网络 on Liangweidong's blog

Docker 容器固定 IP 实战：自定义网络与运行时指定

Fri, 15 Jun 2018 00:00:00 +0800

默认 bridge 模式下，容器每次启动 IP 都会变——docker-compose restart 后连接配置失效、监控告警的 IP 列表刷新不了。生产环境要"容器 IP 稳定"，必须用自定义网络 + --ip 指定。

这一篇把"容器固定 IP"这件事的最短路径写清楚。

阅读对象：需要容器 IP 在重启后保持不变、要把 IP 写进监控 / DNS / Nginx upstream 的同学 覆盖范围：默认 bridge 模式的局限 + 自定义网络 + –ip 指定 + 多容器共享子网

一、为什么默认 bridge 模式 IP 会变

Docker 启动时按顺序从子网 172.17.0.0/16 分配 IP 给容器。容器重启 / 删除后，IP 池会重新分配——172.17.0.2 这次给 nginx，下次可能给 mysql。

1
2
3
4
5
6
7
8


$ docker run -d --name nginx1 nginx
$ docker inspect nginx1 | grep IPAddress
"IPAddress": "172.17.0.2"

$ docker stop nginx1 && docker rm nginx1
$ docker run -d --name nginx2 nginx
$ docker inspect nginx2 | grep IPAddress
"IPAddress": "172.17.0.2" # 同一个 IP 给新容器了

直接用默认 bridge 模式指定 IP 会报错：

1
2
3


$ docker run -itd --name test --network bridge --ip 172.17.0.5 centos:7 /bin/bash
Error response from daemon: User specified IP address is supported only when
connecting to networks with user configured subnets.

结论：要让容器 IP 稳定，必须先 docker network create 自定义网络。

二、自定义网络：三步搞定

2.1 创建自定义网络

1

docker network create --subnet=172.18.0.0/16 mynetwork

参数说明：

--subnet=172.18.0.0/16：定义子网范围
mynetwork：网络名

Why 自定义子网：

避开默认 172.17.0.0/16 防止和宿主机其他网络冲突

显式规划 IP 段，方便和监控 / DNS 同步

可选参数：

1
2
3
4
5


# 指定网桥名（让 ifconfig 看到的是 docker1，不是 br-xxx）
docker network create \
 --subnet=172.18.0.0/16 \
 --opt "com.docker.network.bridge.name"="docker1" \
 mynetwork

2.2 验证网络

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33


$ docker network ls
NETWORK ID NAME DRIVER SCOPE
xxxx bridge bridge local
xxxx host host local
xxxx none null local
xxxx mynetwork bridge local

$ docker network inspect mynetwork
[
 {
 "Name": "mynetwork",
 "Id": "abc123...",
 "Created": "...",
 "Scope": "local",
 "Driver": "bridge",
 "EnableIPv6": false,
 "IPAM": {
 "Driver": "default",
 "Options": null,
 "Config": [
 {
 "Subnet": "172.18.0.0/16",
 "Gateway": "172.18.0.1"
 }
 ]
 },
 "Internal": false,
 "Containers": {},
 "Options": {
 "com.docker.network.bridge.name": "docker1"
 }
 }
]

2.3 启动容器 + 指定 IP

1
2
3
4
5


docker run -itd \
 --name test \
 --net mynetwork \
 --ip 172.18.0.10 \
 centos:7 /bin/bash

关键参数：

--net mynetwork：加入自定义网络
--ip 172.18.0.10：固定 IP

2.4 验证

1
2


$ docker inspect test | grep IPAddress
"IPAddress": "172.18.0.10"

重启后 IP 不变：

1
2
3


$ docker restart test
$ docker inspect test | grep IPAddress
"IPAddress": "172.18.0.10" # 还是这个 IP

三、实战场景

3.1 场景 1：MySQL 容器固定 IP，方便其他容器配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


# 创建网络
docker network create --subnet=172.18.0.0/16 backend

# 启动 MySQL，固定 IP
docker run -d \
 --name mysql-server \
 --net backend \
 --ip 172.18.0.5 \
 -e MYSQL_ROOT_PASSWORD=secret \
 mysql:8.0

# 启动应用，配置连 172.18.0.5
docker run -d \
 --name myapp \
 --net backend \
 -e DB_HOST=172.18.0.5 \
 -e DB_PORT=3306 \
 myapp:latest

优势：

应用容器可以不挂 mysql:3306 的端口映射——直接用内网 IP 通信

MySQL 不暴露给宿主机外网，减少攻击面

3.2 场景 2：Nginx 反向代理到后端固定 IP

1
2
3
4
5
6
7
8
9


# 后端 web 固定 IP
docker run -d --name web1 --net mynetwork --ip 172.18.0.10 nginx
docker run -d --name web2 --net mynetwork --ip 172.18.0.11 nginx

# Nginx 反代配置
# upstream backend {
# server 172.18.0.10:80;
# server 172.18.0.11:80;
# }

Why 固定 IP：upstream 写死的 IP 重启后不失效——不用每次重启都重新查 IP 改配置。

3.3 场景 3：多容器共享子网 + DNS 解析

1
2
3
4


docker network create --subnet=172.18.0.0/16 mynetwork

docker run -d --name app1 --net mynetwork --ip 172.18.0.10 myapp
docker run -d --name db1 --net mynetwork --ip 172.18.0.20 mysql:8

在 app1 容器内：

1
2
3
4
5
6
7


$ docker exec -it app1 bash
# ping db1
PING db1 (172.18.0.20): 56 data bytes
64 bytes from 172.18.0.20: icmp_seq=0 ttl=64 time=0.045 ms

# 也支持直接 ping IP
$ ping 172.18.0.20

关键能力：自定义网络默认开启容器名 DNS 解析——app1 容器内 ping db1 直接解析成 172.18.0.20。默认 bridge 模式没有这个能力。

四、host 网络模式的"另类固定 IP"

如果不在意隔离，host 模式下容器直接用宿主机 IP——变相"固定"了：

1

docker run -d --name nginx --net host nginx

容器内看到的 hostname -I = 宿主机 IP。

优劣：

简单粗暴

性能最佳（无 NAT）

端口冲突会直接报错——多个容器想用 80 端口就崩

五、清理自定义网络

1
2
3
4
5
6
7
8


# 列出
docker network ls

# 删指定网络
docker network rm mynetwork

# 删所有未使用的网络
docker network prune

注意：有容器正在使用的网络不能删——必须先停 / 删容器。

六、常见问题

6.1 `address already in use`

启动容器时 IP 冲突：

1
2


$ docker run -d --name test --net mynetwork --ip 172.18.0.10 centos
Error response from daemon: Address already in use

解决：

换 IP（172.18.0.11）
看哪个容器占着：docker network inspect mynetwork

6.2 不同网络之间容器无法直接通信

1
2
3
4
5
6
7
8


$ docker run -d --name web1 --net mynetwork --ip 172.18.0.10 nginx
$ docker run -d --name app1 --net othernet --ip 172.19.0.5 myapp

# 在 app1 内 ping web1
$ docker exec app1 ping web1
ping: bad address 'web1' # 解析不到
$ docker exec app1 ping 172.18.0.10
# 也不通——不同 network

解决：用 docker network connect 把容器加到另一个网络：

1

docker network connect mynetwork app1

app1 现在有两个网络接口，能直接 ping web1。

6.3 容器已经启动，想改 IP

容器运行中不能改 IP。必须：

1
2


docker rm -f <container>
docker run --ip <new-ip> ...

K8s 里这个操作对应 kubectl edit pod 改 podIP——同样需要删 Pod 重建。

七、要点回顾

默认 bridge 模式不能指定 IP——必须 docker network create 自定义网络
--net mynetwork --ip 172.18.0.10 启动容器，重启后 IP 不变
自定义网络自带 DNS 解析——容器名能直接 ping 通
跨网络通信用 docker network connect
host 网络模式“IP 等于宿主机 IP”——性能最佳但端口冲突
运行中的容器不能改 IP——必须删了重建

八、小结

固定 IP 是 docker 网络的"基础款"——理解了 docker network create + --net + --ip 三个参数，90% 的"IP 不稳定"问题就解决了。

下一步：理解了单机 Docker 固定 IP，下一步是 K8s 的 Service / StatefulSet / Headless Service——K8s 用 Service 抽象"一组稳定 IP 的 Pod"（哪怕 Pod IP 变了），StatefulSet 给每个 Pod 分配稳定 DNS 名字（pod-0.svc.namespace.svc.cluster.local），Headless Service 直接暴露 Pod IP 给 DNS。是云原生的"稳定标识"模式。

参考资料

Linux 远程登录与安全实践：SSH 公私钥、scp 免密、Wake-on-LAN 远程开机与网络配置

Wed, 15 Mar 2017 00:00:00 +0800

一、为什么是 2017 年这一份

2017 年这个时间点前后，Linux 远程管理进入"工具标准化"阶段：

OpenSSH 7.x（2016-2017 时代）已修复大量历史漏洞，sshd 默认配置趋于安全
Wake-on-LAN 仍是有线网卡机器远程开机的主流方案
Debian/Ubuntu 的网络配置正经历重构——Debian 9 (2017-06) 仍用 /etc/network/interfaces，但 Ubuntu 18.04 (2018-04) 起改用 netplan
systemd-resolved 在 Ubuntu 17.10 (2017-10) 起成为默认 DNS 解析

这一篇覆盖远程登录、远程拷贝、远程开机、网卡配置、DNS 配置——一个系统管理员日常要用的"远程"工具箱。

阅读建议：本文分四块——远程登录（SSH）、远程拷贝（SCP）、远程开机（WoL）、网络配置。强烈建议所有公开服务器禁止密码登录，只用密钥。

二、SSH 远程登录

2.1 sshpass：脚本里的免密登录

sshpass 允许在一条命令里把密码带上——典型场景是自动化脚本里临时用一下，生产环境请用 SSH 公私钥。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 安装（CentOS）
yum install -y sshpass

# 安装（Debian/Ubuntu）
apt install -y sshpass

# 免密 SSH 登录
sshpass -p 'your-password' ssh root@<host-ip>

# sshpass + ssh 不提示 yes/no
sshpass -p 'your-password' ssh \
 -o StrictHostKeyChecking=no user@<host-ip>

2.2 优化：去掉"是否连接"的提示

第一次 SSH 连接到新主机时，会问"是否信任该主机（yes/no）"。在自动化场景下这个交互很烦。两种解决方案：

客户端配置（影响本机的所有 SSH 客户端）：

1
2
3
4


vim /etc/ssh/ssh_config

# 加上这一行
StrictHostKeyChecking no

服务端配置（影响所有客户端连这台机器）：

1
2
3
4
5
6


vim /etc/ssh/sshd_config

GSSAPIAuthentication no
UseDNS no

service sshd restart

三、SSH 公私钥登录：生产环境标配

强烈推荐：所有公开服务器禁止密码登录，只用密钥。

3.1 生成密钥对

1
2
3
4
5
6


ssh-keygen -t rsa
# 默认 2048 位 RSA，公私钥存在 ~/.ssh/

# 当前目录下多出两个文件
# id_rsa ← 私钥（**绝不能泄露**）
# id_rsa.pub ← 公钥（要上传到服务器）

3.2 上传公钥到服务器

方法一：手动复制

1
2
3
4
5
6
7
8


# 假设你已经在服务器上
mkdir -p ~/.ssh
chmod 700 ~/.ssh
touch ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

# 把本地公钥内容粘贴进去
cat id_rsa.pub >> ~/.ssh/authorized_keys

方法二：ssh-copy-id（如果装了）

1

ssh-copy-id -i ~/.ssh/id_rsa.pub user@<host-ip>

3.3 服务端配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


vim /etc/ssh/sshd_config

# 启用 RSA 认证（默认是 yes）
RSAAuthentication yes
PubkeyAuthentication yes

# 指定公钥文件位置
AuthorizedKeysFile .ssh/authorized_keys

# 允许 root 登录（视业务）
PermitRootLogin yes

# **关键：禁用密码登录**
PasswordAuthentication no

# 重启 sshd
service sshd restart

顺序很重要：先确认至少有一个账号能用公钥登录了，再去禁密码。否则一旦失联，就只能接显示器登录。

3.4 多个公钥

1

cat other_id_rsa.pub >> ~/.ssh/authorized_keys

一行一个公钥，OpenSSH 按顺序匹配。

四、scp 远程拷贝

4.1 本地 → 远程

1
2
3
4
5
6
7
8


# 文件
scp /local/file.txt user@<host>:/remote/path/

# 目录（加 -r）
scp -r /local/dir user@<host>:/remote/path/

# 携带密码（自动化场景）
sshpass -p 'your-password' scp -r /local/dir user@<host>:/remote/path/

4.2 远程 → 本地

1
2
3
4
5
6
7
8


# 文件
scp user@<host>:/remote/file.txt /local/path/

# 目录
scp -r user@<host>:/remote/dir /local/path/

# 携带密码
sshpass -p 'your-password' scp user@<host>:/remote/file.txt /local/path/

4.3 常用选项

选项	含义
`-P port`	指定端口（大写 P，不是 `-p`）
`-q`	去掉进度显示
`-l limit`	限速（单位 Kbit/s）
`-C`	压缩传输
`-i keyfile`	指定私钥文件

更现代的替代：rsync 和 sftp 都已经基本替代 scp 在生产环境的位置。rsync 增量传输、sftp 支持断点续传，scp 适合"小文件、临时一次性"的场景。

五、Wake-on-LAN 远程开机

WoL（Wake-on-LAN）允许通过网络发一个"魔术包"，让关机状态下的机器开机。要求机器的有线网卡和主板都支持。

5.1 检查网卡是否支持 WoL

1
2
3
4


ethtool eno1
# 找到 "Supports Wake-on:" 和 "Wake-on:" 两行
# Supports Wake-on: pumbg
# Wake-on: d ← d = 禁用

字段值	含义
`p`	Wake on PHY activity
`u`	Wake on unicast messages
`m`	Wake on multicast messages
`b`	Wake on broadcast messages
`a`	Wake on ARP
`g`	Wake on MagicPacket（最常用）
`s`	Enable SecureOn password for MagicPacket
`d`	Disable（默认）

5.2 启用 WoL

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 立即启用（重启后失效）
ethtool -s eno1 wol g

# 永久启用：写进网卡配置
# CentOS/RHEL
echo "ETHTOOL_OPTS='-s eno1 wol g'" >> /etc/sysconfig/network-scripts/ifcfg-eno1

# Debian/Ubuntu
# 在 /etc/network/interfaces 里加
# up ethtool -s eno1 wol g

5.3 查网卡物理地址（MAC）

1
2


ip a
# link/ether 58:11:22:c3:1b:4d

5.4 安装并发送魔术包

1
2
3
4
5
6
7
8
9


# 安装 wakeonlan
apt install wakeonlan # Debian/Ubuntu
yum install wakeonlan # CentOS（需 EPEL）

# 在同一局域网内发送
wakeonlan 58:11:22:c3:1b:4d

# 指定目标 IP（跨网段需要中继）
wakeonlan -i 10.8.33.5 58:11:22:c3:1b:4d

5.5 BIOS 也要打开 WoL

掉电恢复来电后 WoL 经常失效——这是主板 BIOS 没开。

开机进 BIOS → Power Management Setup：

找 Wake On LAN → 设为 Enable
没有就找 Wake On PCI Card → 设为 Enable（注意：PCI 选项可能有两个，确保只开一个，否则循环重启）
找 PME Event Wake Up → 设为 Enabled

两种 WoL 模式的区别：

Wake On LAN —— 完全关机也能唤醒
Wake On PCI Card —— 深度休眠（hibernate）才能唤醒

5.6 远程关机

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


# 立即关机
shutdown now
# 或
shutdown --poweroff now

# 取消关机
shutdown -c

# 预关机（带警告）
shutdown --poweroff

# 深度睡眠
pm-hibernate

# 重启
shutdown --reboot

六、Debian / Ubuntu 网络配置

6.1 Debian 9/10：`/etc/network/interfaces`

1
2
3
4
5
6


# 重启网络
/etc/init.d/networking restart
systemctl restart networking

# 网卡配置
vim /etc/network/interfaces

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*

# 环回口
auto lo
iface lo inet loopback

# DHCP 自动获取
auto eth0
iface eth0 inet dhcp

# 静态 IP
auto eth0
iface eth0 inet static
address 192.168.1.122
netmask 255.255.255.0
gateway 192.168.1.2

6.2 查看 DNS

1
2
3
4
5
6
7


# 临时配置
cat /etc/resolv.conf
# nameserver 8.8.8.8
# nameserver 114.114.114.114

# 永久配置
sudo apt install resolvconf

6.3 Ubuntu 18.04+：`netplan`

Ubuntu 18.04 起改用 netplan（YAML 格式）：

1
2


# 配置
vim /etc/netplan/00-installer-config.yaml

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


network:
 ethernets:
 eno1:
 dhcp4: false
 addresses:
 - 192.168.10.127/24
 routes:
 - to: default
 via: 192.168.10.1
 nameservers:
 addresses: [211.138.24.66, 114.114.114.114, 192.168.10.1]
 eno2:
 dhcp4: true
 eno3:
 dhcp4: true
 eno4:
 dhcp4: true
 version: 2

1
2


# 应用配置
netplan apply

从 interfaces 迁移到 netplan：2017-2018 是过渡期，老教程仍是 interfaces，新机器按 netplan 走。

6.4 DNS：`systemd-resolved`

Ubuntu 17.10 起默认启用 systemd-resolved。

1
2
3
4
5
6
7
8


vim /etc/systemd/resolved.conf

[Resolve]
# 几个公开 DNS（示例）
#DNS=1.1.1.1 8.8.8.8
DNS=114.114.114.114

systemctl restart systemd-resolved

/etc/resolv.conf 经常被覆盖：/etc/resolv.conf 实际上是软链接到 /run/systemd/resolve/stub-resolv.conf，手动改 /etc/resolv.conf 重启后会失效。正确做法是改 /etc/systemd/resolved.conf。

七、Debian 静态 IP 实际案例

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


# 1. 查当前 IP
ip a
# 或
ifconfig

# 2. 备份原配置
cp /etc/network/interfaces /etc/network/interfaces.bak

# 3. 改成静态
cat > /etc/network/interfaces << "EOF"
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.1.122
netmask 255.255.255.0
gateway 192.168.1.2
EOF

# 4. 重启
systemctl restart networking

八、前置知识 / 下一步

想了解 SSH 高级用法（端口转发、代理）→ 翻独立文章
想了解 fail2ban 防爆破 → 翻本系列《Linux 用户管理与安全加固》
想了解 Wake-on-LAN 跨网段（需要路由器支持）→ 翻独立文章
想了解 rsync 增量同步替代 scp → 翻独立文章
想了解 ufw 防火墙配置 → 翻本系列《Ubuntu 发行版实战》

九、参考资源

OpenSSH 官方文档：https://www.openssh.com/manual.html
Ubuntu Netplan 文档：https://netplan.io/
Debian 网络配置 wiki：https://wiki.debian.org/NetworkConfiguration
Wake-on-LAN 原理（Wikipedia）：https://en.wikipedia.org/wiki/Wake-on-LAN
ethtool 手册：man ethtool

2024 视角：7 年后远程管理的"新王"和"新坑"

2017 那篇的 SSH 公私钥、scp、Wake-on-LAN 在 2024 仍管用——但有 3 个新趋势必须知道：

一、ed25519 全面替代 RSA 2048

2017 那篇示范 ssh-keygen -t rsa（默认 2048 位）。2024 实际项目里 ed25519 已经是事实标准：

算法	密钥长度	性能	抗量子	兼容性
RSA 2048	2048 位	慢（签名/验签 1-3ms）	弱（量子 Shor 算法秒破）	全平台
RSA 4096	4096 位	极慢（10-30ms）	较弱	全平台
ed25519	256 位	极快（< 0.1ms）	中（仍是椭圆曲线）	OpenSSH 6.5+（2014）
ECDSA P-256	256 位	快	中	OpenSSH 5.7+（2008）
ML-DSA（Dilithium）	1312 字节	慢	强（抗量子）	OpenSSH 9.x 实验中

2024 默认推荐：

1
2
3
4
5
6


# ed25519
ssh-keygen -t ed25519 -C "lwd@<your-host>"

# 加 passphrase（用 ssh-agent / GNOME Keyring 记）
ssh-keygen -t ed25519 -a 100 -C "lwd@<your-host>"
# -a 100 = 100 轮 KDF，增强私钥文件抗爆破

二、SSH 配置的"现代化"补充

Include /etc/ssh/sshd_config.d/*.conf：2024 推荐——把配置拆到 /etc/ssh/sshd_config.d/ 目录，sshd 8.0+ 已支持。
KDF rounds on private key：私钥 KDF 迭代次数（-a 参数）。
Include ~/.ssh/config.d/*.conf：客户端也可以 Include 拆分。
GSSAPI / DNS 关闭默认已 ok。
Include 路径匹配：

1
2
3
4
5
6
7
8
9


# 客户端 ~/.ssh/config
Include config.d/*.conf

# /etc/ssh/sshd_config.d/00-hardening.conf
PasswordAuthentication no
PermitRootLogin prohibit-password
MaxAuthTries 3
X11Forwarding no
AllowAgentForwarding no

三、scp 全面弃用，改用 sftp / rsync

OpenSSH 9.0（2022-04）开始打印 WARNING: scp is deprecated。
sftp（基于 SSH 的 FTP）支持断点续传、目录浏览：

1
2
3
4
5


# 上传
sftp user@host <<< 'put -r /local/dir /remote/path'

# 下载
sftp user@host <<< 'get -r /remote/path /local/'

rsync（增量同步）做"两台机器同步"：

1
2
3
4
5


rsync -avz --progress /local/dir/ user@host:/remote/dir/
# -a 归档模式
# -v 详细
# -z 传输时压缩
# --progress 显示进度

四、Wake-on-LAN 在云时代的"替代方案"

2017 那篇 WoL 在家用 / 局域网场景仍管用。
但 2024 云服务器根本没 WoL 概念——开机通过云厂商 API。
远程开机的现代姿势：
- AWS：Lambda + CloudWatch Events + EC2 API
- 阿里云：函数计算 + 定时触发器 + ECS StartInstance
- 小米插座 / 智能插线板：远程给机器上电（家里老台式机）

1
2
3
4
5
6
7
8


# 阿里云 SDK 远程开机
from aliyunsdkcore.client import AcsClient
from aliyunsdkecs.request.v20140526 import StartInstanceRequest

client = AcsClient('<access-key-id>', '<access-key-secret>', 'cn-hangzhou')
request = StartInstanceRequest.StartInstanceRequest()
request.set_InstanceIds(['i-bp1xxxxxxxxxxxxxx'])
client.do_action_with_exception(request)

五、WireGuard 替代 SSH 隧道 + frp

2017 那篇没提 SSH 端口转发 -L / -R。2024 的"点对点 VPN"首选是 WireGuard：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 装
apt install wireguard

# 生成密钥
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

# 配置 /etc/wireguard/wg0.conf
[Interface]
Address = 10.0.0.1/24
PrivateKey = <server-private-key>
ListenPort = 51820

[Peer]
PublicKey = <client-public-key>
AllowedIPs = 10.0.0.2/32

优势：内核态实现（性能是 OpenVPN 4 倍）、配置极简（单文件）、roaming 友好（IP 变化不重连）。
SSH 隧道还在用：但主要是"临时单端口转发"，长期组网全部走 WireGuard / Tailscale / ZeroTier。

六、网络配置：NetworkManager 已成"事实上默认"

2017 那篇给的 /etc/network/interfaces 写法，在 Debian 12+（2023-06）已经被 NetworkManager 取代：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 看现有连接
nmcli connection show

# 改 IP
nmcli connection modify "Wired connection 1" \
 ipv4.addresses 192.168.1.100/24 \
 ipv4.gateway 192.168.1.1 \
 ipv4.dns "1.1.1.1,8.8.8.8" \
 ipv4.method manual

nmcli connection up "Wired connection 1"

Ubuntu 22.04+ / Debian 12+：服务器版仍可装 ifupdown 用 interfaces，但新项目默认 NetworkManager。
nmcli / nmtui 比手写 YAML 更易维护。

七、Tailscale / ZeroTier 终结"内网穿透"

2017 那篇 SSH 远程登录到"内网"用 frp（2017 那篇还没提 frp，那篇主要是 SSH）。2024 趋势：
- Tailscale（基于 WireGuard，5 分钟建全球组网）—— 个人免费 100 台设备
- ZeroTier（P2P + 控制器）—— 同样免费 25 台
- Cloudflare Tunnel（云原生时代）—— cloudflared 一行命令把内网服务暴露公网

1
2
3
4


# Tailscale（2024 年最易上手）
curl -fsSL https://tailscale.com/install.sh | sh
tailscale up
# 自动获得 100.x.x.x 虚拟 IP，全网互通

CIDR 子网掩码速查：/8 /16 /24 /30 /32 到底是什么意思？

Tue, 15 Sep 2015 00:00:00 +0800

背景

看到 192.168.1.0/24、10.0.0.0/8、172.16.0.0/12、127.0.0.1/32 这些写法，很多人不知道末尾的数字是什么意思。

这是 CIDR（Classless Inter-Domain Routing，无类域间路由）表示法，1993 年提出，取代了传统的 A/B/C 类 IP 划分——现在所有 IP 都用 CIDR。

理解 CIDR 的关键：

末尾数字 = 网络前缀位数（子网掩码里 1 的个数）
数字越大 → 网络号越长 → 可用主机数越少
数字越小 → 网络号越短 → 可用主机数越多

一、A/B/C 类 IP 默认子网掩码（历史背景）

为什么会有 /8、/16、/24？这要追溯到 1981 年的有类 IP（Classful IP）：

类别	起始位	默认子网掩码	CIDR 后缀	网络数	每网主机数	范围
A 类	0xxxxxxx	255.0.0.0	/8	128	16,777,214	1.0.0.0 ~ 127.255.255.255
B 类	10xxxxxx	255.255.0.0	/16	16,384	65,534	128.0.0.0 ~ 191.255.255.255
C 类	110xxxxx	255.255.255.0	/24	2,097,152	254	192.0.0.0 ~ 223.255.255.255
D 类（组播）	1110xxxx	—	/4	—	—	224.0.0.0 ~ 239.255.255.255
E 类（实验）	1111xxxx	—	/4	—	—	240.0.0.0 ~ 255.255.255.255

为什么 A 类网络号只有 8 位？ 因为 0xxxxxxx 第一位固定为 0，剩 7 位可变，所以 2^7 = 128 个 A 类网段。 为什么 A 类每网 16,777,214 台？ 因为主机号 24 位全可变，2^24 - 2 = 16,777,214（减 2 是去掉网络地址和广播地址）。

历史包袱：

一个公司哪怕只有 100 台机器，分到 A 类也用不完 16,777,214 个 IP
A 类 1.0.0.0 给了一家澳大利亚公司（APNIC），B 类 16.x 给 HP，C 类 192.168.0.0/16 留作私网
1993 年 CIDR 出现，允许"借位"——A 类也能划 /16、/24，按需分配

结论：现代网络已经没有"必须按 A/B/C 类划分"的规则。/8、/16、/24 只是"看起来眼熟"的历史值。

二、子网掩码与 CIDR 换算

2.1 子网掩码的本质

子网掩码 = 32 位二进制，1 的部分是网络号，0 的部分是主机号。

例如 255.255.255.0：

1
2
3
4


二进制：11111111 11111111 11111111 00000000
 ←── 网络号 ──→ ←─ 主机号 ─→
位数： 8 位 + 8 位 + 8 位 = 24 位 1
CIDR： /24

2.2 常用 CIDR 速查表

CIDR	子网掩码	主机位数	可用主机数（2^n - 2）	典型用途
/8	255.0.0.0	24	16,777,214	一个超大组织（如军队、运营商）
/12	255.240.0.0	20	1,048,574	RFC 1918 私网中等规模
/16	255.255.0.0	16	65,534	大学、大企业内网
/20	255.255.240.0	12	4,094	中型企业
/22	255.255.252.0	10	1,022	中型企业分支
/23	255.255.254.0	9	510	跨子网但节约 IP
/24	255.255.255.0	8	254	最常见：小型企业 / 一个 C 段
/25	255.255.255.128	7	126	拆分 /24
/26	255.255.255.192	6	62	微小型网络
/27	255.255.255.224	5	30	路由器点对点 / 小型
/28	255.255.255.240	4	14	极小网络
/29	255.255.255.248	3	6	点对点链路（两台设备）
/30	255.255.255.252	2	2	点对点（刚好 2 IP）
/31	255.255.255.254	1	0（特殊：2 主机）	RFC 3021 点对点
/32	255.255.255.255	0	1	单 IP（路由条目 / 主机）

2.3 例子：`192.168.0.0/24` 是什么意思？

子网掩码：255.255.255.0
网络号：192.168.0（前 24 位固定）
主机号：0~255（后 8 位可变）
可用 IP：192.168.0.1 ~ 192.168.0.254（254 个）
特殊：
- 192.168.0.0 = 网络地址（标识这个网段，不能配给主机）
- 192.168.0.255 = 广播地址（这个网段所有主机），不能配给主机
- 192.168.0.1 = 网关（惯例）

2.4 子网掩码换算二进制

/24 → 255.255.255.0：

1
2
3
4
5
6


CIDR: /24
 ↓
网络位 24 个 1：11111111 11111111 11111111 00000000
 └───── 24 个 1 ─────┘ └─ 8 个 0 ─┘
 ↓ ↓
十进制：255 255 255 0

/30 → 255.255.255.252：

1
2
3
4


网络位 30 个 1：11111111 11111111 11111111 11111100
 └─────── 30 个 1 ───────┘ └─ 2 个 0 ─┘
 ↓ ↓
十进制：255 255 255 252

三、可变长子网掩码（VLSM）

传统 A/B/C 类的痛点：分到一个 C 类（254 IP），实际只用 50 台，剩 204 个浪费。

CIDR 的解决方案：VLSM（Variable Length Subnet Mask）允许在同一网络内混合不同长度的子网。

实战例子：公司拿到 192.168.10.0/24（256 IP），需要：

部门 A：100 台机器
部门 B：50 台机器
部门 C：20 台机器
部门 D：10 台机器
点对点链路 × 4：各 2 IP

VLSM 划分（从大到小）：

子网	范围	子网掩码	可用主机	部门
192.168.10.0/25	.1 ~ .126	255.255.255.128	126	A
192.168.10.128/26	.129 ~ .190	255.255.255.192	62	B
192.168.10.192/27	.193 ~ .222	255.255.255.224	30	C
192.168.10.224/28	.225 ~ .238	255.255.255.240	14	D
192.168.10.240/30	.241 ~ .242	255.255.255.252	2	p2p 1
192.168.10.244/30	.245 ~ .246	255.255.255.252	2	p2p 2
192.168.10.248/30	.249 ~ .250	255.255.255.252	2	p2p 3
192.168.10.252/30	.253 ~ .254	255.255.255.252	2	p2p 4

256 个 IP 全部分完，零浪费。

四、Linux 实战命令

4.1 ipcalc（计算工具）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19


# CentOS
yum install ipcalc

# Ubuntu
apt install ipcalc

# 用法
ipcalc 192.168.1.0/24
# Address: 192.168.1.0
# Netmask: 255.255.255.0 = 24
# Wildcard: 0.0.0.255
# Network: 192.168.1.0/24
# HostMin: 192.168.1.1
# HostMax: 192.168.1.254
# Broadcast: 192.168.1.255
# Hosts/Net: 254

ipcalc 10.0.0.0/12
# Hosts/Net: 1048574

4.2 ip 命令

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 查看本机 IP 和子网掩码
ip addr show
# inet 192.168.1.100/24 brd 192.168.1.255 scope global eth0
# ↑ IP/CIDR ↑ 广播地址

# 加 IP
ip addr add 10.0.0.5/24 dev eth0

# 删 IP
ip addr del 10.0.0.5/24 dev eth0

# 看路由（CIDR 形式）
ip route show
# default via 192.168.1.1 dev eth0
# 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.100

4.3 路由表里的 CIDR

1
2
3
4
5
6
7


# 添加点对点路由
ip route add 10.0.0.0/24 via 192.168.1.1 dev eth0

# 默认路由（/0 = 全网）
ip route add default via 192.168.1.1 dev eth0
# 等价于
ip route add 0.0.0.0/0 via 192.168.1.1 dev eth0

4.4 防火墙规则中的 CIDR

1
2
3
4
5
6
7
8


# 放行 10.0.0.0/8 内网
iptables -A INPUT -s 10.0.0.0/8 -j ACCEPT

# 放行单 IP
iptables -A INPUT -s 192.168.1.100/32 -j ACCEPT

# 拒绝 169.254.0.0/16（链路本地）
iptables -A INPUT -s 169.254.0.0/16 -j DROP

4.5 nginx/HAProxy upstream 限制

1
2
3
4
5


# 允许某个 /24 网段访问
location /admin {
 allow 10.0.0.0/24;
 deny all;
}

五、特殊 IP 段

段	含义	用途
0.0.0.0/0	全网	默认路由；监听所有网卡
127.0.0.0/8	回环	`127.0.0.1` = 本机
169.254.0.0/16	链路本地	DHCP 失败时自动分配
224.0.0.0/4	组播	OSPF 224.0.0.5/6、PIM 等
240.0.0.0/4	保留/实验	不可用
255.255.255.255	本地广播	限于本物理网段
10.0.0.0/8	RFC 1918 私网	A 类私网
172.16.0.0/12	RFC 1918 私网	B 类私网（172.16 ~ 172.31）
192.168.0.0/16	RFC 1918 私网	C 类私网（家用路由最常见）
100.64.0.0/10	RFC 6598 共享地址空间	CGN（运营商内网 NAT）
198.18.0.0/15	RFC 2544 基准测试	iperf3、netperf 基准测试

六、计算可用主机数公式

可用主机数 = 2^(32 - CIDR) - 2

/24：2^8 - 2 = 254（去掉网络地址和广播地址） /30：2^2 - 2 = 2（点对点） /32：2^0 - 2 = -1 → 特殊：表示单 IP，没有"网络+广播"概念，所以可用数 = 1

/31 是个特例（RFC 3021）：允许 2 个 IP 全部可用，专门给点对点链路，省 IP。

七、IPv6 CIDR 简述

IPv6 用相同的 CIDR 概念，但位数扩展到 128：

CIDR	含义
`::1/128`	回环（IPv6 的 127.0.0.1）
`fe80::/10`	链路本地（IPv6 的 169.254.0.0/16）
`fc00::/7`	私网（IPv6 的 10.0.0.0/8）
`2000::/3`	全局单播（公网）
`2001:db8::/32`	文档示例

小结

CIDR 看起来只是 IP 后面"加个斜杠 + 数字"，但理解它就理解了 IP 网络的精髓：

/8 /16 /24 是历史值，现在不强制
数字 = 网络前缀位数 = 子网掩码里 1 的个数
VLSM 按需分配，大网拆小网，零浪费
/30 给点对点链路，/32 给单 IP 路由

记忆口诀：

/30 = 255.255.255.252 = 2 IP（点对点）
/24 = 255.255.255.0 = 254 IP（小型企业）
/16 = 255.255.0.0 = 65,534 IP（大学、大企业）
/8 = 255.0.0.0 = 16,777,214 IP（超大组织）

下一步：

用 ipcalc 做日常 IP 规划
学 VLSM 拆网（CCNA 经典题）
IPv6 完整子网规划（IPv6 128 位，CIDR 是必备工具）

2024 视角：IPv6 在 2024 已成"必选项"

2015 那篇 IPv6 只是一笔带过。2024 视角下，IPv6 已是"必选项"——大陆三大运营商全部默认下发 IPv6 PD，Cisco IOS / Linux 内核默认开启 IPv6。

一、IPv6 单栈已"上路"

2024 中国大陆：电信 / 联通 / 移动宽带默认下发 IPv6 前缀（PD / 60 或 /64）。
2024 云厂商：阿里云、腾讯云、华为云 ECS 默认开启 IPv6。
2024 K8s / Docker：默认网络栈都支持 IPv6 双栈。
2024 现实：仍然IPv4 主导（NAT 仍在用），但 IPv6 流量已逐年增长到 30-50%（Google 2024 报告）。

二、IPv6 CIDR 的"日常用法"

/128（单 IP）：一个地址，::1（loopback）= 127.0.0.1 的 IPv6 版。
/64：标准 LAN 网段（SLACC 自动配置的基础单位，不能再细分）。
/48：一个站点的标准前缀（SLAAC 的"父级"）。
/56：小型家庭 / 小企业分配前缀。
/32：ISP / 自治系统的标准分配（IANA 给 RIR）。
/16：RIR 的标准池（IANA 给 RIPE / APNIC）。

段	含义
`::/0`	全网（默认路由）
`::1/128`	回环
`fe80::/10`	链路本地（IPv4 的 169.254.0.0/16）
`fc00::/7`	ULA 私网（IPv4 的 10.0.0.0/8 / 192.168.0.0/16）
`2000::/3`	全局单播（公网）
`2001:db8::/32`	文档示例（RFC 3849）
`64:ff9b::/96`	IPv4/IPv6 NAT（RFC 6052）

三、`ip` 命令 IPv6 用法

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 看 IPv6 地址
ip -6 addr show

# 看 IPv6 路由
ip -6 route show

# 加 IPv6 地址
ip -6 addr add 2001:db8::1/64 dev eth0

# ping IPv6
ping6 fe80::1%eth0
ping -6 2001:db8::1

四、`ipcalc` IPv6 支持

1
2
3
4
5


ipcalc 2001:db8::/32
# Address: 2001:db8::
# Netmask: ffff:ffff:0000:0000:0000:0000:0000:0000 = 32
# Prefixlen: 32
# ...

五、IPv6 安全

IPv6 没有 NAT 隐藏内网——每个 IPv6 设备默认公网可达。
防火墙必须显式配置：

1
2
3
4


# nftables IPv6 防火墙
nft add rule inet filter input ip6 saddr ::/0 drop
nft add rule inet filter input ip6 saddr fe80::/64 accept
nft add rule inet filter input ip6 saddr 2001:db8::/32 accept

NDP 防护（防止 IPv6 的"ARP 欺骗"）：

1
2


sysctl -w net.ipv6.conf.all.accept_ra=0 # 关路由器公告
sysctl -w net.ipv6.conf.eth0.accept_ra=0

六、CIDR 在 K8s 时代的"IPAM"

2024 K8s 网络插件（Calico / Cilium）都用 CIDR 做 IPAM（IP 地址管理）。
典型分配：

1
2
3
4
5
6
7
8
9


# Calico
apiVersion: projectcalico.org/v3
kind: IPPool
metadata:
 name: default-pool
spec:
 cidr: 10.244.0.0/16  # Pod IP 池
 ipipMode: Always
 natOutgoing: true

每个 Node 划分子网（Calico blocksize = 26）：

1
2
3


calicoctl ipam show
# 10.244.0.0/26 node-a
# 10.244.0.64/26 node-b

IPv6 双栈：

1
2
3
4


spec:
 cidr: 10.244.0.0/16
 cidr6: 2001:db8::/56
 ipipMode: Always

源文档：os/linux/第三方tools/net/ip.md（CIDR 概念、二进制换算、可用 IP 范围）