如何设置Linux网络接口绑定，增强链路冗余与安全性？

本文共计950个文字，预计阅读时间需要4分钟。

新手配置Linux网络接口绑定，核心目标不是堆功能，而是保证业务不中断。重点不在多快，而在坏了还能通。只需避开几个典型坑，用最简方式快速切换，就能实现90%的实用目标。

先选对模式：新手从mode=1开始最稳妥

别被七种模式搞晕。对刚上手的人，只推荐mode=1（active-backup），原因很实在：

• 不需要交换机配合——插上线就能测，避免LACP协商失败这类“静默不可用”问题；
• 逻辑清晰：一块网卡干活，另一块待命，故障时自动切，没歧义；
• 不依赖MAC/IP哈希或轮询路径，不会因防火墙、NAT或非对称路由丢包；
• 配置项少，出错概率低，适合验证流程是否走通。

其他模式如mode=4（需交换机LACP）、mode=0（轮询）等，建议等基础链路稳定后再评估引入。

配置三步走：文件写对、从属设准、服务重启

以CentOS/RHEL系为例，按顺序操作即可：

• 创建bond0主配置：编辑 /etc/sysconfig/network-scripts/ifcfg-bond0，内容至少包含：
  

  DEVICE=bond0<br>BOOTPROTO=static<br>ONBOOT=yes<br>IPADDR=192.168.1.100<br>NETMASK=255.255.255.0<br>GATEWAY=192.168.1.1<br>BONDING_OPTS="mode=1 miimon=100"
  注意：miimon=100 表示每100ms检测一次链路，太大会导致故障响应慢；

• 设置物理网卡为从属：分别编辑 /etc/sysconfig/network-scripts/ifcfg-eth0 和 /etc/sysconfig/network-scripts/ifcfg-eth1，每份只保留关键行：
  

  DEVICE=eth0<br>BOOTPROTO=none<br>ONBOOT=yes<br>MASTER=bond0<br>SLAVE=yes
  切记删掉原IP、网关等冗余字段，否则会冲突；

• 重启网络并确认加载：执行 systemctl restart network，再运行 cat /proc/net/bonding/bond0 查看输出中是否有 MII Status: up 和 Currently Active Slave: eth0 ——有即表示绑定成功且主网卡已就位。

必须做的状态检查：别信“UP”，要看真连通

接口显示UP不代表bond真正可用。每次配置后务必人工验证：

• 用 ethtool eth0 和 ethtool eth1 分别确认物理口真实链路状态（Link detected: yes）；
• 拔掉当前活跃网线，等待2–3秒，再查 cat /proc/net/bonding/bond0，观察 Currently Active Slave 是否已切换到另一接口；
• 在另一台机器上持续ping该bond IP，拔线期间应仅丢1–2个包，之后自动恢复——这是验证切换实效性的黄金标准。

权限与安全收尾：防配置泄露和误覆盖

生产环境不能忽略基础防护：

• 把所有bond相关配置文件（ifcfg-bond0、ifcfg-eth0等）权限设为 600，归属 root:root，防止普通用户读取IP、子网等信息；
• 如果系统已启用NetworkManager，停用传统network服务（systemctl disable network），避免两套机制争抢控制权导致bond状态漂移；
• 不要在 BONDING_OPTS 里硬写任何非常规参数（比如伪造的密码字段），目前标准bonding不支持认证，乱填反而可能触发内核拒绝加载。

做到这四点，新手就能建起一条真正具备链路级冗余能力的bond通道，既不复杂，也不容易忽略关键环节。