1. 概述与准备工作

准备清单：1) 明确用途（代理、爬虫、CDN 辅助、测试等）；2) 预算（按月带宽与IP费用）；3) 身份与KYC资料（柬埔寨及运营商常要求）。
小分段：确认是否需要固定公网IPv4（通常稀缺且有额外费用）或仅IPv6；评估是否需DDoS防护或浮动IP功能。

2. 选择合适的柬埔寨VPS提供商

推荐步骤：列出候选（本地机房、跨国云主机、代理商），对比价格、带宽计费方式（按流量或按峰值）、IPv4/IPv6可用性与KYC要求。
小分段：优先选择提供额外公网IP购买或浮动IP服务的商家；若用途依赖低延迟，选机房靠近目标用户/出口的节点。

3. 带宽规划与QoS设置

步骤：估算并发连接数与平均带宽需求（如每连接100KB/s，100并发≈10MB/s≈80Mbps）。按峰值留20-30%冗余。
小分段：到位配置：Linux 下使用 tc 做限速与优先级，例如限制某个端口： tc qdisc add dev eth0 root handle 1: htb; tc class add ...；为重要流量设置优先级，避免拥堵导致IP切换超时。

4. IP 策略：IPv4/IPv6 与公网IP获取

步骤：联系供应商申请额外IPv4；若无，强烈建议启用IPv6并实现双栈。记录每个IP的网关与掩码。
小分段：如果有NAT或共享IP场景，确保理解源地址转换（SNAT）如何影响外部服务识别与限速。

5. 网络基础配置（单机多IP示例）

实操步骤（Debian/Ubuntu）：先确认主网卡名 `ip link`，添加附加IP： sudo ip addr add 203.0.113.10/32 dev eth0。为保证正确回程路由，建立策略路由： sudo ip route add default via 203.0.113.1 dev eth0 table 100; sudo ip rule add from 203.0.113.10/32 table 100。
小分段：将上述命令写入启动脚本或网络配置（netplan/systemd-networkd）以保持重启后生效。

6. 源地址路由与多出口策略（关键步骤）

步骤：当机器拥有多个公网IP时，必须为每个IP建立独立路由表与规则，避免回复包走错网关导致丢包。示例： echo "100 rt203" >> /etc/iproute2/rt_tables ip route add default via 203.0.113.1 dev eth0 table rt203; ip rule add from 203.0.113.10/32 table rt203。
小分段：用 `ip rule show` 与 `ip route show table rt203` 验证；测试用 `curl --interface 203.0.113.10 https://ifconfig.me`。

7. NAT、转发与端口映射实操

步骤：开启内核转发：`sudo sysctl -w net.ipv4.ip_forward=1` 并写入 `/etc/sysctl.conf`。使用 iptables 做SNAT/masquerade： iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE。若按源IP做SNAT： iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT --to-source 203.0.113.10。
小分段：保存规则 `apt install iptables-persistent` 或写 systemd 服务持久化。

8. 部署代理与IP轮换（3proxy示例）

实操：安装 3proxy（或 tinyproxy），配置多个外部IP为出口。3proxy 配置示例片段： proxy -a -p3128 -i127.0.0.1 -e203.0.113.10 为轮换，可启动多个进程监听不同端口，或使用脚本动态切换 iptables SNAT 映射。
小分段：务必对外口做连接数限制与认证，避免滥用被封IP。

9. 带宽与连通性测试步骤

工具与命令：安装 iperf3（`apt install iperf3`）与 speedtest-cli；测试上行/下行： iperf3 -c server -P 10；延迟测试使用 `ping` 与 `traceroute`，并用 `mtr` 做连续路径分析。
小分段：记录高峰时段测试结果，建立阈值告警（Prometheus + Grafana / Zabbix）。

10. 安全策略与常用防护

步骤：基本防护包括：关闭不必要端口、启用 fail2ban、使用 nftables 或 iptables 只允许指定端口和来源，配置 rate-limit。示例 nftables 规则： nft add rule ip filter input tcp dport 22 ct state new limit rate 3/minute accept。
小分段：如果对外提供代理服务，开启认证、HTTPS、并订阅DDoS缓解（若供应商提供）。

11. 合规、KYC 与当地法律风险

说明：柬埔寨对互联网服务管理有当地政策，商业使用通常要求注册与KYC。部署前咨询供应商并保存通信记录。
小分段：避免用于违法用途（垃圾邮件、攻击等），以免IP被封或承担法律责任。

12. 自动化、监控与故障恢复

步骤：把常用配置写成 Ansible playbook 或 Terraform（如创建VPS、配置IP、上传公钥）。监控项：带宽、连接数、丢包、CPU/内存。
小分段：定期快照（snapshot）与备份重要配置，测试恢复流程确保切换到替代节点的时间窗口可控。

13. 问：在柬埔寨部署动态VPS时，IPv4短缺如何应对？

答：优先采用IPv6+NAT64/Proxy混合方案，必要时购买供应商的浮动IPv4或托管公网IP；技术层面用源地址路由与策略路由管理多个IP的回程。若业务强依赖IPv4，选择有充足IP库存或提供BGP/弹性IP的供应商。

14. 问：如何在单台VPS上实现稳定的多出口IP轮换？

答：为每个外出IP建立独立路由表与策略路由（ip rule/ip route），用 iptables 做SNAT 或运行多个代理进程绑定不同出口（3proxy外部IP参数），并把这些设置做成启动脚本或Ansible任务以保证重启后持久生效。

15. 问：带宽超额计费与QoS如何避免影响动态IP服务？

答：在采购时优选按峰值计费或不限流量且带宽保障的套餐；在系统端使用 tc 做流量整形与优先级，给控制通道（SSH、监控、认证）保留保证带宽，避免高峰造成连接失败或IP切换超时。

来源：从带宽到IP策略全面解析柬埔寨动态vps部署注意事项