公共 IP 不是局域网：一种真正有效的路由思维模型

Source: Dev.to

引言

用户最常因为把公共 IP 子网当作家里或近生产环境的局域网来使用而导致网络故障。这通常表现为桥接接口、直接给虚拟机分配公共 IP，或期望 ARP 能“自动工作”。当出现问题时，往往把责任归咎于防火墙、虚拟机管理程序或 ISP。

真正的问题更简单：

思维模型错误。

1. 错误的思维模型

典型的想法是这样的：

“我从 ISP 那里拿到一个 /29 或 /24。如果我把这个子网连接到我的 hypervisor，我的 VM 就可以直接使用这些公共 IP。”

这假设公共地址空间的行为像私有广播域——类似于把一个交换机插入另一个交换机。从这个角度看，ARP 应该能够解析，邻居应该回复，流量应该正常转发。

这种假设是错误的。

2. 实际在网络上的情况

公共 IP 子网 不是共享的以太网段。它们是 路由的地址空间，由上游路由器拥有并控制。

当流量的目标是你的某个公共 IP 时，上游路由器 不会 通过你的 hypervisor 或内部交换机广播 ARP 请求。相反，它会查询自己的路由表并将数据包转发到 单一的下一跳——它认为拥有该地址的设备。

如果你在内部桥接公共 IP 并期望在多个主机之间通过 ARP 解析，这将会失败。上游路由器根本看不到这些 ARP 请求，也永远不会对其作出响应。没有防火墙规则或 hypervisor 配置能够改变这种行为。

从上游路由器的视角来看，下一跳之外的任何东西都不存在。

3. 公共子网是路由的，而不是交换的

一个有用的记忆规则：

公共 IP 空间是以路由的形式交付给你的，而不是以第 2 层网络的形式。

这意味着：

• 你 没有 获得广播域。
• 你 没有 获得跨主机的邻居发现。
• 数据包严格转发到下一跳。

这个下一跳通常是你的路由器或防火墙——而不是单个 VM。内部桥接公共 IP 会产生一种虚假的连通感，虽然在极其简单的情况下似乎可行，但在真实流量下会崩溃。

当人们说 “我的 ISP 给了我一个子网”，实际上发生的事是 ISP 把该子网路由到 一个设备。

4. 实际可行的模型

只有少数模型能够正确且可预测地工作：

• 将子网路由到防火墙/路由器，所有公共 IP 在该设备上终止。
• 1:1 NAT，路由器拥有公共 IP 并显式映射。
• 策略路由 / 回环所有权，路由器充当 ARP 端点。

这些模型都有相同的特性：

在第 2 层上只有一个设备拥有公共 IP。其余所有东西都在第 3 层的下游。

一旦你理解了这一点，数据包的流向就变得显而易见，调试也更简单，系统不再显得不可预测。

5. 经验法则

如果你无法控制上游路由器，就无法控制 ARP。

公共 IP 应该 路由到你这里——而不是通过你进行桥接。