跳到主要内容

网络层

网络层负责跨网络的寻址和路由。

为什么重要

  • 路由错误导致 "host/network unreachable" 事故。
  • NAT 行为影响服务暴露方式和调试难度。
  • 子网设计决定可扩展性和故障爆炸半径。

IP 寻址

IPv4 和 IPv6

主题IPv4IPv6
长度32 位128 位
表示法192.168.1.102001:db8::10
地址空间有限极大

CIDR 和子网

  • CIDR /24 表示 24 位网络位。
  • 子网划分控制地址容量和分段。

路由基础

路由器基于最长前缀匹配转发数据包。

常用命令:

ip route
traceroute api.example.com

NAT(网络地址转换)

常见 NAT 类型

  • SNAT:内部源地址转换为出口公网 IP。
  • DNAT:入站流量转发到内部目标。

对后端的典型影响:

  • 客户端 IP 可见性取决于代理/NAT 链。
  • 连接跟踪表在高负载下可能丢弃流量。

ICMP 诊断

ICMP 支持控制消息,用于 ping 和路径诊断。

ping -c 4 1.1.1.1
mtr -rw api.example.com

云和 Kubernetes 要点

  • VPC/VNet 子网规划应预留增长空间。
  • Kubernetes CNI 分配 Pod IP;注意避免与节点/Service CIDR 重叠。
  • 安全组/NACL 策略可能模拟出路由故障的表现。

事故模式

模式:主机不可达

  1. 检查本地路由表。
  2. 验证下一跳网关可达性。
  3. 确认子网和安全策略一致性。

模式:间歇性丢包

  1. 按路径/区域对比行为。
  2. 检查 MTU 不匹配和分片。
  3. 排查拥塞和队列丢弃。

相关阅读