Linux 网络排查是系统管理员和开发人员必备的技能,当网络连接出现问题时,快速定位并解决故障至关重要,本文将系统介绍 Linux 网络排查的常用工具、步骤和实用技巧,帮助读者构建清晰的排查思路。
基础连通性排查
网络排查的第一步是确认基本的连通性,常用的工具包括 ping、traceroute 和 ip 命令。
ping 命令通过 ICMP 协议测试目标主机可达性,ping 8.8.8.8 可测试与 Google 服务器的连通性,若返回 Destination Host Unreachable,需检查 IP 配置或网关设置;若显示 Request timed out,可能是网络延迟或防火墙拦截。
traceroute(或 traceroute6 用于 IPv6)能追踪数据包到目标主机的路径,帮助定位网络中断点。traceroute -n www.baidu.com 会显示经过的路由器及响应时间,若某跳显示 ,可能是该节点禁用了 ICMP 或存在网络问题。
ip 命令用于查看和配置网络接口信息,通过 ip addr show 可查看接口的 IP 地址、MAC 地址及状态,确认接口是否为 UP 状态,IP 地址是否配置正确,若接口显示 DOWN,需使用 ip link set eth0 up 启用接口。
网络配置与接口状态检查
网络配置错误是常见故障原因,需重点关注接口配置、路由表和 DNS 设置。
网络接口配置
使用 ip addr 或 ifconfig(传统工具)查看接口详细信息,以太网接口 eth0 的配置应包含正确的 IPv4 地址(如 168.1.100/24)、子网掩码和广播地址,若使用 DHCP 动态获取地址,可通过 dhclient eth0 重新获取,或检查 /etc/dhcp/dhclient.conf 配置。
路由表检查
路由表决定了数据包的转发路径,通过 ip route show 查看当前路由规则,重点关注默认路由(default via ...)是否正确指向网关,若内网网关为 168.1.1,需确保路由表中存在 default via 192.168.1.1 dev eth0,若路由缺失,可手动添加:ip route add default via 192.168.1.1。
DNS 配置验证
DNS 解析失败会导致域名无法访问,通过 nslookup www.example.com 或 dig www.example.com 测试域名解析,若失败,检查 /etc/resolv.conf 中的 DNS 服务器地址(如 nameserver 8.8.8.8),或确认 /etc/systemd/resolved.conf、NetworkManager 的 DNS 配置是否正确。
网络服务与端口状态分析
当基础连通性正常但服务无法访问时,需检查目标主机的端口和服务状态。
端口监听状态
使用 netstat 或 ss 命令查看端口监听情况。ss -tulnp 可显示所有监听的 TCP(-t)和 UDP(-u)端口及其进程 PID,若 Web 服务(默认端口 80)未监听,需检查服务是否启动:systemctl status nginx。
服务进程状态
确认服务进程是否正常运行,通过 ps aux | grep nginx 查看 Nginx 进程是否存在,若进程未启动,使用 systemctl start nginx 启动服务,并检查 /etc/nginx/nginx.conf 配置是否正确。
防火墙与 SELinux 检查
防火墙(如 firewalld、iptables)和 SELinux 可能阻止网络连接。
- firewalld:通过
firewall-cmd --list-ports查看开放端口,若未开放,使用firewall-cmd --add-port=80/tcp --permanent添加并重载规则。 - iptables:使用
iptables -L -n查看规则链,确认是否有DROP或REJECT策略阻止目标端口。 - SELinux:通过
getenforce检查状态,若为Enforcing,可临时设置为Permissive测试:setenforce 0,或使用semanage port -l | grep http查看端口是否已允许。
高级网络诊断工具
对于复杂网络问题,需借助更专业的工具进行深度分析。
tcpdump 抓包分析
tcpdump 是强大的网络抓包工具,可捕获和分析网络数据包,抓取访问 168.1.100 的 HTTP 流量:tcpdump -i eth0 host 192.168.1.100 and port 80,通过分析数据包内容,可确认是否有异常重传、连接超时或协议错误。
netstat 网络统计
netstat -s 显示详细的网络协议统计信息,如 TCP 连接数、UDP 错误包数等,若出现大量 TCP timeout 或 connection refused,可能表明服务负载过高或网络不稳定。
iperf3 带宽测试
若怀疑网络带宽不足,使用 iperf3 进行性能测试,在服务端运行 iperf3 -s,客户端运行 iperf3 -c <server_ip>,可测试带宽、延迟和丢包率,若结果显示丢包率高,需检查网络设备(如交换机、路由器)或线路质量。
常见问题排查流程
为提高排查效率,建议遵循以下步骤:
| 步骤 | 操作 | 常用命令 |
|---|---|---|
| 1 | 检查物理连接 | 确认网线、网卡指示灯状态 |
| 2 | 验证 IP 配置 | ip addr show、ping 网关 |
| 3 | 测试网络连通性 | ping 目标IP、traceroute 目标域名 |
| 4 | 检查路由与 DNS | ip route show、nslookup 域名 |
| 5 | 检查端口与服务 | ss -tulnp、systemctl status 服务 |
| 6 | 检查防火墙与 SELinux | iptables -L、getenforce |
| 7 | 抓包分析 | tcpdump -i eth0 -w capture.pcap |
Linux 网络排查需要结合工具使用和逻辑分析,从基础连通性到高级协议分析逐步深入,熟练掌握 ping、traceroute、ip、ss、tcpdump 等工具,并建立清晰的排查流程,能显著提升问题解决效率,定期记录网络配置和日志,有助于快速定位重复性故障,通过系统化的方法,大多数网络问题都能得到有效解决。
