从“设备名称”转向“处理对象”

上一篇《IP 地址与子网划分》解决了地址、前缀、网关和子网边界的问题。地址规划完成后,数据还需要经过一系列设备才能从终端到达服务器:无线终端先接入 AP,帧进入交换机,跨网段流量交给三层网关,经过路由和安全策略,再由服务入口分发给后端应用。

初学网络时,最容易陷入两个误区。第一个误区是把设备按外形记忆,例如“有很多网口的是交换机”“带天线的是路由器”;第二个误区是把 OSI 层级当作设备只能做一件事的限制,例如“交换机永远只工作在二层”“防火墙只看四层端口”。现实设备往往集成多个功能:家用无线路由器可能同时包含交换、路由、NAT、防火墙、DHCP 和无线接入;企业三层交换机既能按 MAC 转发,也能在 VLAN 之间做 IP 路由;下一代防火墙还会识别用户、应用、TLS 会话和威胁特征。

因此,认识网络设备不能只背名称,而要回答四个问题:

  1. 它主要处理什么对象:比特、以太网帧、IP 包、TCP/UDP 会话,还是 HTTP 请求?
  2. 它根据什么信息做决定:端口、MAC 地址、VLAN、目的 IP、路由表、安全策略,还是后端健康状态?
  3. 它改变了什么边界:冲突域、广播域、子网、安全域、无线覆盖域,还是应用服务入口?
  4. 它发生故障时,用户会看到什么现象,应该从哪里取证?

这条路径把终端接入、局域网转发、跨网路由、安全控制和应用交付放在同一视角下。后文不按“设备百科”逐项堆砌,而是沿这些责任边界解释每类设备为什么存在。

一张表建立设备心智模型

设备 主要处理对象 关键决策依据 典型边界 常见状态或表项
网卡 NIC 帧、无线信号 MAC、速率、双工、驱动 主机与网络介质 链路状态、MAC、错误计数
中继器/集线器 比特 几乎不理解内容 物理信号范围 端口与碰撞
网桥/二层交换机 以太网帧 目的 MAC、VLAN 冲突域、二层广播域 MAC 地址表、VLAN 表、STP
三层交换机 帧和 IP 包 MAC、VLAN、路由表 VLAN 与子网 MAC 表、ARP/邻居表、路由表
路由器 IP 包 目的 IP、最长前缀匹配 子网、园区、WAN 路由表、邻接表、接口状态
无线 AP 802.11 帧与以太网帧 SSID、认证、关联、VLAN 无线覆盖域与有线 LAN 客户端表、信道、功率、重试率
防火墙 包、会话、应用流量 安全策略、连接状态、用户/应用 信任区与安全域 会话表、策略命中、NAT、日志
负载均衡 TCP/UDP 会话或 HTTP 请求 VIP、健康检查、分发算法 服务入口与服务器池 虚拟服务、连接表、后端健康
IDS/IPS 流量副本或在线流量 特征、行为、协议解析 检测与阻断边界 告警、规则命中、阻断记录
VPN 网关 加密隧道中的包 身份、加密参数、路由/策略 不可信网络与受保护网络 隧道、SA、路由、认证日志
调制解调器/光猫 接入链路信号与帧 接入制式、线路参数 用户网络与运营商接入网 光功率、同步、拨号、误码

这张表不是为了给设备贴永久标签,而是帮助排障时快速找到“最可能拥有决定权的节点”。例如,同网段两台主机不能通信,优先检查网卡、VLAN 和交换机;跨网段不通,必须检查网关和路由;只有某个端口或应用被拒绝,安全策略与服务监听更值得关注;访问 VIP 失败但服务器直连正常,则负载均衡链路是重点。

终端的网络起点:网卡、介质与收发器

网络通信从主机的网络接口开始。网卡负责把操作系统交付的数据封装为链路层帧,并通过铜缆、光纤或无线电发送。它通常拥有 MAC 地址,协商速率和双工模式,维护收发队列、校验和卸载等能力。虚拟机中的虚拟网卡、容器使用的虚拟以太网接口,虽然没有独立物理接口,仍承担类似的逻辑职责。

排障时不要把“网卡显示已连接”当作链路完全正常。一个接口可能是 UP,但仍存在丢包、CRC 错误、双工不匹配、驱动异常、队列拥塞或错误 VLAN。Linux 上可以先检查:

bash
ip -br link
ip -br address
ip -s link show dev eth0
ethtool eth0
ethtool -S eth0

需要关注:

  • LOWER_UP 是否存在,说明底层载波是否建立。
  • 接口速率和双工是否符合预期。
  • RX/TX errors、dropped、CRC、carrier 等计数是否持续增长。
  • IP、前缀和默认路由是否与规划一致。
  • 虚拟机或服务器是否绑定到了正确的端口组、网桥或 VLAN。

光纤链路还要区分光模块、光纤类型、波长、速率和距离。两端接口即使能插入模块,也不代表光学参数匹配。链路不起时,需要检查模块兼容性、收发方向、光功率、单模/多模类型以及两端速率配置。下一篇《双绞线与光纤》会专门展开传输介质与布线问题。

中继器与集线器:理解历史设备的价值

中继器工作在物理层,主要用于恢复或放大信号;集线器可以理解为多端口中继器,从一个端口收到比特后复制到其他端口。它不学习 MAC,不隔离冲突,也不知道 IP 和应用。所有端口共享带宽和冲突域,半双工以太网中可能发生碰撞。

现代企业局域网几乎都使用交换机,集线器已经很少出现在生产网络。但理解集线器仍有两个价值:

  • 它解释了为什么早期以太网需要 CSMA/CD,以及交换式全双工网络为什么显著改善性能。
  • 它帮助理解“复制流量”和“选择性转发”的区别。集线器无条件复制,交换机根据 MAC 表选择端口。

不要把无管理交换机叫作集线器。无管理交换机即使没有管理界面,通常仍会学习 MAC 地址并选择性转发帧,它和真正的集线器在转发机制上不同。

二层交换机:在一个广播域内转发以太网帧

交换机的核心工作是学习源 MAC 地址,并根据目的 MAC 地址决定帧从哪个端口发出。RFC 7387 对以太网桥网络的描述指出,数据转发基于目的 MAC,MAC 可达性根据进入帧的源 MAC 和入端口在数据平面学习,老化机制会删除长期不活跃的表项。这也是典型二层交换机的基本行为。

MAC 地址学习与转发

假设交换机初始 MAC 表为空:

  1. 主机 A 从端口 1 发帧给主机 B。
  2. 交换机看到源 MAC A,记录“MAC A 在端口 1”。
  3. 目的 MAC B 尚未学习,交换机在同 VLAN 的其他端口泛洪该未知单播帧。
  4. 主机 B 回包,从端口 2 进入。
  5. 交换机学习“MAC B 在端口 2”,以后 A 与 B 之间可以定向转发。

可管理交换机上的常见验证命令会因厂商而异,思路基本一致:

text
查看接口状态与错误计数
查看 VLAN 成员关系
查看 MAC 地址表
查看生成树状态
查看链路聚合成员状态

Cisco IOS 风格示例:

text
show interfaces status
show interfaces counters errors
show vlan brief
show mac address-table dynamic
show spanning-tree
show etherchannel summary

Huawei VRP 风格示例:

text
display interface brief
display vlan
display mac-address dynamic
display stp brief
display eth-trunk

这些命令只用于展示检查方向,生产执行应以目标设备型号、软件版本和在线帮助为准。

VLAN 让一台交换机承载多个逻辑局域网

交换机端口不是天然属于同一个业务网络。VLAN 可以把一套物理交换网络划分成多个逻辑广播域。Access 端口通常承载一个终端 VLAN,Trunk 端口通过 802.1Q 标签承载多个 VLAN。相同 VLAN 内的设备可由二层交换机直接转发;不同 VLAN 之间需要三层网关。

交换机排障最重要的不是“端口亮不亮”,而是同时核对:

  • 端口是否启用,速率、双工和错误计数是否正常。
  • 接入口 VLAN 是否正确。
  • Trunk 两端允许的 VLAN 是否一致。
  • MAC 是否从预期端口学习。
  • 是否发生 MAC 漂移、环路或生成树阻塞。
  • 链路聚合两端的成员、模式和 VLAN 是否一致。

三层交换机:把交换与路由放在同一平台

三层交换机在二层交换基础上增加 IP 路由能力。常见企业园区中,接入交换机连接终端,汇聚或核心三层交换机通过 SVI/VLANIF 作为各 VLAN 的默认网关,并在硬件转发表中高速完成 VLAN 间路由。

例如:

text
VLAN 10 办公网:192.0.2.0/24,网关 192.0.2.1
VLAN 20 服务器网:198.51.100.0/24,网关 198.51.100.1

192.0.2.10 访问 198.51.100.20 时:

  1. 主机根据 /24 判断目标不在本地子网。
  2. 主机 ARP 获取 192.0.2.1 的 MAC,把帧发给网关。
  3. 三层交换机解封装以太网帧,查询目的 IP 的路由。
  4. 若 VLAN 20 直连,设备解析服务器 MAC,重新封装帧并发往 VLAN 20。
  5. 返回流量按相反方向处理。

这里最容易混淆的是:路由过程通常会改变每一跳的源/目的 MAC,但在没有 NAT 的情况下,端到端源/目的 IP 保持不变。三层交换机不会因为“看起来像交换机”就绕过路由表和安全策略。

路由器:在不同 IP 网络之间选择下一跳

路由器连接两个或更多逻辑 IP 网络,根据路由表为目的地址选择下一跳和出接口。RFC 1812 将路由器定义为执行 IP 网络层转发的设备,并描述了典型转发过程:校验 IP 头、判断本地交付或转发、查询下一跳、检查转发许可、递减 TTL、解析下一跳链路层地址,再封装到新的链路层帧中。

路由选择通常遵循最长前缀匹配。假设路由表有:

text
10.0.0.0/8      via 192.0.2.1
10.20.0.0/16    via 192.0.2.2
10.20.30.0/24   via 192.0.2.3
0.0.0.0/0       via 192.0.2.254

访问 10.20.30.50 时会选择 /24,因为它比 /16/8 更具体;访问 10.30.1.1 时选择 /8;没有更具体匹配的目标才走默认路由。

路由器常见于以下位置:

  • 企业园区与运营商 WAN、互联网或专线的边界。
  • 总部与分支之间的广域互联。
  • 数据中心、云 VPC/VNet、VPN 和合作方网络之间。
  • 需要运行 OSPF、IS-IS、BGP 等动态路由协议的节点。
  • 需要 NAT、QoS、策略路由或 SD-WAN 能力的出口设备。

Linux 主机也可能执行路由功能。基础验证命令包括:

bash
ip route show
ip route get 198.51.100.20
ip neigh show
ping -c 4 192.0.2.1
tracepath 198.51.100.20

ip route get 很有价值,因为它能回答内核计划从哪个接口、使用哪个源地址、经过哪个下一跳发送。排障时不能只看“路由表里有目标网段”,还要验证最长前缀匹配结果、回程路由、策略路由、VRF 以及下一跳邻居状态。

无线接入点:把无线客户端接入有线网络

无线 AP 的核心作用是让支持 Wi-Fi 的终端接入有线网络。它在无线侧处理 SSID、信道、认证、加密、关联和漫游,在有线侧通常把客户端流量映射到相应 VLAN。Cisco 对 AP 的基础说明也强调,AP 接收无线信号并把流量传到有线网络,可视为无线与有线之间的桥接节点。

一个企业 AP 不等于一台“能上网的无线路由器”。常见差异如下:

能力 企业 AP 家用无线路由器
无线接入
以太网交换 通常有限或无 通常有多个 LAN 口
三层路由/NAT 通常由上游网关负责 通常内置
DHCP 通常由独立服务器或网关提供 通常内置
集中管理 控制器或云管理常见 以单机管理为主
多 SSID/VLAN 常见 能力因产品而异
漫游与射频优化 企业部署重点 能力通常较简化

无线故障也不能只用“信号格数”判断。至少要区分:

  • 终端是否能发现 SSID。
  • 是否成功认证和关联。
  • 是否获得正确 VLAN 的 IP、网关和 DNS。
  • 信道利用率、噪声、重试率和客户端信号是否合理。
  • AP 到交换机的 Trunk、PoE 和管理连接是否正常。
  • 多 AP 环境中是否存在粘滞客户端、覆盖空洞或同频干扰。

终端“已连接 Wi-Fi 但无法访问网络”,可能是 DHCP、VLAN、网关或防火墙问题,并不一定是射频问题。正确排障要把无线接入成功和三层业务可达分开验证。

防火墙:在安全边界上做有状态策略控制

防火墙位于不同信任级别的网络之间,根据安全策略允许、拒绝、记录或进一步检查流量。与只关注“下一跳在哪里”的路由器不同,防火墙更关注“这次通信是否被允许”。现代防火墙通常同时具有路由、NAT、VPN、应用识别、入侵防御、URL 过滤等能力,但安全策略与会话状态仍是理解它的核心。

一个有状态防火墙会跟踪连接。例如客户端从内网访问外部 HTTPS 服务,首个 TCP SYN 需要匹配出站策略;连接建立后,返回流量可以依据会话状态放行,而不必机械地为每个临时客户端端口编写反向规则。

防火墙排障要把以下对象分开:

  1. 路由:设备是否知道目的网络和回程路径。
  2. 安全策略:源区、目的区、源地址、目的地址、服务和动作是否匹配。
  3. NAT:转换前后地址和端口是否符合设计。
  4. 会话:连接是否建立,在哪个阶段被关闭或超时。
  5. 应用检查:基础端口已允许,但应用识别、TLS 检查或威胁规则是否阻断。
  6. 日志:是明确拒绝、路由失败、服务器复位,还是根本没有流量到达。

不要把“能 ping 通”当作防火墙策略完全正确。ICMP 与 TCP 443 可能匹配不同规则;也不要把“防火墙没有 deny 日志”当作流量一定通过,流量可能未到达设备、走了不同路径,或日志配置没有覆盖对应动作。

负载均衡:把一个服务入口映射到多个后端

负载均衡设备或软件在客户端与服务器池之间提供统一入口。客户端访问虚拟 IP 或域名,负载均衡根据协议、连接、请求属性、后端健康和分发算法选择服务器。它解决的是服务可用性、扩展性和流量治理问题,而不是一般意义上的子网互联。

负载均衡常见两类工作方式:

  • 四层负载均衡:主要基于 IP、TCP/UDP 端口和连接状态分发,适用于数据库代理、DNS、通用 TCP 服务等。
  • 七层负载均衡或反向代理:理解 HTTP 主机名、URI、Header、Cookie 等应用信息,可做 TLS 终止、内容路由、会话保持和更细粒度的健康检查。

例如一个 HTTPS 服务:

text
客户端访问:app.example.com -> 203.0.113.10:443
虚拟服务 VIP:203.0.113.10:443
后端池:
  10.20.30.11:8443
  10.20.30.12:8443
健康检查:GET /health

当 VIP 不可访问时,至少要分别验证:

  • DNS 是否解析到正确 VIP。
  • 客户端到 VIP 的路由和防火墙策略。
  • 虚拟服务是否监听正确地址与端口。
  • 后端健康检查是否通过。
  • 负载均衡到后端的路由和安全策略。
  • 后端是否监听、是否返回期望状态。
  • 回程是否经过同一负载均衡路径,源地址保持或 SNAT 设计是否正确。

负载均衡不是服务器故障的万能遮罩。如果健康检查只测 TCP 端口而不验证应用依赖,进程还在监听但数据库已断开的服务器仍可能被判为健康。

一次 HTTPS 访问经过了哪些设备

客户端访问应用时的逐跳处理路径

沿一条完整业务路径观察设备,比单独背诵定义更容易建立判断力。假设办公笔记本通过 Wi-Fi 访问数据中心中的 HTTPS 应用:

  1. 客户端网卡根据 IP 和掩码判断目标不在本地子网,查询默认网关的 MAC。
  2. AP完成无线接入与加密处理,把客户端流量桥接到对应有线 VLAN。
  3. 接入交换机根据 VLAN 和目的 MAC,把帧转发到上联。
  4. 三层网关或路由器查询目的 IP 的路由,选择到数据中心或互联网的下一跳。
  5. 防火墙检查源、目的、服务、会话和应用策略,必要时执行 NAT。
  6. 负载均衡接收 VIP 上的连接,选择健康的应用服务器。
  7. 应用服务器在监听端口接收连接,继续访问数据库、缓存或其他依赖。

这条路径还揭示了三个关键事实。

第一,数据每经过一个三层转发节点,链路层封装通常会变化。目的 MAC 指向当前链路的下一跳,而目的 IP 仍指向最终服务,除非发生 NAT。

第二,每台设备只掌握部分真相。交换机知道 MAC 从哪个端口学到,却未必知道应用是否健康;路由器知道下一跳,却不代表防火墙允许;负载均衡知道后端健康,却不代表客户端 DNS 正确。

第三,任何单点“测试成功”都不能证明端到端业务正常。正确方法是设置分段检查点,让证据逐步缩小故障范围。

其他经常遇到的网络设备

网桥

网桥连接两个或多个二层网段,根据 MAC 地址转发帧。现代交换机本质上可以看作多端口网桥。Linux bridge、虚拟交换机和容器网络网桥把这一概念延伸到软件网络中。

网关

“网关”是角色而不是固定设备类型。主机的默认网关通常是一个三层接口,负责把非本地流量转发到其他网络;应用网关则可能在应用层转换协议或代理请求。讨论网关时必须说明是默认网关、VPN 网关、API 网关还是其他角色。

IDS 与 IPS

IDS 主要检测并告警,常通过镜像流量或网络 TAP 获取数据;IPS 通常在线部署,可以主动阻断。二者关注攻击特征、异常行为和协议内容。镜像口配置错误、流量不对称、加密流量不可见和规则噪声都会影响检测效果。

VPN 网关

VPN 网关在不可信网络上建立加密隧道,常见于远程接入、站点到站点互联和云网络连接。排障对象包括身份认证、证书、加密算法、隧道协商、感兴趣流量、路由、NAT 豁免和 MTU。

调制解调器、光猫与运营商接入设备

这类设备负责把用户侧以太网与运营商的接入链路连接起来,可能处理光电转换、线路同步、PON 注册、PPPoE、桥接或路由。排障时要明确它处于桥接模式还是路由模式,避免形成双重 NAT、重复 DHCP 或地址冲突。

网络控制器与云管理平台

无线控制器、SDN 控制器和云管理平台负责集中配置、策略下发、状态采集和可视化。控制器并不总在每个数据包的转发路径上。控制平面失联可能导致无法修改配置或漫游异常,但已有转发是否继续,取决于产品架构和运行模式。

设备选型:先定义问题,再决定盒子

按问题选择网络设备

采购或设计网络时,不要从“需要买什么设备”开始,而应先描述边界、规模和失败模式。

需求 优先考虑 必须补充的问题
在同一办公室连接有线终端 接入交换机 端口数、PoE、上联速率、VLAN、堆叠、管理能力
连接不同 VLAN 或子网 三层交换机或路由器 路由规模、动态路由、ACL、吞吐、冗余
为移动终端提供无线覆盖 AP 与无线管理 覆盖、容量、漫游、认证、PoE、回传链路
连接总部、分支、云和互联网 路由器/SD-WAN/边界网关 线路、BGP、VPN、QoS、链路切换、运营商
隔离安全域并审计访问 防火墙 会话吞吐、策略规模、TLS、IPS、日志、HA
为多个应用实例提供统一入口 负载均衡/反向代理 L4/L7、TLS、健康检查、会话保持、可观测性
发现攻击但不改变路径 IDS、NDR 或流量分析 流量镜像、加密可见性、存储、规则运营
让远程用户安全访问内网 VPN/零信任接入网关 身份、MFA、终端检查、分流、审计、容量

还要警惕功能叠加带来的运维复杂度。一台设备可以同时承担路由、防火墙、VPN 和负载均衡,不代表应该把所有角色集中在一个故障域。小型环境重视成本与简化,大型环境更重视职责分离、独立扩展、变更隔离和故障恢复。

选型时至少评估:

  • 可用性:双电源、链路冗余、设备集群、状态同步和故障切换。
  • 容量:端口密度、转发性能、会话数、加密吞吐和日志能力。
  • 可观测性:SNMP、流量遥测、Syslog、API、配置备份与时间同步。
  • 安全性:管理面隔离、AAA、最小权限、补丁、签名校验和安全启动。
  • 自动化:是否支持结构化 API、声明式配置、事务或候选配置、回滚。
  • 生命周期:软件支持期、硬件备件、升级路径和配置兼容性。

设备上线不是“能通就交付”

网络设备完成配置并能转发流量,只代表功能测试通过,不代表已经具备长期运行条件。一个可维护的交付基线应覆盖身份、时间、日志、监控、配置、备份和恢复。

管理面

设备管理地址应进入独立管理网或受控的带外网络,避免和普通用户流量混在一起。关闭不需要的管理协议,优先使用 SSH、HTTPS 和受保护的 API;限制允许登录的源地址;接入集中身份认证时保留经过审批的本地应急账号。账号权限应按职责分级,不能让监控采集账号拥有配置修改权限。

管理面检查项包括:

  • 设备名称、管理 IP、默认路由和 DNS 是否符合资产台账。
  • 是否禁用 Telnet、HTTP、默认账号和弱加密套件。
  • AAA、命令审计、登录失败锁定和会话超时是否生效。
  • 管理 ACL 是否只允许堡垒机、运维终端和自动化平台访问。
  • 证书是否由可信体系签发,过期时间是否进入监控。

时间、日志与监控

所有设备必须使用统一 NTP 来源。没有可靠时间,防火墙会话、交换机接口事件、服务器日志和应用告警就无法按时间线关联。Syslog 应发送到集中平台,日志级别既要覆盖接口、邻居、策略、认证和系统事件,也要避免调试日志长期占满存储。

监控不应只采集“设备在线”。交换机要观察端口利用率、错误、丢弃、PoE、温度和生成树变化;路由器要观察路由邻居、链路时延、抖动和丢包;防火墙要观察会话、策略命中、资源、VPN 和威胁事件;AP 要观察客户端数、信道利用率、重试率和漫游;负载均衡要观察 VIP、连接、响应时间和后端健康。

配置基线与备份

设备配置应纳入版本管理,至少保留“上线基线、每次变更前、每次变更后”三个可追溯状态。备份文件必须能够恢复,而不是只证明定时任务生成过文件。对集群设备,还要记录节点角色、状态同步、证书、许可证、密钥依赖和恢复顺序。

每次变更前应回答:

  1. 变更影响哪类流量和哪些设备。
  2. 预检查用什么命令或监控指标。
  3. 成功标准和观察窗口是什么。
  4. 哪些条件触发回滚。
  5. 回滚配置是否经过语法和依赖检查。
  6. 管理通道中断后如何进入设备。

文档与资产关系

网络设备不能只在 Excel 中留一行名称。资产记录至少应关联机柜位置、序列号、型号、软件版本、管理地址、接口用途、上联关系、供电、维保、配置备份和责任人。逻辑拓扑回答“流量如何走”,物理连接表回答“线缆插在哪里”,安全策略说明回答“为什么允许”,三者共同构成可恢复的运行知识。

上线验收时,建议执行一次受控故障测试,例如断开一条冗余上联、停用一个负载均衡后端、切换一台防火墙节点或让一个 AP 下线。只有监控能发现、流量按设计切换、日志能解释过程、运维人员能恢复,冗余设计才算真正成立。

分层排障:先证明设备是否拥有故障决定权

网络设备分层排障决策图

面对“网络不通”,最有效的第一步不是重启设备,而是把现象转成可验证的问题。

第一步:确认端点与物理链路

bash
ip -br link
ip -br address
ip -s link

确认接口、地址、掩码和错误计数。若链路未建立,优先处理网卡、线缆、光模块、PoE、交换机端口或虚拟端口组。

第二步:确认同网段二层通信

bash
ip neigh show
ping -c 3 <同网段目标>

若同网段目标无法解析邻居,检查 VLAN、交换机 MAC 表、端口隔离、无线客户端隔离和二层环路。抓包可观察 ARP 请求是否发出、应答是否返回:

bash
sudo tcpdump -ni eth0 arp

第三步:确认默认网关与路由

bash
ip route
ip route get <目标IP>
ping -c 3 <默认网关>
tracepath <目标IP>

如果能到网关但不能到远端,检查路由表、VRF、动态路由邻居、策略路由、回程路由和 MTU。traceroutetracepath 只提供路径线索,设备可能限制 ICMP,因此不能仅凭某一跳不回应就断定它故障。

第四步:确认策略与端口

bash
nc -vz <目标IP> 443
curl -vk --connect-timeout 5 https://<目标主机名>/

若 ICMP 可达但 TCP 端口失败,检查服务器监听、防火墙策略、ACL、NAT 和安全组。客户端发送 SYN 后没有回应,可能是正向丢弃,也可能是回程路由错误;收到 RST 通常说明目标或中间设备明确拒绝。

第五步:确认服务入口与后端

若直连服务器正常但 VIP 异常,检查负载均衡虚拟服务、证书、健康检查、后端池和会话保持。若 VIP 建连成功但应用返回 5xx,需要继续检查应用日志和依赖服务,不能把所有问题归为网络故障。

用证据表记录检查结果

检查点 预期 实际证据 下一步
客户端接口 UP,地址正确 ip -br 输出 否则处理主机接入
同网段 ARP 能解析网关 MAC ip neigh/抓包 否则查 VLAN/交换
路由选择 下一跳正确 ip route get 否则查路由
TCP 建连 三次握手完成 nc/抓包 否则查策略与回程
TLS/HTTP 证书和状态码合理 curl -vk 否则查 LB/应用
后端健康 至少一个可用实例 健康检查状态 否则查服务器依赖

这种方法的价值在于,每一步都能把“可能是任何设备”缩小为一组拥有相关决策权的设备。

常见误解与反模式

“交换机只看 MAC,路由器只看 IP”

这是入门模型,不是产品能力上限。三层交换机同时维护 MAC、ARP/邻居和路由表;路由器接口也需要链路层封装;防火墙可能同时执行交换、路由和应用识别。更准确的问法是:当前这次转发主要由哪张表和哪条策略决定。

“网关就是路由器的管理 IP”

默认网关必须是主机所在子网内可达的三层接口地址,可能位于路由器、三层交换机、防火墙或虚拟网关上。设备管理 IP 只用于管理,不一定承担业务转发。

“有无线功能的设备都是 AP”

家用无线路由器集成多种角色,企业 AP 则通常专注无线接入并受控制器管理。把家用设备直接接入企业网,可能引入私设 DHCP、双重 NAT 和未授权无线网络。

“防火墙放行了端口,应用就一定可用”

端口放行只说明策略的一部分。服务可能未监听、证书错误、负载均衡无健康后端、应用依赖失败,或者回程路由不对。必须验证完整会话和应用响应。

“设备越多,网络越安全”

安全来自明确边界、最小权限、可验证策略和持续运营。多串联一台设备可能增加故障点、非对称路径和策略冲突。每个新增节点都应有清晰职责、观测手段和回滚方案。

“所有功能都集中到一台设备最简单”

集中可以降低小型网络的采购和管理成本,但也会形成性能、变更和故障的集中风险。达到一定规模后,应根据吞吐、团队职责、升级节奏和恢复目标拆分角色,而不是只看功能列表。

一个小型企业网络的组合示例

假设一家企业有 120 名员工、两个办公楼层、访客 Wi-Fi、20 台服务器和一个互联网出口,可以采用以下逻辑分工:

text
员工与电话终端
  -> PoE 接入交换机
  -> 双上联到三层汇聚交换机
  -> 汇聚交换机提供员工、语音、服务器管理 VLAN 网关
  -> 防火墙隔离办公区、服务器区、访客区和互联网
  -> 负载均衡为两个业务系统提供 VIP
  -> AP 通过独立 SSID 映射员工与访客 VLAN

设计要点:

  • 接入交换机提供足够 PoE 预算,连接 AP 和 IP 电话。
  • 员工、访客、语音、服务器和设备管理使用不同 VLAN 与子网。
  • 三层汇聚承担园区内部路由,默认路由指向防火墙。
  • 防火墙只允许必要的跨区访问,访客网络不能访问内部地址。
  • 应用 VIP 只开放所需端口,后端服务器不直接暴露给普通终端。
  • 交换机、AP、防火墙和负载均衡统一接入日志、监控、NTP 和配置备份。
  • 关键上联和设备避免单点,并定期演练故障切换。

这个例子没有给出具体品牌和型号,因为设备选择应在需求、端口、吞吐、会话、无线容量、安全服务和预算确定后进行。先画清逻辑角色,再映射到物理或虚拟设备,通常比先采购再拼接更稳妥。

学完后应能完成的检查

可以用下面的问题检验是否真正理解了设备职责:

  1. 同 VLAN 的两台主机通信时,交换机主要查询什么表?
  2. 主机访问异地网段时,目的 MAC 和目的 IP 分别指向谁?
  3. 为什么三层交换机可以作为默认网关,却不等于所有场景都能替代边界路由器?
  4. AP 已关联成功但客户端没有 IP,应检查哪些无线和有线环节?
  5. 为什么 ping 通不能证明 TCP 443 一定可用?
  6. 防火墙的路由、策略、NAT 和会话分别解决什么问题?
  7. VIP 不通但后端直连正常时,负载均衡侧应检查哪些对象?
  8. 一台家用无线路由器通常集成了哪些独立角色?
  9. 当网络设备功能重叠时,如何判断当前故障应由哪张表或策略解释?
  10. 新增一台安全或代理设备前,为什么必须确认回程路径和故障恢复方式?

如果能够沿数据路径回答这些问题,就已经从“认识设备外形”进入了“理解网络控制边界”的阶段。

总结

常见网络设备可以用一条清晰主线理解:

  • 网卡和介质负责把主机连接到网络。
  • 交换机依据 MAC 和 VLAN 在局域网内转发帧。
  • 三层交换机和路由器依据 IP 路由连接不同子网。
  • AP 把无线客户端接入有线网络,并处理无线认证、关联和射频资源。
  • 防火墙依据安全策略和会话状态控制跨边界访问。
  • 负载均衡把统一服务入口映射到健康后端。
  • IDS/IPS、VPN 网关、控制器等设备围绕检测、加密接入和集中控制提供专门能力。

在真实网络中,同一台设备可能承担多个角色。排障与设计的关键不是争论它“属于第几层”,而是识别当前流量由什么信息、表项和策略决定,再用分段验证证明问题发生在哪个边界。

下一篇将进入更接近物理层的主题,介绍双绞线、光纤、接口与常见链路指标,补齐“设备之间如何可靠连接”的基础。

参考资料