一、双网关/双网卡配置的核心价值

在混合云部署、分支机构互联、安全隔离等场景中，双网关/双网卡架构通过物理或逻辑分离实现三大核心优势：

1. 网络冗余：主备网关自动切换保障业务连续性
2. 流量优化：按业务类型定向路由提升传输效率
3. 安全隔离：不同网卡承载不同安全等级流量

典型应用场景包括：

• 企业内网与公有云VPN同时在线
• 开发测试环境与生产环境物理隔离
• 多媒体流量走高速通道，管理流量走普通通道
• 跨境业务使用本地ISP+国际专线双链路

二、Windows系统配置实践

2.1 双网卡基础配置

1. 设备管理器中启用两块物理网卡
2. 配置静态IP（示例）：
   ```powershell

   网卡1（内网）

   New-NetIPAddress -InterfaceAlias “Ethernet1” -IPAddress 192.168.1.100 -PrefixLength 24 -DefaultGateway 192.168.1.1

网卡2（外网）

New-NetIPAddress -InterfaceAlias “Ethernet2” -IPAddress 10.0.0.100 -PrefixLength 24 -DefaultGateway 10.0.0.1

## 2.2 高级路由配置
通过`route add`命令实现策略路由：
```cmd
# 添加到特定网段的路由（走内网网关）
route add 192.168.2.0 mask 255.255.255.0 192.168.1.1 -p
# 删除默认网关避免冲突
route delete 0.0.0.0

使用PowerShell实现更精细控制：

# 创建持久化路由
New-NetRoute -InterfaceAlias "Ethernet1" -DestinationPrefix 192.168.2.0/24 -NextHop 192.168.1.1 -RouteMetric 100 -PolicyStore PersistentStore

2.3 网卡绑定技术

Windows Server支持NIC Teaming：

1. 服务器管理器→本地服务器→NIC组合
2. 选择”交换机独立”模式实现负载均衡
3. 配置”地址哈希”算法分配流量

三、Linux系统深度配置

3.1 多网卡路由配置

编辑/etc/network/interfaces（Debian系）：

auto eth0
iface eth0 inet static
    address 192.168.1.100
    netmask 255.255.255.0
    gateway 192.168.1.1
auto eth1
iface eth1 inet static
    address 10.0.0.100
    netmask 255.255.255.0
    # 不设置默认网关

通过ip route命令实现策略路由：

# 添加特定路由
ip route add 192.168.2.0/24 via 192.168.1.1 dev eth0
# 设置默认路由表
ip route add default via 10.0.0.1 dev eth1 table 100
ip rule add from 10.0.0.100 lookup 100

3.2 高级路由策略

使用iproute2实现多表路由：

1. 创建路由表文件/etc/iproute2/rt_tables：

   100 vpn_table
   200 corp_table

2. 配置策略规则：

   ip route add default via 10.0.0.1 dev eth1 table vpn_table
   ip rule add from 10.0.0.100 lookup vpn_table

3.3 网卡绑定配置

创建绑定接口文件/etc/network/interfaces.d/bond0：

auto bond0
iface bond0 inet manual
    bond_mode 4
    bond_miimon 100
    bond_lacp_rate 1
    bond_slaves eth0 eth1
auto bond0.10
iface bond0.10 inet static
    address 192.168.1.100
    netmask 255.255.255.0
    vlan-raw-device bond0

四、双网关配置关键要点

4.1 路由优先级控制

通过metric参数设置路由优先级：

• Windows：-RouteMetric参数（值越小优先级越高）
• Linux：ip route add ... metric 100

4.2 网关健康检查

实现自动切换的脚本示例（Linux Bash）：

#!/bin/bash
PRIMARY_GW="192.168.1.1"
SECONDARY_GW="10.0.0.1"
while true; do
    if ! ping -c 2 $PRIMARY_GW >/dev/null; then
        ip route replace default via $SECONDARY_GW dev eth1
    else
        ip route replace default via $PRIMARY_GW dev eth0
    fi
    sleep 10
done

4.3 防火墙规则配置

Linux系统需特别注意：

# 允许ICMP用于健康检查
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# 按接口配置不同安全策略
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j DROP

五、常见问题解决方案

5.1 ARP冲突处理

当双网卡在同一网段时：

1. 修改网卡MAC地址：

   ip link set dev eth0 address 00:11:22:33:44:55

2. 使用ARP代理：

   echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp

5.2 路由环路预防

1. 启用RP过滤器：

   echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

2. 配置严格反向路径检查：

   echo 2 > /proc/sys/net/ipv4/conf/all/rp_filter

5.3 性能优化建议

1. 调整TCP窗口大小：

   echo 2097152 > /proc/sys/net/core/wmem_max
   echo 2097152 > /proc/sys/net/core/rmem_max

2. 启用快速路径：

   echo 1 > /proc/sys/net/ipv4/tcp_fastopen

六、验证与监控

6.1 连通性测试

# 测试特定路由
mtr -n 192.168.2.1
# 多网卡流量统计
ifstat -i eth0,eth1 1

6.2 路由表验证

# Windows
route print
# Linux
ip route show table all
ip rule show

6.3 长期监控方案

推荐使用Prometheus+Grafana监控：

1. 部署Node Exporter采集网络指标
2. 配置Grafana仪表盘显示：
   • 各网卡流量
   • 路由表状态
   • 网关可达性

七、最佳实践总结

1. 物理隔离原则：不同安全等级流量使用独立网卡
2. 渐进式部署：先测试环境验证，再生产环境推广
3. 文档标准化：记录所有路由规则和配置变更
4. 自动化管理：使用Ansible/Puppet等工具实现配置同步
5. 定期审计：每季度检查路由表和防火墙规则

通过系统化的双网关/双网卡配置，企业可构建高可用、高性能、安全隔离的网络架构。实际部署时建议先在测试环境验证所有路由规则，确保故障转移机制有效，再逐步推广到生产环境。