服务器网络设置是确保服务器稳定运行、高效通信的基础,涉及IP配置、VLAN划分、负载均衡、安全策略等多个环节,需结合业务需求和技术规范进行精细化调整,以下从基础到进阶详细说明关键设置步骤及注意事项。
基础网络参数配置
服务器网络参数是通信的核心,主要包括IP地址、子网掩码、默认网关和DNS服务器,需根据网络规划合理分配。
IP地址配置
IP地址是服务器在网络中的唯一标识,通常建议使用静态IP(避免动态IP导致的地址变更问题),具体配置需结合子网规划,若业务网段为192.168.1.0/24,可分配192.168.1.10-192.168.1.100范围内的IP。
子网掩码
子网掩码用于区分IP地址中的网络部分和主机部分,需与网段匹配,上述/24网段子网掩码为255.255.255.0,表示前24位为网络位,后8位为主机位。
默认网关
默认网关是服务器访问其他网段的出口,通常为核心交换机或路由器的接口IP,若业务网段通过192.168.1.1访问外网,则网关需配置为192.168.1.1。
DNS服务器
DNS用于域名解析,可配置公共DNS(如8.8.8.8、114.114.114.114)或内部DNS服务器,确保域名访问正常。
不同操作系统的配置方式略有差异,以下为Linux(以CentOS 7为例)和Windows Server的配置命令对比:
| 操作系统 | 配置方式 |
|---|---|
| CentOS 7 | 使用nmcli con mod "ens33" ipv4.addresses 192.168.1.10/24设置IP,nmcli con mod "ens33" ipv4.gateway 192.168.1.1设置网关,nmcli con mod "ens33" ipv4.dns "8.8.8.8 114.114.114.114"设置DNS,最后nmcli con up "ens33"激活。 |
| Windows Server | 通过“服务器管理器”→“本地服务器”→“属性”中配置IPv4地址、子网掩码、网关,或使用netsh interface ip set address name="以太网" source=static addr=192.168.1.10 mask=255.255.255.0 gateway=192.168.1.1命令行配置。 |
VLAN与网络隔离
为提升安全性和管理效率,需通过VLAN划分不同业务流量,将服务器划分为业务VLAN(ID=10)、管理VLAN(ID=20)、存储VLAN(ID=30),实现流量隔离。
VLAN划分原则
- 按业务类型划分:如Web服务器、数据库服务器、应用服务器分属不同VLAN;
- 按安全级别划分:如管理流量与业务流量隔离,避免跨网段非法访问;
- 按部门划分:不同部门服务器独立VLAN,便于权限控制。
交换机与服务器配置
- 交换机端口的VLAN划分:需将连接服务器的端口划入对应VLAN,例如业务服务器端口配置为access模式,PVID为10;
- 服务器网卡VLAN配置:若服务器网卡支持802.1Q,需在系统中创建VLAN子接口,例如Linux下使用
ip link add link=ens33 name=ens33.10 type vlan id 10创建VLAN 10,并配置IP。
跨VLAN通信
若需跨VLAN通信(如业务VLAN访问管理VLAN),需在核心交换机或路由器上配置三层路由,或使用VLANIF接口实现互通,并设置访问控制策略(ACL)限制权限。
负载均衡配置
当多台服务器提供同一服务时,需通过负载均衡分散流量,提升可用性和性能,常用工具包括Nginx、LVS、HAProxy等,以下以Nginx为例说明。
负载均衡模式
- 轮询(round_robin):默认模式,按顺序分配请求,适合无状态服务;
- 最少连接(least_conn):将请求分配给活跃连接数最少的服务器,适合长连接服务;
- IP哈希(ip_hash):根据客户端IP分配服务器,确保同一客户端请求固定到同一服务器,适合会话保持场景。
Nginx配置示例
在Nginx配置文件中添加以下内容:
upstream backend {
least_conn;
server 192.168.1.10:80 weight=3; # 权重为3,承担更多流量
server 192.168.1.11:80 weight=2;
server 192.168.1.12:80 backup; # 备用服务器,其他服务器故障时启用
}
server {
listen 80;
location / {
proxy_pass http://backend;
}
}
健康检查
负载均衡器需定期后端服务器状态,若某服务器连续3次检测失败(如端口不可达),则自动摘除该服务器,恢复后重新加入。
安全策略设置
服务器网络安全是重中之重,需从防火墙、端口管理、访问控制等方面加固。
防火墙规则
- Linux:使用
iptables或firewalld,仅开放必要端口(如SSH 22、HTTP 80、HTTPS 443),示例:firewall-cmd --permanent --add-port=22/tcp # 开放SSH端口 firewall-cmd --permanent --add-port=80/tcp # 开放HTTP端口 firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="3306" accept' # 允许特定网段访问MySQL firewall-cmd --reload
- Windows:通过“高级安全Windows防火墙”配置入站规则,限制非授权IP访问。
端口安全
- 关闭闲置端口:如telnet(23)、ftp(21)等高危端口,避免被利用;
- 修改默认端口:将SSH端口从22改为自定义端口(如2222),降低暴力破解风险。
访问控制列表(ACL)
在交换机或路由器上配置ACL,限制跨网段访问,仅允许业务VLAN(192.168.1.0/24)访问数据库VLAN(192.168.2.0/24)的3306端口:
acl number 3000
rule 5 permit source 192.168.1.0 0.0.0.255 destination-port eq 3306
rule 10 deny 监控与优化
设置完成后,需持续监控网络状态并优化性能。
监控工具
- 流量监控:使用
iftop、nethogs查看实时流量和进程占用; - 延迟与丢包:通过
ping、traceroute测试网络连通性,或使用mtr综合诊断; - 日志分析:通过
syslog或ELK平台收集防火墙、交换机日志,异常及时告警。
性能优化
- 网卡参数调整:开启网卡多队列(RSS)、巨型帧(Jumbo Frame,需交换机支持),提升并发处理能力;
- 路由优化:调整
net.ipv4.ip_forward和net.core.rmem_max等内核参数,减少网络延迟; - 负载均衡优化:根据后端服务器性能动态调整权重,避免单点过载。
相关问答FAQs
问题1:服务器网络设置后无法访问,如何排查?
解答:排查步骤如下:
- 检查物理连接:确认网线是否插好,交换机端口指示灯是否正常;
- 检查IP配置:使用
ipconfig(Windows)或ifconfig(Linux)确认IP、子网掩码、网关是否正确; - 检查网络连通性:执行
ping 网关IP,若不通,说明网关或交换机配置问题;若通,执行ping 外网IP(如8.8.8.8),若不通,检查DNS或防火墙是否拦截; - 检查防火墙:临时关闭防火墙,若恢复正常,则需调整防火墙规则;
- 检查VLAN路由:若跨VLAN无法访问,确认核心交换机三层路由是否配置正确,ACL是否放行。
问题2:服务器是否必须使用静态IP?动态IP有什么影响?
解答:服务器通常建议使用静态IP,原因如下:
- 服务稳定性:静态IP固定不变,便于客户端、负载均衡器等设备长期访问,避免动态IP变更导致连接中断;
- 管理便捷:静态IP可提前规划网络资源,便于DHCP服务器排除冲突,简化运维管理。
动态IP的影响:若服务器使用DHCP获取IP,可能因租约到期、DHCP服务器故障等原因导致IP变更,引发以下问题: - 业务中断:域名解析、负载均衡规则依赖固定IP,IP变更后需手动更新配置;
- 安全风险:IP动态变化可能导致防火墙规则失效,增加非法访问风险。
特殊情况:测试环境或临时服务器可使用动态IP,但生产环境必须配置静态IP或通过DHCP保留固定IP(绑定MAC地址)。
原创文章,发布者:酷番叔,转转请注明出处:https://cloud.kd.cn/ask/30003.html
