最大的收获:
1、理论指导实践,在没有把理论基础打牢固之前,扎进深水区,会卡壳很久。
整理一下最小路由器实现的理论思路;【但实际上,在真实设备上,内容要复杂一些】
最小路由器配置实验:从零构建一个上网系统
写作时间 :2026年05月09日 星期六 00时00分
实验目标:通过配置一台最小化的 Linux 路由器,彻底弄清楚数据包从内网主机到外网的完整流转过程。
一、实验拓扑与核心思路
整个网络关系非常简单,只有三跳:
text
主机 host 网卡 --> 路由器 LAN 口 eth1 --> 路由器 WAN 口 eth0 --> 上级路由器 / 光猫实验的核心任务,是让接在 eth1 上的内网主机,能够顺利访问上级网络(模拟外网)。中间每一步都有可能出现数据包"卡住"的情况,而我们要做的,就是从物理层到应用层,一层一层地把路打通。
实验分为七个阶段,由底向上解决问题。
二、关键知识储备
在做任何配置之前,先厘清一个非常重要的概念------网口状态。
通过 ip link show 可以看到每个网口的两个关键标志位和内核状态:
- 标志位
<UP>:链路层启用。由ip link set eth0 up控制,代表内核在二层的管理意愿。 - 标志位
<POWER_UP>:物理链路正常。代表网线已插好,物理层连通。只有这个标志出现,物理层才算真正就绪。 state字段 :内核视角下的接口操作状态。DOWN:内核希望接口关闭。UP:内核希望接口启用,且驱动确认可以收发数据。UNKNOWN:内核希望启用,但驱动不确定能否收发(常见于虚拟设备或隧道接口)。
注意 :state UP 独立于上述两个标志位,但正常情况下三者应该一致。
三、分阶段配置与排查
第一阶段:物理层与链路层唤醒
目标:让系统识别网卡,并让物理连接生效。
bash
# 1. 查看所有网络接口,确认物理网卡是否被识别
ip link show
# 2. 将 eth0 和 eth1 从 DOWN 状态启用
ip link set eth0 up
ip link set eth1 up
# 3. 验证物理连接是否正常(重点关注 <POWER_UP> 标志)
ip link show eth0 | grep -E "UP|POWER_UP"
ip link show eth1 | grep -E "UP|POWER_UP"排查思路 :如果看到 <...,UP,...> 但没有 <POWER_UP>,基本就是网线没插对或没插好。这是实验遇到的第一个"卡点",验证方式就是直接查看这两个标志位。
第二阶段:IP 层配置与内外网划分
目标:为 WAN 口和 LAN 口配置 IP 地址,规划路由角色。
- WAN 口(eth0) :接上级网络,假设上级网段为
192.168.99.0/24,网关为192.168.99.1。 - LAN 口(eth1) :接内网主机,规划内网网段为
192.168.1.0/24。
bash
# 为 WAN 口配置 IP,并添加默认路由
ip addr add 192.168.99.100/24 dev eth0
ip route add default via 192.168.99.1 dev eth0 # dev eth0 指定出接口,是必要的
# 为 LAN 口配置 IP
ip addr add 192.168.1.1/24 dev eth1
# 验证配置
ip addr show eth0
ip addr show eth1关键理解:
- 默认路由是"兜底"规则。当数据包目标不在任何已知直连网段时,内核会根据最长前缀匹配,最终命中默认路由。
dev eth0是必要指定的。如果不指定设备,内核可能无法明确从哪个接口发出,尤其是在存在多网卡的情况下。
第三阶段:连通性基础验证
目标:验证主机到路由器、路由器到外网的点对点连通性。
1. 主机配通路由器 LAN 口
给接在 eth1 上的主机手动配置同网段 IP,例如 192.168.1.100/24。此时无需配置网关,因为二者直连。
排障 :如果 ping 不通 192.168.1.1,按以下顺序排查:
- 网线是否插到了正确的网卡(看
POWER_UP标志)。 - 两端 IP 和掩码是否在同一网段。
- 主机/路由器防火墙是否拦截(实验初期建议先清空
iptables规则)。
2. 路由器本身访问外网
在路由器上直接 ping 8.8.8.8。若不通,除了检查默认路由,还有一个高级排查手段------在纯二层抓包,不依赖 IP 配置:
bash
ip link set eth0 up
ip link set eth0 promisc on # 开启混杂模式
tcpdump -i eth0 -nn -e # -e 显示以太网帧头,能看到对端 MAC通过抓取 ARP 广播或任何来自对端的帧,就能从帧头中直接读出上级网关的 MAC 地址和 IP 地址。这是一个绕过三层配置盲区的底层排查方法。
第四阶段:开启 IP 转发(路由核心)
目标 :让路由器能在 WAN 口和 LAN 口之间转发"过路"的数据包。
这是实验遇到的第二个重大"卡点",也是最核心的概念点。
问题本质 :Linux 默认是主机行为,收到一个目标 IP 不是自己任何接口 IP 的数据包,会直接丢弃 。现在,内网主机 192.168.1.100 发出的包,目标 8.8.8.8,经过路由器时,路由器不会转发它。
解决方案:开启内核的 IP 转发功能。
bash
# 查看当前转发状态(0=关闭,1=开启)
cat /proc/sys/net/ipv4/ip_forward
# 临时开启
echo 1 > /proc/sys/net/ipv4/ip_forward
# 或
sysctl -w net.ipv4.ip_forward=1概念分离:
- 默认路由 :解决"我该怎么出去"的问题。(路由器本身 ping 外网靠它)
- IP 转发 :解决"别人的包该不该帮它转"的问题。(主机上网靠它)
第五阶段:地址转换(NAT)
目标 :让内网私有 IP 的数据包能成功"回家"。
这是实验遇到的第三个"卡点",也是最容易忽略的地方。
问题本质 :开了转发后,192.168.1.100 的 Ping 包确实能到 8.8.8.8 了。但回包的目标是 192.168.1.100,这个地址是私有地址,在公网上(或上级路由器眼里)不可路由。回包找不到路,最终被丢弃。
解决方案:在 WAN 口上做源地址转换(SNAT / MASQUERADE),将内网主机的源 IP 替换为路由器 WAN 口的 IP。当回包到达时,路由器再反向转换回内网 IP。
bash
# 在 POSTROUTING 链上对从 eth0 发出的包做 MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# 验证规则
iptables -t nat -L -n -v规则解读:
-t nat:操作 nat 表。-A POSTROUTING:挂载到 POSTROUTING 链(路由决策后、即将发出前的最后一环)。-o eth0:匹配从 eth0 发出的包。-j MASQUERADE:动态地将源 IP 替换为 eth0 上的 IP,并在连接跟踪表中记录映射,以便回包还原。
至此,内网主机应该可以 ping 通外网 IP 了。三个核心"开关"全部打开:默认路由 → IP 转发 → NAT。
四、后续服务规划(提纲)
前五阶段已经跑通了最核心的数据包通路。要让这台路由器更实用,还需要两个自动化的服务:
第六阶段:动态主机配置(DHCP)
- 目的:让内网设备自动获取 IP,无需手动配。
- 方案 :安装
dnsmasq或isc-dhcp-server,在eth1上配置地址池、子网、网关和 DNS。
第七阶段:DNS 转发
- 目的:让内网设备能解析域名。
- 方案 :仍可用
dnsmasq,在提供 DHCP 的同时,作为 DNS 转发器监听 LAN 口,将内网的 DNS 请求转发至公网 DNS(如8.8.8.8)。这样比客户端直连公网 DNS 多了一层缓存,也更易管控。
实验感悟 :整个搭建过程,其实就是把"默认路由"、"IP 转发"、"NAT"这三个各自独立的概念,在实践中拼回了一张完整的拼图。每一个看似简单的
ping命令背后,都穿梭着这几道关口。