CentOS怎么配置静态路由_CentOS添加静态路由规则教程-CentOS-PHP中文网

配置CentOS静态路由需先用ip route add临时添加，再通过修改/etc/sysconfig/network-scripts/route-<interface>文件或使用nmcli命令实现持久化，确保特定网络流量经指定网关转发。

centos怎么配置静态路由_centos添加静态路由规则教程

在CentOS中配置静态路由，核心就是告诉系统，对于特定的目标网络，数据包应该通过哪个网关发送。这通常通过

ip route add

登录后复制

命令临时生效，然后通过修改

/etc/sysconfig/network-scripts/route-<interface_name>

登录后复制

文件或者使用 NetworkManager 的配置命令来实现持久化。本质上，这是在手动为你的网络设备绘制一张更精细的地图，确保数据能找到正确的出口，而不是一股脑地都走默认路由。

解决方案

配置CentOS的静态路由，我通常会分两步走：先是临时测试，确保路径是通的，然后才是让它永久生效。毕竟，谁也不想改完配置发现网络不通，还得重新连接，对吧？

1. 临时配置（即时生效，重启失效）

这个方法适用于快速测试或者你只是想在不重启服务的情况下临时调整路由。

sudo ip route add <目标网络/子网掩码> via <下一跳网关IP> dev <出站网络接口>

登录后复制

```
<目标网络/子网掩码>
```
登录后复制
：例如
```
192.168.2.0/24
```
登录后复制
，表示目标是
```
192.168.2.0
```
登录后复制
这个网段，子网掩码是
```
255.255.255.0
```
登录后复制
。你也可以直接写主机IP，比如
```
192.168.2.100
```
登录后复制
。
```
<下一跳网关IP>
```
登录后复制
：你的CentOS服务器要将数据包发给的下一个路由器的IP地址。
```
<出站网络接口>
```
登录后复制
：数据包从你的CentOS服务器哪个网卡出去，比如
```
eth0
```
登录后复制
、
```
ens33
```
登录后复制
。

举个例子，如果我想让所有发往

10.0.0.0/8

登录后复制

网段的流量都通过

192.168.1.1

登录后复制

这个网关，并且从

ens33

登录后复制

接口出去：

sudo ip route add 10.0.0.0/8 via 192.168.1.1 dev ens33

登录后复制

验证一下，可以用

ip route show

登录后复制

命令查看当前的路由表。

2. 永久配置（推荐方法，重启后依然有效）

为了让路由规则在系统重启后依然存在，我们需要把它写入配置文件。在CentOS上，这主要有两种主流做法，我个人更倾向于修改网络脚本文件，因为它直观且兼容性好。

方法一：修改网络脚本文件（适用于传统网络配置和NetworkManager管理下的简单场景）

针对你的具体网络接口，比如

ens33

登录后复制

，你需要创建一个或编辑

/etc/sysconfig/network-scripts/route-ens33

登录后复制

文件。

sudo vi /etc/sysconfig/network-scripts/route-ens33

登录后复制

在这个文件里，你可以用两种格式添加路由：

格式一：传统三元组格式 这种格式比较老派，但很清晰。
```
ADDRESS0=10.0.0.0
NETMASK0=255.0.0.0
GATEWAY0=192.168.1.1

# 如果有第二条路由
ADDRESS1=172.16.0.0
NETMASK1=255.255.0.0
GATEWAY1=192.168.1.2
```
登录后复制
这里的
```
0
```
登录后复制
、
```
1
```
登录后复制
是索引，你可以一直递增下去。
格式二：CIDR格式（更推荐，更简洁） 这种格式更现代，也更符合
```
ip route
```
登录后复制
命令的习惯。
```
10.0.0.0/8 via 192.168.1.1
172.16.0.0/16 via 192.168.1.2
```
登录后复制

选择其中一种格式，将你的路由规则添加进去。保存文件后，你需要重启网络服务或者重启对应的网络接口，让配置生效。

# 重启网络服务（CentOS 7/8）
sudo systemctl restart network

# 或者只重启特定接口
sudo ifdown ens33 && sudo ifup ens33

登录后复制

注意： 在某些较新的CentOS版本中，如果你的网络是由NetworkManager严格管理的，直接修改

route-<interface_name>

登录后复制

文件可能需要NetworkManager的配合，或者NetworkManager可能会覆盖你的修改。如果遇到这种情况，可以考虑方法二。

方法二：使用 NetworkManager (nmcli) 命令

NetworkManager 是CentOS 7/8 默认的网络管理工具，用

nmcli

登录后复制

命令来配置静态路由是更“官方”的做法。

# 添加路由
sudo nmcli connection modify <接口名称> +ipv4.routes "<目标网络/子网掩码> <下一跳网关IP>"

# 举例：
sudo nmcli connection modify ens33 +ipv4.routes "10.0.0.0/8 192.168.1.1"

# 如果需要添加多条，就重复执行上面的命令。
sudo nmcli connection modify ens33 +ipv4.routes "172.16.0.0/16 192.168.1.2"

# 激活连接，使更改生效
sudo nmcli connection up <接口名称>

登录后复制

如果你想删除一条路由，可以使用

-ipv4.routes

登录后复制

。

sudo nmcli connection modify ens33 -ipv4.routes "10.0.0.0/8 192.168.1.1"
sudo nmcli connection up ens33

登录后复制

无论哪种方法，配置完成后，都应该用

ip route show

登录后复制

检查一下路由表，确保新的规则已经正确加载。

什么时候应该使用静态路由，它和默认路由有什么不同？

我经常遇到一些朋友，他们对静态路由和默认路由的概念有些混淆。其实，理解它们各自的适用场景，能帮助我们更好地设计网络。

什么时候使用静态路由？

静态路由并非万能药，它有自己独特的适用场景：

特定网络段的转发需求： 这是最常见的场景。比如，你的服务器在一个内网，需要访问另一个完全独立的内网段，而这个网段不在你的默认网关的直接路由范围内。或者，你有多个出口，但某些特定流量必须走特定的出口，而不是默认出口。
安全性考虑： 在某些安全要求较高的环境中，你可能只允许服务器访问特定的几个网络，通过静态路由精确控制出站流量路径，可以减少不必要的暴露。
单臂路由器或多宿主主机： 当一台服务器有多个网卡，连接到不同的网络，且它本身也承担部分路由功能时，静态路由能明确指定流量走向。
网络拓扑简单且稳定： 如果你的网络规模不大，拓扑结构几乎不会变化，那么手动配置静态路由既简单又高效，还能避免动态路由协议带来的额外开销。
故障排除或临时方案： 在排查网络问题时，临时添加一条静态路由可以快速测试某个路径是否通畅。或者，在动态路由协议出现故障时，静态路由可以作为临时的备份路径。
到特定主机或子网的优化路径： 即使默认路由能到达目标，但如果存在一条更短、更优（比如延迟更低、带宽更高）的路径，你也可以通过静态路由来强制流量走这条路径。

它和默认路由有什么不同？

简单来说，默认路由（Default Route）是你的网络世界的“万能钥匙”，而静态路由则是针对特定“房间”的“专属钥匙”。

默认路由 (0.0.0.0/0)： 就像它的名字一样，这是一个“默认”的规则。当你的系统不知道如何到达某个目标网络时（即在路由表中找不到更具体的匹配项），它就会把数据包扔给默认网关。一台主机通常只有一个默认路由，它指向你网络出口的路由器。你可以把它想象成“如果我不知道去哪，就问它”。
静态路由 (Specific Network/Mask)： 静态路由则非常具体。它明确指出“如果要去
```
X
```
登录后复制
网络，就通过
```
Y
```
登录后复制
网关走
```
Z
```
登录后复制
接口”。它比默认路由的优先级更高，因为在路由查找时，系统总是优先匹配最具体的路由。只有当找不到任何静态路由或直连路由能匹配目标时，才会考虑默认路由。

所以，两者是互补关系。默认路由处理绝大多数未知目的地的流量，而静态路由则处理那些需要特殊路径的、已知目的地的流量。在实际应用中，我们常常会结合使用，以达到既能覆盖全局又能精细控制特定路径的目的。

配置静态路由后，如何验证其生效并进行故障排查？

配置完静态路由，最怕的就是它没生效，或者生效了但网络还是不通。所以，验证和排查是必不可少的环节。我个人觉得，先验证再排查，思路会清晰很多。

度加剪辑

度加剪辑（原度咔剪辑），百度旗下AI创作工具

查看详情

1. 验证静态路由是否生效

查看路由表：
```
ip route show
```
登录后复制
这是最直接的方式。执行
```
ip route show
```
登录后复制
(或者
```
netstat -rn
```
登录后复制
)，你会看到当前的路由表。仔细查找你刚刚添加的路由规则，它应该以
```
dest <目标网络> via <网关IP> dev <接口>
```
登录后复制
的形式出现。
```
ip route show
# 示例输出中可能会有类似这样一行：
# 10.0.0.0/8 via 192.168.1.1 dev ens33
```
登录后复制
如果看到了，说明路由规则已经加载到内核的路由表里了。
使用
```
ping
```
登录后复制
命令测试连通性 尝试
```
ping
```
登录后复制
目标网络中的一个IP地址。
```
ping 10.0.0.100 # 假设 10.0.0.100 是目标网络中的一台主机
```
登录后复制
如果能
```
ping
```
登录后复制
通，那恭喜你，路由基本是没问题的。
使用
```
traceroute
```
登录后复制
或
mtr
登录后复制
命令跟踪路径
```
traceroute
```
登录后复制
(或
```
mtr
```
登录后复制
) 能显示数据包从你的服务器到目标IP所经过的所有路由器。这能帮你确认数据包是否真的走了你期望的路径，以及在哪一步卡住了。
```
traceroute 10.0.0.100
```
登录后复制
观察输出中的第一跳或前几跳，是否是你配置的静态路由的网关IP。

2. 故障排查

如果验证不通过，或者

ping

登录后复制

不通，那就得开始“找茬”了。

检查路由规则的准确性：
- IP地址和子网掩码： 是不是有手误？目标网络、网关IP、子网掩码有没有写错？
```
192.168.1.0/24
```
  登录后复制
  和
```
192.168.1.0/16
```
  登录后复制
  可是天壤之别。
- 网关可达性： 你的CentOS服务器能
```
ping
```
  登录后复制
  通你配置的那个下一跳网关吗？如果连网关都
```
ping
```
  登录后复制
  不通，那路由肯定没戏。
- 出站接口： 确定你指定的
```
dev <接口名称>
```
  登录后复制
  是正确的，并且该接口是 UP 状态。
```
ip addr show <接口名称>
```
  登录后复制
  可以查看接口状态。
持久化配置是否生效：
- 如果你是通过文件配置的，确认文件路径和内容格式是否正确。比如，
```
route-ens33
```
  登录后复制
  文件是否真的被读取了？
- 是否重启了网络服务或接口？有时，修改了配置文件但忘了让它生效，是常犯的错误。
防火墙规则：
- CentOS本地防火墙：
```
firewalld
```
  登录后复制
  或
```
iptables
```
  登录后复制
  是否阻止了出站流量或者入站的响应流量？检查
```
firewall-cmd --list-all
```
  登录后复制
  或
```
iptables -nvL
```
  登录后复制
  。
- 中间路由设备防火墙： 你的CentOS服务器和目标网络之间，是不是有其他路由器或防火墙在作祟？它们可能阻止了你的流量。
路由优先级：
- Linux的路由表会根据“最长前缀匹配”原则来选择路由。如果存在一条比你静态路由更具体（子网掩码更长）的路由，系统会优先选择那条。确保你的静态路由是针对目标网络最具体的有效路径。
网络接口状态：
- 确保你指定的出站接口
```
ens33
```
  登录后复制
  等是正常工作状态，没有被禁用或出现硬件故障。
```
ip link show <接口名称>
```
  登录后复制
  。
日志文件：
- 查看系统日志，特别是与网络服务相关的日志，可能会有线索。
```
journalctl -u network
```
  登录后复制
  或
```
dmesg
```
  登录后复制
  。

排查故障时，保持耐心，一步步地缩小范围，通常都能找到问题所在。从最基本的连通性开始，逐步深入到配置细节和中间设备，这是我的经验之谈。

在复杂的网络环境中，如何有效地管理和维护多条静态路由？

当网络规模变大，静态路由的数量也随之增多时，手动管理就会变成一场噩梦。我亲身经历过那种因为一条小小的路由配置错误，导致整个服务中断的窘境。所以，有效的管理和维护策略变得至关重要。

详尽的文档和命名规范：
- 文档先行： 这是最基础也是最重要的。记录每一条静态路由的目的、目标网络、网关、出站接口、创建人、创建时间以及任何相关的业务逻辑。我通常会用Wiki或者一个专门的Git仓库来管理这些文档。
- 命名规范： 如果你使用
```
route-<interface_name>
```
  登录后复制
  文件，可以在文件内部添加注释。如果是脚本或自动化工具，确保变量和参数的命名清晰明了，一眼就能看出这条路由是干什么的。
版本控制：
- 将所有与网络配置相关的脚本和配置文件（特别是
```
/etc/sysconfig/network-scripts/
```
  登录后复制
  下的文件）纳入版本控制系统，比如 Git。
- 每次修改都提交，并附上清晰的提交信息。这样，一旦出现问题，你可以快速回溯到之前的版本，甚至进行差异比较，找出是哪次修改导致了问题。这就像是给你的网络配置买了一份“后悔药”。
自动化配置管理工具：
- 对于拥有大量服务器或复杂路由规则的环境，手动修改文件简直是自找麻烦。使用像 Ansible、Puppet、Chef 这样的配置管理工具，可以极大地简化静态路由的部署和管理。
- 你可以定义一个统一的路由配置模板，然后通过这些工具批量分发和应用到所有目标服务器。这样不仅提高了效率，还确保了配置的一致性，减少了人为错误。例如，用Ansible写一个playbook来管理
```
/etc/sysconfig/network-scripts/route-ens33
```
  登录后复制
  文件。
分层和模块化管理：
- 如果路由规则非常多，可以考虑将其按功能、区域或业务线进行分类。例如，所有与数据库集群相关的路由放在一个模块，所有与Web服务相关的路由放在另一个模块。
- 在自动化工具中，这可以体现为不同的role或playbook。这样，当你需要修改某个特定功能的路由时，只需关注对应的模块，降低了复杂性。
定期审计和审查：
- 网络环境是动态变化的，路由规则也可能随着业务调整而变得过时或冗余。定期（比如每季度或每半年）对所有静态路由进行审计，检查它们是否仍然必要、是否还有效、是否存在更优的路径。
- 利用脚本自动化地
```
ip route show
```
  登录后复制
  输出，并与你的文档进行比对，找出不一致的地方。
监控和告警：
- 虽然静态路由本身不会“动”，但它所依赖的网关、接口可能会出问题。配置网络监控工具，实时监测路由所依赖的网关和接口的连通性。
- 当关键路径出现故障时，能够及时收到告警，这样你就能在用户发现问题之前介入处理。
考虑动态路由协议（在适当的时候）：
- 如果你的网络拓扑变得极其复杂，需要频繁调整路由，或者有多个冗余路径，那么静态路由的维护成本可能会超过其优势。这时，认真考虑引入动态路由协议（如 OSPF、BGP）可能是更明智的选择。动态路由协议能够自动发现网络拓扑变化并调整路由，大大减轻了管理负担。当然，引入动态路由协议本身也有其复杂性，需要权衡利弊。