Linux网络不通时，如何排查连通性问题？

Linux 网络连通性基础

Linux 网络连通性是系统管理和运维中的核心技能，涉及从本地网络配置到远程通信的多个层面，本文将从基础网络配置、常用诊断工具、高级排查技巧及安全配置四个方面，系统阐述如何确保 Linux 系统的网络连通性。

基础网络配置与接口管理

Linux 网络连通性的首要基础是正确配置网络接口，每个网络接口（如 eth0、ens33）都需要分配 IP 地址、子网掩码和网关，才能实现与其他设备的通信。

1. IP 地址配置
   使用 ip addr 命令可以查看和管理网络接口状态，为 eth0 接口配置静态 IP 地址：

   sudo ip addr add 192.168.1.100/24 dev eth0  
   sudo ip link set eth0 up  

   临时配置会随系统重启失效,若需永久生效，可编辑 /etc/network/interfaces（Debian/Ubuntu）或 ifcfg-eth0（CentOS/RHEL）文件。

2. DNS 与路由配置
   DNS 解析依赖 /etc/resolv.conf 文件，其中可指定 nameserver（如 nameserver 8.8.8.8），默认网关通过 route 命令添加：

   sudo ip route add default via 192.168.1.1  

   永久路由配置通常位于 /etc/sysconfig/network-scripts/route-eth0（CentOS）或 /etc/netplan/ 目录（Ubuntu 18.04+）。

常用网络诊断工具

当网络出现问题时,Linux 提供了一系列工具快速定位故障点。

1. ping：测试基本连通性
   ping 通过 ICMP 协议测试目标主机可达性：

   ping -c 4 8.8.8.8  # 发送 4 个包后退出  

   若返回 Destination Host Unreachable，则表明目标主机不可达或网络路径中断。

2. traceroute/tracepath：追踪网络路径
   traceroute 显示数据包到达目标主机的中间跳数，可定位延迟或丢包节点：

   traceroute -n www.baidu.com  # -n 参数避免 DNS 查询  

   在无 root 权限时，可使用 tracepath 替代。

3. netstat/ss：检查网络连接状态
   ss 是 netstat 的现代替代品，更高效地显示 TCP/UDP 连接：

   

   ss -tulnp  # 显示所有监听端口及进程  
   ss -t state established  # 查看已建立的 TCP 连接  

   通过分析连接状态,可判断服务是否正常监听或端口是否被占用。

4. curl/wget：测试应用层连通性
   若 HTTP/HTTPS 服务不可达，可用 curl 诊断：

   curl -I http://example.com  # 检查 HTTP 响应头  

   -I 参数仅获取响应头，适合快速判断服务可用性。

高级网络故障排查

基础工具无法解决问题时,需深入分析网络协议栈和配置细节。

1. 防火墙与 SELinux 检查
   Linux 防火墙（如 iptables、firewalld）可能阻止流量，检查 firewalld 规则：

   sudo firewall-cmd --list-all  

   若需开放端口,执行：

   sudo firewall-cmd --add-port=80/tcp --permanent  

   SELinux 的 enforcing 模式可能限制网络访问，可通过 getenforce 和 setenforce 0 临时测试。

2. 网络命名空间与虚拟接口
   在容器化或复杂网络环境中，可能涉及网络命名空间（ip netns），查看命名空间中的接口：

   ip netns exec ns1 ip addr  

   虚拟接口（如 VLAN、Bridge）的配置错误也可能导致连通性问题，需检查 brctl（Bridge 控制工具）或 ovs-vsctl（Open vSwitch）。

3. TCP/IP 协议栈调试
   使用 tcpdump 抓包分析底层流量：

   tcpdump -i eth0 host 8.8.8.8 and port 53  # 抓取 DNS 查询流量  

   通过抓包可确认数据包是否正确发送或接收,判断是网络问题还是应用层故障。

   

安全配置与最佳实践

确保网络连通性的同时,安全性不可忽视。

1. SSH 免密登录与密钥管理
   通过 SSH 连接远程主机时，推荐使用密钥认证而非密码，生成密钥对并上传到服务器：

   ssh-keygen -t rsa -b 4096  
   ssh-copy-id user@remote_host  

   禁用密码登录可提升安全性,编辑 /etc/ssh/sshd_config，设置 PasswordAuthentication no。

2. 网络服务加固
   关闭不必要的端口和服务，使用 fail2ban 防护暴力破解：

   sudo apt install fail2ban  
   sudo systemctl enable fail2ban  

   配置 /etc/fail2ban/jail.local 可自定义规则，如限制 SSH 登录失败次数。

3. 定期网络审计
   使用 nmap 扫描主机开放端口，发现潜在风险：

   nmap -sT -O localhost  # 扫描本地主机端口及操作系统类型  

   定期检查 /var/log/auth.log 或 /var/log/secure，监控异常登录行为。

Linux 网络连通性管理是一个系统工程，从基础接口配置到高级协议调试，每一步都需细致操作，熟练掌握 ip、ss、tcpdump 等工具，结合防火墙与安全策略，才能构建稳定、安全的网络环境，在日常运维中，保持对日志的关注和定期配置审计，是预防网络故障的关键。