Linux 多网卡同网段配置冲突问题

原文地址：https://www.madbull.site/?p=2358

欢迎参观我的网站：无敌牛 -- 技术/著作/典籍/分享等

在某些网络场景中，我们可能需要在一台 Linux 服务器上配置多个物理网卡，并为它们分配同一子网内的不同 IP 地址。例如：

• 为高可用服务提供多个接入点；
• 实现网络隔离但共享同一广播域；
• 测试多路径通信行为。

然而，这种看似简单的配置在实际操作中常常导致网络不通或行为异常。本文分析其原因，并提供解决方案。

---

一、典型配置与问题现象

假设服务器有两个网卡 eth0 和 eth1，连接到同一个二层交换机（即处于同一广播域），执行如下配置：

ip addr add 192.168.1.56/24 dev eth0
ip addr add 192.168.1.57/24 dev eth1

此时可能出现以下现象：

• 从外部主机 ping 192.168.1.56 和 192.168.1.57，只有其中一个能通；
• 或者两个都能 ping 通，但 TCP 连接不稳定；
• 使用 arping 发现，两个 IP 地址返回的是同一个 MAC 地址（通常是先激活的网卡）。

---

二、问题根源：Linux 的默认 ARP 行为

Linux 内核在处理 ARP（地址解析协议）时，默认采用较为宽松的策略：

• 只要本机拥有某个 IP 地址，无论该 IP 配置在哪个接口上，所有接口都会响应对该 IP 的 ARP 请求**。**

这意味着：

• 当外部主机通过arp协议询问 "谁有 192.168.1.57？" 时，
• eth0（即使只配置了 .56）也会响应，因为它知道本机拥有 .57（在 eth1 上）；
• 外部主机于是将 .57 的 MAC 地址记录为 eth0 的 MAC；
• 后续发往 .57 的数据包被交换机送到 eth0，但 eth0 并未绑定该 IP，导致数据包被丢弃或无法正确处理。

这种行为由内核参数 arp_ignore 和 arp_announce 控制。

---

三、解决方案

方案 1：调整 ARP 相关内核参数

通过修改以下两个参数，可使每个接口仅响应自身配置的 IP 地址的 ARP 请求。

临时生效：

# 对所有接口生效
echo 2 > /proc/sys/net/ipv4/conf/all/arp_ignore
echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

# 或针对具体接口（更精确）
echo 2 > /proc/sys/net/ipv4/conf/eth0/arp_ignore
echo 2 > /proc/sys/net/ipv4/conf/eth0/arp_announce
echo 2 > /proc/sys/net/ipv4/conf/eth1/arp_ignore
echo 2 > /proc/sys/net/ipv4/conf/eth1/arp_announce

永久生效：

在 /etc/sysctl.conf 或 /etc/sysctl.d/99-arp-fix.conf 中添加：

conf编辑net.ipv4.conf.all.arp_ignore = 2
net.ipv4.conf.all.arp_announce = 2

然后执行：

sysctl -p

参数说明：

• arp_ignore = 2：仅当目标 IP 配置在接收 ARP 请求的接口上时，才响应。
• arp_announce = 2：在发送 ARP 响应时，优先使用目标 IP 所在接口的 MAC 地址。

此方案适用于大多数仅需"两个 IP 均可被访问"的场景，无需复杂路由配置。

---

方案 2：配合策略路由（Policy Routing）

如果除了 ARP 正确外，还需确保出站流量从对应接口发出（例如 .56 的流量必须从 eth0 出，.57 从 eth1 出），则需结合策略路由。

步骤示例：

# 1. 创建自定义路由表（如 100 和 101）
echo "100 table_eth0" >> /etc/iproute2/rt_tables
echo "101 table_eth1" >> /etc/iproute2/rt_tables

# 2. 为每个表添加路由（假设网关为 192.168.1.1）
ip route add default via 192.168.1.1 dev eth0 table 100
ip route add default via 192.168.1.1 dev eth1 table 101

# 3. 添加策略规则
ip rule add from 192.168.1.56 table 100
ip rule add from 192.168.1.57 table 101

# 4. （可选）控制回包路径
ip rule add iif eth0 table 100
ip rule add iif eth1 table 101

注意：此方案仍需配合 arp_ignore=2 和 arp_announce=2，否则 ARP 问题依然存在。

---

四、验证方法

1. 检查 ARP 响应是否正确

从另一台主机执行：

arping -I ethX 192.168.1.56
arping -I ethX 192.168.1.57

应分别看到 eth0 和 eth1 的 MAC 地址。

2. 查看实际路由路径

ip route get 8.8.8.8 from 192.168.1.56
ip route get 8.8.8.8 from 192.168.1.57

确认使用了预期的路由表和出口接口。

3. 检查内核参数

sysctl net.ipv4.conf.eth0.arp_ignore
sysctl net.ipv4.conf.eth0.arp_announce

---

五、注意事项

• 不建议关闭接口的 ARP 功能 （如 ip link set eth1 arp off），这会导致该接口无法通信。
• 若两个网卡连接到不同交换机但同网段，仍属于同一广播域，同样会触发 ARP 冲突。
• 在容器或虚拟化环境中，还需考虑底层网络模型的影响。

---

六、总结

Linux 多网卡同网段配置的核心问题在于默认 ARP 行为过于宽松 。通过合理设置 arp_ignore 和 arp_announce 参数，即可解决绝大多数通信异常。若需更精细的流量控制，可辅以策略路由。

该配置虽不常见，但在特定网络架构中具有实用价值。理解其原理，有助于避免"看似配置正确却无法通信"的困惑。