1/config):

routerid=r1 user=glenda interface { name=vether0; type=internal; addr=10.0.1.1; mask=255.255.255.0; up=yes } interface { name=vether1; type=external; addr=dhcp; up=yes } # 假设这是真外网 route { target=0.0.0.0/0; gateway=vether1 } # 不需要指向网络B的路由，除非我们手动添加 nat { enabled=yes; outbound=vether1 }

R2 的配置 (/path/to/9router-r2/config):

routerid=r2 user=glenda interface { name=vether0; type=internal; addr=10.0.2.1; mask=255.255.255.0; up=yes } interface { name=vether1; type=external; addr=10.0.1.2; mask=255.255.255.0; up=yes; gateway=10.0.1.1 } # 注意这里指定了网关！ route { target=0.0.0.0/0; gateway=10.0.1.1 } # 默认路由指向 R1 # R2 通常不需要做NAT，除非你想让网络B也做地址伪装。如果做，outbound应该是vether1。 # nat { enabled=yes; outbound=vether1 }

关键操作：

1. 为两个实例创建独立的配置目录，避免冲突。
2. 启动顺序：先启动R1，确保其vether1获得IP（或配置好静态IP）。然后启动R2。
3. 在R1上，需要手动添加一条静态路由，告诉它如何到达R2背后的网络B：route { target=10.0.2.0/24; gateway=10.0.1.2 }。这个配置可以加到R1的config文件里，或者在启动后通过ip/iproute add 10.0.2.0/24 10.0.1.2命令添加。

5.2 实例间互联与9p导出

上面例子中，R1和R2通过IP网络（10.0.1.0/24）互联。但在Plan 9的世界里，更“原生”的方式可能是通过9p协议直接共享网络栈文件。

9router项目的一个高级特性可能就是：每个9router实例不仅可以自己路由，还可以将其“内部网络”接口（如vether0）对应的/net/ip/vether0目录，通过9p协议导出（export）。这样，其他9front系统（甚至是另一个9router实例）可以直接挂载这个目录，从而“接入”这个网络，无需配置IP路由。

假设R1导出了它的vether0。R2的配置可以变成：

• R2的vether1不再配置静态IP，而是通过9mount命令挂载R1导出的文件系统。
• 挂载后，R2的命名空间里就出现了R1的vether0接口，R2可以直接使用它作为上行接口。

这种方式构建的网络，延迟更低，配置更集中化，更符合Plan 9的“资源即服务”哲学。不过，这需要对9p协议和Plan 9的命名空间有更深的理解。9router的脚本可能会封装这部分复杂的操作。

6. 高级功能与性能调优

6.1 防火墙与流量控制

Plan 9的ip/ipfilter功能强大。在9router的配置中，你可以定义精细的过滤规则。规则语法示例：

block in log quick on vether1 from any to any port = 22 pass in on vether1 proto tcp from 192.168.0.0/24 to any port = 80,443 pass out on vether1 from vether0:network to any nat-to (vether1)

• block/pass: 拒绝或允许。
• in/out: 入站或出站方向。
• log: 记录匹配的日志。
• quick: 匹配即停止，不再评估后续规则。
• on vether1: 指定接口。
• from ... to ...: 源和目标地址、端口。
• nat-to: 出站NAT。

你可以将这些规则写入一个文件（如fw.rules），然后在9router的配置中指定filter file = fw.rules，或者在启动后使用ip/ipfilter -f fw.rules加载。

6.2 性能考量与监控

• CPU与内存：9router本身作为脚本和工具集的集合，进程开销极低。主要的性能消耗在于内核处理网络包转发和过滤。监控可以使用ps查看进程，用cat /net/ip/*/stats查看接口统计信息（收发包数、错误数）。
• 转发性能：在物理机或性能较好的虚拟机上，vether之间的转发性能可以接近线速（对于千兆网络）。但在9vx中，由于是用户态模拟，性能会打折扣，适合实验和轻量级应用。
• 连接数：对于需要处理大量并发连接（如作为网关供数十台设备上网）的场景，需要关注Plan 9内核的网络连接表大小。这通常在内核配置或启动参数中定义。
• 调试工具：ip/ipconfig -a查看接口状态，ip/iproute查看路由，cat /net/ip/ipfilter查看当前过滤规则，cat /net/ip/nat查看NAT表。网络抓包可以使用aux/listen监听某个接口或端口，但不如tcpdump直观，可能需要适应。

7. 常见问题与故障排查实录

在实际操作中，你肯定会遇到各种问题。下面是我踩过的一些坑和解决方法：

问题1：启动脚本失败，提示“ip/ipconfig: no such file”或命令找不到。

• 原因：Plan 9的命令通常位于/bin或/sys/bin等目录，但脚本可能使用了相对路径或未正确设置$PATH。
• 解决：打开router.rc脚本，查看它如何调用命令。通常需要确保$PATH包含/sys/bin和/bin。可以在脚本开头添加PATH=$PATH:/sys/bin:/bin。或者，使用命令的绝对路径，如/sys/bin/ip/ipconfig。

问题2：vether接口创建成功，但无法ping通网关或外网。

• 排查步骤：
  1. ip/ipconfig vether1查看接口详情，确认IP、掩码、状态（UP）正确。
  2. ip/iproute查看默认路由是否存在，且网关IP是否正确（如果是DHCP，网关是否正确获取）。
  3. 检查上游网络：你的9front主机本身的物理接口能上网吗？ping一个外网IP测试。
  4. 检查Plan 9内核的IP转发是否开启？虽然9router可能负责路由，但内核转发是基础。查看/net/ip/forwarding文件，如果是0，需要写入1来开启：echo 1 > /net/ip/forwarding。
  5. 检查防火墙规则：是否错误地阻塞了流量？可以临时清空规则测试：ip/ipfilter -f /dev/null。

问题3：DHCP客户端无法获取地址。

• 原因：最常见的是网络中没有DHCP服务器，或者vether接口的广播包无法到达DHCP服务器（网络隔离）。
• 解决：
  • 改用静态IP配置。
  • 在测试环境中，在宿主机或同一网段另一台机器上搭建一个DHCP服务器（如dnsmasq）。
  • 检查9front的DHCP客户端日志（如果ip/dhcp有日志输出的话）。

问题4：多实例时，路由不生效，网络B无法访问外网。

• 排查步骤：
  1. 在R2上ping 10.0.1.1（R1的内网IP），通吗？如果不通，检查R2的vether1IP和网关配置，以及R1上是否有到10.0.1.2的ARP条目（理论上直连网络自动生成）。
  2. 在R1上ping 10.0.1.2，通吗？
  3. 在R1上检查是否有到10.0.2.0/24的路由，下一跳是否为10.0.1.2。
  4. 在R1上，开启内核转发：echo 1 > /net/ip/forwarding。
  5. 在R1上，检查防火墙/NAT规则。对于来自10.0.2.0/24去往外网的流量，是否做了正确的NAT？规则可能需要对vether0（连接R2）的流量也做NAT，或者需要一条单独的规则。

问题5：通过9p挂载其他实例的网络接口失败。

• 原因：认证失败、端口不对、导出服务未启动。
• 解决：
  • 确认导出方（R1）的9router脚本确实启动了listen服务，并在特定端口（如564）监听。用ps查看是否有listen进程。
  • 确认挂载方（R2）使用的认证正确。Plan 9通常使用factotum进行认证。可能需要双方配置相同的认证密钥或使用none认证（不安全，仅测试）。
  • 挂载命令类似：9mount -a 'tcp!<R1-IP>!564' /n/remote。然后检查/n/remote目录下是否有预期的网络文件。

问题6：系统重启后，所有配置丢失。

• 原因：vether接口和所有配置都是运行时的，重启后消失。
• 解决：你需要将9router的启动脚本加入到9front的启动流程中。通常可以编辑/rc/bin/service或创建自己的启动脚本放在/rc/bin下，确保在网络初始化后运行。更Plan 9的方式是编写一个rc脚本，放在/rc/bin下，并在/rc/lib中配置依赖。

折腾9router的过程，就像是在学习一门新的网络语言。它剥离了现代Linux网络栈的许多抽象层，让你直接与最核心的文件系统接口对话。这种体验起初可能有些别扭，但一旦掌握，你会对网络虚拟化有更本质的理解。它可能不适合作为生产环境的核心路由器，但对于构建隔离的开发/测试环境、网络协议学习、以及探索一种截然不同的操作系统哲学，9router提供了一个极其轻巧而强大的平台。最关键的是，这一切都在用户空间可控的范围内，不会因为内核模块的崩溃而拖垮整个系统，这种“脆弱性”与“韧性”的平衡，正是许多极客所追求的。