如何防止数据跨 NIC 流动

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 1687 days ago, the information mentioned may be changed or developed.

两个节点，每个节点有 2 个 NIC，分别是千兆和万兆口。IP 分别是：
Host1：
nic1:192.168.100.10
nic2:10.0.100.10

Host2：
nic1:192.168.100.11
nic2:10.0.100.11

Host1 里面有发送到 10.0.100.11 的数据，当停掉 host1 的 nic2：ifdown nic2，数据就会从 nic1 的默认网关出去，怎么避免这个行为呢？
经过测试，(策略)路由好像解决不了问题，因为 ifdown nic2 之后，nic2 相关的路由都被删除了。

11 replies • 2021-10-08 16:17:33 +08:00

sujin190

Oct 7, 2021 via Android

nic2 被停了，那数据不走 nic1 就没地方走了啊，所以不让走 nic1 是为啥

also24

Oct 7, 2021

默认网关的意思就是没有匹配的路由的时候就走它嘛，不然的话这些流量就只能进黑洞了

ip route add blackhole 10.0.100.10/8

Kinnice

Oct 7, 2021

所有的路由都自己配

weyou

Oct 8, 2021 via Android

删除默认路由应该就不会自动走 nic1 了。不过你的想法真是奇怪, 走默认路由不是很正常？

sherlock1122

Oct 8, 2021 via Android

@weyou
@sujin190 万兆流量进入千兆网最后也不可达，相反会对千兆路由产生大量的负担。

weyou

Oct 8, 2021 via Android

@sherlock1122 tcp 的话不存在这个问题，如果是 udp 才可能有这个问题

sherlock1122

Oct 8, 2021

@weyou 为什么不存在？还可能存在更严重的问题，例如刚好 IP 10.0.100.11 在千兆网络上的另外一个机器（不同于 host 2 ）上，且刚好都安装了 mongodb，就会产生服务的访问数据错误，后果很严重。

weyou

Oct 8, 2021 via Android

如果是你自己的本地的机器，比如恰好有相同的数据库相同的端口密码，自然会有影响，但都是你自己可控的，一般也不是用这种方式来解决的，因为很显然，两台机器使用了相同的 ip 才是问题的根源。

如果不是你本地机器，10 开头的是私有地址，理论上在公网上不会存在这类地址。就算存在于某些地方的超级局域网，数据库暴露在公网也非常少见，就算有也会有防火墙。ok，你运气超好，真的被你碰上了，密码不对也你也连不上。访问错误能产生多少带宽啊。ok，你运气超好，密码也被你碰对了，恰好里面有相同的数据库名字供你查询产生带宽消耗，这时候你要怀疑的是这台机器是不是就是你自己的，而不是来问这个网络问题。

sherlock1122

Oct 8, 2021

@weyou 算了，你的认知可能理解不到。

2i2Re2PLMaDnghL

Oct 8, 2021

你先画个网络拓扑出来，不然鸡同鸭讲。

从字面上来看的话，我认为你可以 blackhole 掉 10/8 然后添加两条 10.0/9 和 10.128/9 via nic2
这样有 nic2 会根据最长匹配前缀走 nic2，ifdown nic2 了以后就会 blackhole

sherlock1122

Oct 8, 2021

@2i2Re2PLMaDnghL 你这个方法很赞哇。
我之前想到的是在 nic1 上用 iptables 封掉发往 10.0.100.11 为目的 ip 的包。