【服务器与部署 32】从零掌握Linux服务器网络配置：网络接口与路由配置完全指南

从零掌握Linux服务器网络配置：网络接口与路由配置完全指南

关键词：Linux网络配置、网络接口、路由表、iptables、网络故障排除、服务器运维、网络安全、系统管理

摘要：本文讲解Linux服务器网络配置的核心概念。从网络接口的基础概念到路由表配置，从静态IP设置到动态网络管理，帮助读者全面掌握服务器网络配置的实用技能。无论你是运维新手还是有经验的系统管理员，都能从中获得实用的网络配置知识和最佳实践。

文章目录

• 从零掌握Linux服务器网络配置：网络接口与路由配置完全指南
• • 引言：为什么网络配置如此重要？
  • 第一部分：网络接口基础 – 服务器的"网卡"世界
  • • 什么是网络接口？
    • 查看网络接口信息
    • 网络接口的启用和禁用
  • 第二部分：IP地址配置 – 给服务器一个"身份证"
  • • 静态IP配置
    • • 临时配置（重启后失效）
      • 永久配置
    • 动态IP配置（DHCP）
  • 第三部分：路由配置 – 数据包的"导航系统"
  • • 路由表基础概念
    • 添加和删除路由
    • • 添加默认网关
      • 添加静态路由
      • 永久路由配置
    • 路由优先级和度量值
  • 第四部分：网络接口高级配置
  • • 网络接口别名
    • VLAN配置
    • 网络桥接
  • 第五部分：网络故障排查
  • • 基础连通性测试
    • 网络接口状态检查
    • 常见问题和解决方案
    • • 问题1：网络接口无法启动
      • 问题2：无法获取DHCP地址
      • 问题3：DNS解析失败
  • 第六部分：网络安全配置
  • • 防火墙配置基础
    • • iptables基础规则
      • UFW（Ubuntu防火墙）
    • 网络访问控制
    • • 基于源IP的访问控制
      • 端口敲门（Port Knocking）
  • 第七部分：性能优化和监控
  • • 网络性能监控
    • 网络参数优化
    • • TCP参数调优
      • 网络队列优化
  • 第八部分：自动化和脚本
  • • 网络配置检查脚本
    • 网络配置备份脚本
  • 实战案例：多网卡服务器配置
  • • 场景描述
    • 配置步骤
    • • 1. 网络接口配置
      • 2. 路由配置
      • 3. 防火墙配置
  • 总结与最佳实践
  • • 关键要点回顾
    • 最佳实践建议
    • • 1. 配置管理
      • 2. 安全考虑
      • 3. 性能优化
      • 4. 故障预防
    • 进阶学习方向
  • 参考资料

引言：为什么网络配置如此重要？

想象一下，你的服务器就像一座城市，而网络配置就是这座城市的交通系统。没有合理的道路规划和交通规则，车辆就无法顺畅通行；同样，没有正确的网络配置，数据包就无法在网络中正确传输。

在现代互联网时代，服务器的网络配置直接影响着：

• 服务可用性：用户能否正常访问你的应用
• 数据安全：敏感信息是否能得到保护
• 系统性能：网络延迟和吞吐量的优化
• 故障排查：问题发生时能否快速定位

今天，我们就来深入了解Linux服务器网络配置的方方面面。

第一部分：网络接口基础 – 服务器的"网卡"世界

什么是网络接口？

网络接口就像是服务器的"嘴巴"，它负责与外界进行数据交流。每个网络接口都有自己的"身份证"（MAC地址）和"门牌号"（IP地址）。

在Linux系统中，常见的网络接口类型包括：

查看网络接口信息

让我们从最基本的命令开始：

# 查看所有网络接口
ip addr show
# 或者使用简写
ip a

# 查看特定接口
ip addr show eth0

# 传统命令（仍然可用）
ifconfig

实际输出示例：

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP
link/ether 08:00:27:12:34:56 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.100/24 brd 192.168.1.255 scope global eth0

这些信息告诉我们什么？

• lo：回环接口，用于本地通信
• eth0：第一块以太网卡
• UP：接口处于启用状态
• 192.168.1.100/24：IP地址和子网掩码
• 08:00:27:12:34:56：MAC地址

网络接口的启用和禁用

# 启用网络接口
sudo ip link set eth0 up

# 禁用网络接口
sudo ip link set eth0 down

# 传统方法
sudo ifconfig eth0 up
sudo ifconfig eth0 down

实际应用场景： 当你需要更换网线或者排查网络故障时，临时禁用网络接口可以避免不必要的网络冲突。

第二部分：IP地址配置 – 给服务器一个"身份证"

静态IP配置

静态IP就像给你的房子一个固定门牌号，无论什么时候别人都能通过这个地址找到你。

临时配置（重启后失效）

# 添加IP地址
sudo ip addr add 192.168.1.100/24 dev eth0

# 删除IP地址
sudo ip addr del 192.168.1.100/24 dev eth0

# 传统方法
sudo ifconfig eth0 192.168.1.100 netmask 255.255.255.0

永久配置

Ubuntu/Debian 系统（使用 Netplan）：

# /etc/netplan/01-network-manager-all.yaml
network:
version: 2
renderer: networkd
ethernets:
eth0:
dhcp4: false
addresses:
– 192.168.1.100/24
gateway4: 192.168.1.1
nameservers:
addresses: [8.8.8.8, 8.8.4.4]

应用配置：

sudo netplan apply

CentOS/RHEL 系统：

# /etc/sysconfig/network-scripts/ifcfg-eth0
TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
NAME=eth0
UUID=12345678-1234-1234-1234-123456789abc
DEVICE=eth0
ONBOOT=yes
IPADDR=192.168.1.100
PREFIX=24
GATEWAY=192.168.1.1
DNS1=8.8.8.8
DNS2=8.8.4.4

重启网络服务：

sudo systemctl restart network
# 或者
sudo nmcli connection reload

动态IP配置（DHCP）

DHCP就像酒店的前台，自动为每个客人分配房间号。

# 启用DHCP
sudo dhclient eth0

# 释放DHCP分配的IP
sudo dhclient -r eth0

Netplan配置示例：

network:
version: 2
ethernets:
eth0:
dhcp4: true
dhcp6: true

第三部分：路由配置 – 数据包的"导航系统"

路由表基础概念

路由表就像城市的交通指示牌，告诉数据包应该往哪个方向走才能到达目的地。

# 查看路由表
ip route show
# 或者
route -n

典型路由表输出：

default via 192.168.1.1 dev eth0 proto dhcp metric 100
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.100 metric 100

这告诉我们：

• default via 192.168.1.1：默认网关是 192.168.1.1
• 192.168.1.0/24 dev eth0：本地网络通过 eth0 接口

添加和删除路由

添加默认网关

# 添加默认路由
sudo ip route add default via 192.168.1.1

# 删除默认路由
sudo ip route del default via 192.168.1.1

添加静态路由

# 添加到特定网络的路由
sudo ip route add 10.0.0.0/8 via 192.168.1.254

# 添加主机路由
sudo ip route add 203.0.113.12 via 192.168.1.254

# 删除路由
sudo ip route del 10.0.0.0/8 via 192.168.1.254

永久路由配置

Ubuntu（Netplan）：

network:
version: 2
ethernets:
eth0:
addresses: [192.168.1.100/24]
gateway4: 192.168.1.1
routes:
– to: 10.0.0.0/8
via: 192.168.1.254
– to: 172.16.0.0/12
via: 192.168.1.253

CentOS/RHEL：

# /etc/sysconfig/network-scripts/route-eth0
10.0.0.0/8 via 192.168.1.254
172.16.0.0/12 via 192.168.1.253

路由优先级和度量值

当有多条路由到达同一目标时，系统会根据度量值（metric）选择最优路径：

# 添加带度量值的路由
sudo ip route add 10.0.0.0/8 via 192.168.1.254 metric 100
sudo ip route add 10.0.0.0/8 via 192.168.1.253 metric 200

度量值越小，优先级越高。

第四部分：网络接口高级配置

网络接口别名

一个物理接口可以配置多个IP地址，就像一个人可以有多个电话号码：

# 添加接口别名
sudo ip addr add 192.168.1.101/24 dev eth0 label eth0:0
sudo ip addr add 192.168.1.102/24 dev eth0 label eth0:1

# 传统方法
sudo ifconfig eth0:0 192.168.1.101 netmask 255.255.255.0
sudo ifconfig eth0:1 192.168.1.102 netmask 255.255.255.0

VLAN配置

VLAN（虚拟局域网）可以在同一个物理网络上创建多个逻辑网络：

# 创建VLAN接口
sudo ip link add link eth0 name eth0.100 type vlan id 100
sudo ip addr add 192.168.100.1/24 dev eth0.100
sudo ip link set dev eth0.100 up

# 删除VLAN接口
sudo ip link delete eth0.100

网络桥接

桥接用于连接多个网络段，常用于虚拟化环境：

# 创建桥接接口
sudo ip link add name br0 type bridge
sudo ip link set dev br0 up

# 将物理接口加入桥接
sudo ip link set dev eth0 master br0

# 配置桥接IP地址
sudo ip addr add 192.168.1.100/24 dev br0

第五部分：网络故障排查

基础连通性测试

# 测试网络连通性
ping -c 4 8.8.8.8

# 测试DNS解析
nslookup google.com
dig google.com

# 跟踪路由路径
traceroute google.com
# 或者
mtr google.com

网络接口状态检查

# 检查接口统计信息
ip -s link show eth0

# 查看网络连接状态
ss -tuln
# 或者传统命令
netstat -tuln

常见问题和解决方案

问题1：网络接口无法启动

# 检查接口状态
ip link show eth0

# 检查驱动程序
lspci | grep -i ethernet
lsmod | grep -i network

# 重新加载网络模块
sudo modprobe -r e1000e
sudo modprobe e1000e

问题2：无法获取DHCP地址

# 检查DHCP客户端状态
sudo systemctl status dhclient

# 手动请求DHCP
sudo dhclient -v eth0

# 检查DHCP日志
sudo journalctl -u dhclient

问题3：DNS解析失败

# 检查DNS配置
cat /etc/resolv.conf

# 测试DNS服务器
nslookup google.com 8.8.8.8

# 刷新DNS缓存
sudo systemctl restart systemd-resolved

第六部分：网络安全配置

防火墙配置基础

iptables基础规则

# 查看当前规则
sudo iptables -L -n -v

# 允许SSH连接
sudo iptables -A INPUT -p tcp –dport 22 -j ACCEPT

# 允许HTTP和HTTPS
sudo iptables -A INPUT -p tcp –dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp –dport 443 -j ACCEPT

# 允许ping
sudo iptables -A INPUT -p icmp -j ACCEPT

# 允许回环接口
sudo iptables -A INPUT -i lo -j ACCEPT

# 默认拒绝所有入站连接
sudo iptables -P INPUT DROP

UFW（Ubuntu防火墙）

# 启用UFW
sudo ufw enable

# 允许SSH
sudo ufw allow ssh

# 允许特定端口
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# 允许特定IP地址
sudo ufw allow from 192.168.1.100

# 查看规则状态
sudo ufw status verbose

网络访问控制

基于源IP的访问控制

# 只允许特定网段访问SSH
sudo iptables -A INPUT -p tcp -s 192.168.1.0/24 –dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp –dport 22 -j DROP

端口敲门（Port Knocking）

# 安装knockd
sudo apt install knockd

# 配置 /etc/knockd.conf
[options]
UseSyslog

[openSSH]
sequence = 7000,8000,9000
seq_timeout = 5
command = /sbin/iptables -A INPUT -s %IP% -p tcp –dport 22 -j ACCEPT
tcpflags = syn

[closeSSH]
sequence = 9000,8000,7000
seq_timeout = 5
command = /sbin/iptables -D INPUT -s %IP% -p tcp –dport 22 -j ACCEPT
tcpflags = syn

第七部分：性能优化和监控

网络性能监控

# 实时监控网络流量
sudo iftop

# 显示网络统计信息
watch -n 1 'cat /proc/net/dev'

# 使用nload监控带宽
nload eth0

# 网络连接监控
watch -n 1 'ss -s'

网络参数优化

TCP参数调优

# 编辑 /etc/sysctl.conf
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_rmem = 4096 12582912 16777216
net.ipv4.tcp_wmem = 4096 12582912 16777216
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_timestamps = 1
net.ipv4.tcp_sack = 1

# 应用配置
sudo sysctl -p

网络队列优化

# 增加网络接口队列长度
sudo ip link set dev eth0 txqueuelen 1000

# 调整中断处理
echo 2 | sudo tee /proc/irq/24/smp_affinity

第八部分：自动化和脚本

网络配置检查脚本

#!/bin/bash
# network_check.sh

echo "=== 网络配置检查 ==="

# 检查网络接口
echo "1. 网络接口状态："
ip addr show | grep -E "^[0-9]|inet "

# 检查路由表
echo -e "\\n2. 路由表："
ip route show

# 检查DNS
echo -e "\\n3. DNS配置："
cat /etc/resolv.conf

# 检查连通性
echo -e "\\n4. 网络连通性测试："
ping -c 1 8.8.8.8 >/dev/null 2>&1 && echo "Internet: OK" || echo "Internet: FAILED"
ping -c 1 $(ip route | grep default | awk '{print $3}') >/dev/null 2>&1 && echo "Gateway: OK" || echo "Gateway: FAILED"

# 检查端口监听
echo -e "\\n5. 监听端口："
ss -tuln | grep LISTEN

网络配置备份脚本

#!/bin/bash
# backup_network_config.sh

BACKUP_DIR="/backup/network/$(date +%Y%m%d_%H%M%S)"
mkdir -p "$BACKUP_DIR"

# 备份网络配置文件
cp /etc/netplan/* "$BACKUP_DIR/" 2>/dev/null
cp /etc/network/interfaces "$BACKUP_DIR/" 2>/dev/null
cp /etc/sysconfig/network-scripts/ifcfg-* "$BACKUP_DIR/" 2>/dev/null

# 备份路由表
ip route show > "$BACKUP_DIR/routes.txt"

# 备份防火墙规则
iptables-save > "$BACKUP_DIR/iptables.rules"

echo "网络配置已备份到: $BACKUP_DIR"

实战案例：多网卡服务器配置

让我们通过一个实际案例来综合应用所学知识。

场景描述

一台服务器有三块网卡：

• eth0：连接外网（公网IP）
• eth1：连接内网（管理网络）
• eth2：连接存储网络

配置步骤

1. 网络接口配置

# /etc/netplan/01-network.yaml
network:
version: 2
ethernets:
# 外网接口
eth0:
addresses: [203.0.113.100/24]
gateway4: 203.0.113.1
nameservers:
addresses: [8.8.8.8, 8.8.4.4]

# 内网管理接口
eth1:
addresses: [192.168.1.100/24]

# 存储网络接口
eth2:
addresses: [10.0.0.100/24]

2. 路由配置

# 添加特定路由
sudo ip route add 192.168.0.0/16 via 192.168.1.1 dev eth1
sudo ip route add 10.0.0.0/8 via 10.0.0.1 dev eth2

3. 防火墙配置

# 外网接口只允许特定服务
sudo iptables -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp –dport 443 -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp –dport 22 -j DROP

# 内网接口允许管理访问
sudo iptables -A INPUT -i eth1 -p tcp –dport 22 -j ACCEPT
sudo iptables -A INPUT -i eth1 -j ACCEPT

# 存储网络接口允许存储流量
sudo iptables -A INPUT -i eth2 -p tcp –dport 3260 -j ACCEPT # iSCSI
sudo iptables -A INPUT -i eth2 -p tcp –dport 2049 -j ACCEPT # NFS

总结与最佳实践

通过本文的学习，我们掌握了Linux服务器网络配置的核心技能：

关键要点回顾

最佳实践建议

1. 配置管理

• 版本控制：将网络配置文件纳入版本控制系统
• 文档记录：详细记录每次配置变更的原因和影响
• 定期备份：建立自动化的配置备份机制

2. 安全考虑

• 最小权限原则：只开放必要的端口和服务
• 定期审计：定期检查网络配置和安全规则
• 监控告警：建立网络异常监控和告警机制

3. 性能优化

• 带宽规划：合理规划网络带宽分配
• 负载均衡：在多网卡环境下实现负载均衡
• 参数调优：根据实际需求调整网络参数

4. 故障预防

• 冗余设计：实现网络连接的冗余备份
• 健康检查：定期执行网络健康检查脚本
• 应急预案：制定网络故障应急响应预案

进阶学习方向

网络配置是服务器管理的基础技能，希望通过本文的学习，你能够更加自信地处理各种网络配置任务。记住，实践是最好的老师，建议在测试环境中多加练习，逐步积累经验。

参考资料