ipvsadm vip ARP 响应失败的 arp_ignore / arp_announce 配置

舞夢輝影

发布时间：2026-01-28 19:08:03

137人浏览过

来源于php中文网

原创

VIP的ARP响应失败是因为arp_ignore未正确配置；LVS-DR要求Real Server不响应VIP的ARP，需将all和lo接口的arp_ignore均设为1，否则内核默认值0导致lo接口响应ARP。

ipvsadm vip arp 响应失败的 arp_ignore / arp_announce 配置

为什么 VIP 的 ARP 响应失败，和 arp_ignore 有关

Linux 内核默认会响应所有本地 IP（包括绑定在 lo 上的 VIP）的 ARP 请求，这在 LVS-DR 模式下会导致后端 Real Server 主动应答客户端的 ARP 查询，破坏 Director 的流量调度逻辑。关键在于 arp_ignore 控制“谁有资格应答 ARP”。设为 1 表示：仅当目标 IP 配置在请求到达的接口上时才应答；设为 2 表示：只要本机任一接口配置了该 IP 就应答（不推荐用于 DR）。LVS-DR 要求 Real Server 完全不响应 VIP 的 ARP，所以必须设为 1。

常见错误是只改了 lo 接口的值，却忘了全局默认值仍为 0 —— 内核优先查接口级配置，查不到就回落到全局，而 lo 默认没定义 arp_ignore，实际生效的是 /proc/sys/net/ipv4/conf/all/arp_ignore。所以必须显式设置：

echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
echo 1 > /proc/sys/net/ipv4/conf/lo/arp_ignore

arp_announce 的作用不是“发不发 ARP”，而是“用哪个源地址发”

很多人误以为调高 arp_announce 能阻止 ARP 响应，其实它只影响本机主动发送 ARP 请求（比如地址变更、免费 ARP）时，如何选择源 IP 地址。在 LVS-DR 中，Real Server 需要确保：当它因其他原因（如网关刷新）发出 ARP 请求时，源 IP 不暴露 VIP。因此应设为 2：“总是使用最佳本地地址（即与目标网络匹配的、配置在入接口上的地址）”，避免从 lo 上的 VIP 发出 ARP。

同样需同时设置 all 和 lo：

echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce
echo 2 > /proc/sys/net/ipv4/conf/lo/arp_announce

arp_announce=1 仅跳过同子网内其他接口上的地址，不够严格
不设 lo 级配置时，lo 仍按默认 0 行为选源地址，可能泄露 VIP
该参数对被动 ARP 响应无影响，别指望靠它解决“VIP 被抢答”问题

ipvsadm 规则本身不触发 ARP 行为，但依赖正确的内核 ARP 策略

ipvsadm 只负责建立连接跟踪和转发规则，它不干预 ARP 协议栈。哪怕 ipvsadm -Ln 显示服务正常、连接已建立，只要 Real Server 的 arp_ignore 没配对，Director 收到客户端 ARP 请求后，仍可能收到 Real Server 的错误应答，导致客户端把 VIP 解析到 Real Server 的 MAC，绕过 Director。

验证是否生效的关键命令：

Faceswap

免费开源的AI换脸工具

下载

ipvsadm -Ln
cat /proc/sys/net/ipv4/conf/all/arp_ignore
cat /proc/sys/net/ipv4/conf/lo/arp_ignore
arping -I eth0 -c 2

最后一条应在 Director 上执行：若能看到 Real Server 回包，说明其仍在响应 ARP —— 配置未生效或未覆盖 lo 接口。

持久化配置容易漏掉 lo 接口，且 systemd-networkd 可能覆盖 sysctl

写进 /etc/sysctl.conf 的 net.ipv4.conf.all.arp_ignore = 1 会被加载，但 net.ipv4.conf.lo.arp_ignore 很多发行版默认不写，重启后丢失。更隐蔽的问题是：某些系统（如使用 systemd-networkd 或 NetworkManager 的新版 Ubuntu/CentOS）会在接口 up 时重置 conf/lo/ 下的参数，覆盖 sysctl 设置。

稳妥做法：

在 /etc/sysctl.conf 中明确写入 net.ipv4.conf.lo.arp_ignore = 1 和 net.ipv4.conf.lo.arp_announce = 2
添加 systemd service 或 network script，在 lo up 后再次 echo 这两个值（尤其当使用 cloud-init 或容器环境时）
避免用 sysctl -p 临时加载，它不保证接口级配置被应用到 lo

lo 接口的 ARP 参数不像物理网卡那样有“启动脚本”概念，它的初始化时机特殊，最容易被忽略。

如何判断一个路径是否为挂载点而不调用 os.statvfs

多进程写文件时如何使用文件锁（fcntl 或 msvcrt）

pathlib 如何判断两个不同路径是否指向同一个真实文件

如何安全递归删除目录树（即使包含只读文件）

Python 文件锁在多进程下是否可靠？

相关标签:

linux centos ubuntu 后端 mac 栈为什么子网 echo 接口栈 linux ubuntu centos lvs

本站声明：本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

上一篇：vm.dirty_background_ratio=5 后回写频繁的 vm.dirty_expire_centisecs 延长下一篇：perf top 显示 [kworker] 高占比的 workqueue 长任务排查

作者最新文章

Linux 网络延迟高的根因分析

2026-01-27 19:29

如何让一个类支持 len(obj) 但实际长度由外部计算

2026-01-27 19:33

slots 定义后还能使用 dict 吗？会发生什么异常

2026-01-27 19:33

MySQL query_cache_type 在 8.0 移除后的 Redis 缓存替代

2026-01-27 19:35

requests 如何实现带随机延时的重试避免被限流

2026-01-27 19:35

Python 可调用对象的类型判断

2026-01-27 19:40

SQL 如何用临时表 + 索引加速复杂多表关联聚合

2026-01-27 19:48

SQL 如何用 WITH 子句递归计算 BOM（物料清单）展开

2026-01-27 19:56

SQL 如何用 VACUUM / ANALYZE 手动维护 PostgreSQL 表统计

2026-01-27 19:58

mbti十六型人格分析图_mbti十六型人格分析图表解析

2026-01-28 09:47

热门AI工具

DeepSeek

幻方量化公司旗下的开源大模型平台

AI 编程开发 AI 聊天问答

豆包大模型

字节跳动自主研发的一系列大型语言模型

AI 编程开发 AI大模型

通义千问

阿里巴巴推出的全能AI助手

AI 编程开发 Agent智能体

腾讯元宝

腾讯混元平台推出的AI助手

文档处理 AI 聊天问答

文心一言

文心一言是百度开发的AI聊天机器人，通过对话可以生成各种形式的内容。

AI 编程开发 AI 文本写作

讯飞写作

基于讯飞星火大模型的AI写作工具，可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

AI 文本写作中文写作

即梦AI

一站式AI创作平台，免费AI图片和视频生成。

图片拼接图画生成

ChatGPT

最最强大的AI聊天机器人程序，ChatGPT不单是聊天机器人，还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

AI 编程开发 AI 文本写作

智谱清言 - 免费全能的AI助手

AI 编程开发 Agent智能体

相关专题

硬盘接口类型介绍

硬盘接口类型有IDE、SATA、SCSI、Fibre Channel、USB、eSATA、mSATA、PCIe等等。详细介绍：1、IDE接口是一种并行接口，主要用于连接硬盘和光驱等设备，它主要有两种类型：ATA和ATAPI，IDE接口已经逐渐被SATA接口；2、SATA接口是一种串行接口，相较于IDE接口，它具有更高的传输速度、更低的功耗和更小的体积；3、SCSI接口等等。

1126

2023.10.19