Linux多网卡路由配置与故障排查指南

诚哥馨姐

1. 问题背景与初步诊断

最近在调试一台多网卡设备时遇到了一个典型的网络故障：设备物理连接正常，IP地址配置正确，但就是无法访问互联网。经过排查发现，问题出在默认路由的配置上。这种情况在服务器、工控机或容器环境中特别常见——当设备存在多个网络接口时，系统可能不会自动选择正确的出口路径。

先来看下这台设备的基本情况：

这是一台运行在容器环境中的设备
通过网线连接到一个无线中继路由器（IP:192.168.11.5）
当前路由表显示默认网关指向了错误的网络接口

关键现象：能ping通同网段设备，但无法访问外部网络，典型的路由选择问题。

2. 网关检测方法与原理分析

2.1 四种网关查询方法对比

在Linux系统中，查看当前网关配置有几种常用方法，各有适用场景：

方法1：ip route（推荐）

bash复制ip route

输出示例：

code复制default via 192.168.11.1 dev wlp4s0 proto dhcp metric 600 
192.168.11.0/24 dev wlp4s0 proto kernel scope link src 192.168.11.105 metric 600

优点：显示完整路由表，包含路由协议、度量值等元数据
原理：通过netlink接口从内核路由子系统获取信息

方法2：grep过滤版

bash复制ip r | grep default

适用场景：快速提取默认路由
注意：当存在多条默认路由时可能显示不全

方法3：传统route命令

bash复制route -n

输出示例：

code复制Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.11.1    0.0.0.0         UG    600    0        0 wlp4s0

特点：旧式工具，部分最小化系统可能未安装
字段说明：
- UG标志表示该路由是可达网关
- Metric值影响路由优先级

方法4：NetworkManager专用

bash复制nmcli device show eth0 | grep IP4.GATEWAY

适用场景：使用NetworkManager管理的系统
局限：不适用于无GUI的服务器环境

2.2 路由选择机制深度解析

当系统需要发送数据包时，内核会按照以下顺序决策：

匹配最精确的目标网络（最长前缀匹配）
检查路由标志（如是否可达）
比较度量值（metric）
选择最先匹配的路由

在多网卡环境中，常见问题包括：

默认路由指向不可达网关
多个默认路由导致随机选择
接口metric值配置不合理

3. 故障案例详细排查

3.1 当前网络配置分析

查看问题设备的路由表：

bash复制ip route

输出关键信息：

code复制default via 192.168.2.1 dev eth0 proto static 
192.168.2.0/24 dev eth0 proto kernel scope link src 192.168.2.100 
192.168.11.0/24 dev eth1 proto kernel scope link src 192.168.11.20

网络接口状态：

eth0: 192.168.2.100/24，网关192.168.2.1
eth1: 192.168.11.20/24，连接中继路由器(192.168.11.5)

3.2 问题定位与验证步骤

第一步：验证物理连接

bash复制ping -c 4 192.168.11.5

如果不通，检查：
- 网线连接状态（ethtool eth1）
- 交换机端口配置
- 路由器防火墙设置

第二步：临时修正路由

bash复制ip route del default
ip route add default via 192.168.11.5 dev eth1

验证修改结果：

bash复制ip route | grep default

预期输出：

code复制default via 192.168.11.5 dev eth1

第三步：测试外网连通性

bash复制ping -c 4 8.8.8.8  # 测试基础IP连通性
ping -c 4 baidu.com  # 测试DNS解析

常见问题现象及对策：

现象	可能原因	解决方案
能ping通IP但不通域名	DNS配置错误	检查/etc/resolv.conf
间歇性连通	路由震荡	检查接口metric值
完全不通	网关未开启NAT	检查路由器配置

4. 持久化配置方案

4.1 Docker容器环境

根据容器网络模式不同，配置方法各异：

bridge模式

bash复制docker run --network=bridge --dns=223.5.5.5 ...

macvlan模式

bash复制docker network create -d macvlan \
  --subnet=192.168.11.0/24 \
  --gateway=192.168.11.5 \
  -o parent=eth1 mynet
  
docker run --network=mynet ...

host模式

需直接在宿主机配置：

bash复制nmcli connection modify eth1 ipv4.gateway 192.168.11.5
nmcli connection up eth1

4.2 传统Linux系统

Debian/Ubuntu（netplan）

yaml复制# /etc/netplan/01-netcfg.yaml
network:
  version: 2
  ethernets:
    eth1:
      addresses: [192.168.11.20/24]
      routes:
        - to: 0.0.0.0/0
          via: 192.168.11.5
      nameservers:
        addresses: [223.5.5.5, 8.8.8.8]

RHEL/CentOS（ifcfg）

bash复制# /etc/sysconfig/network-scripts/ifcfg-eth1
GATEWAY=192.168.11.5
DEFROUTE=yes

5. 高级排查技巧

5.1 路由跟踪诊断

bash复制traceroute -n 8.8.8.8
mtr -n 8.8.8.8

5.2 网络命名空间调试

bash复制ip netns add debug
ip link set eth1 netns debug
ip netns exec debug bash

5.3 策略路由配置

当需要更复杂的路由策略时：

bash复制ip rule add from 192.168.11.20 lookup 100
ip route add default via 192.168.11.5 dev eth1 table 100

6. 经验总结与避坑指南

多网卡配置黄金法则：
- 一个系统只保留一个默认路由
- 为每个接口配置合适的metric值
- 使用ip route get 8.8.8.8验证实际路由路径
容器网络特别注意事项：
- 避免在容器内直接修改路由（应通过启动参数配置）
- host模式网络会继承宿主机配置
- 注意docker daemon的DNS配置影响所有容器
典型故障模式：
- 虚拟机克隆导致的IP冲突
- 网卡初始化顺序变化导致接口名改变
- 防火墙规则阻断ICMP导致ping不通但TCP可通

推荐诊断工具链：

bash复制# 基础检查
ip -c -br link  # 接口状态
ss -tulnp       # 端口监听
journalctl -u NetworkManager --since "1 hour ago"  # 服务日志

# 高级诊断
tcpdump -i eth1 -nnv 'icmp or port 53'
conntrack -L  # 查看NAT会话

在实际运维中，遇到网络不通的问题时，建议按照以下流程排查：

检查物理层（网线、指示灯）
验证IP层（ifconfig、ping网关）
检查路由（ip route、traceroute）
测试传输层（telnet/nc测试端口）
审查应用层（服务日志、抓包分析）

修改路由配置后，建议执行完整回归测试：

bash复制# 连通性测试矩阵
ping_matrix=(
  "192.168.11.5"   # 网关
  "8.8.8.8"        # 外网IP
  "www.baidu.com"  # 域名解析
  "portquiz.net:80" # 端口测试
)

for target in "${ping_matrix[@]}"; do
  if [[ $target == *:* ]]; then
    nc -zvw3 ${target%:*} ${target#*:} && echo "$target OK" || echo "$target FAIL"
  else
    ping -c 2 -W 1 "$target" &>/dev/null && echo "$target OK" || echo "$target FAIL"
  fi
done