网络工程师 · 默认路由 · 出口排错

默认路由不通怎么排查?

默认路由看起来简单:不知道去哪,就走 0.0.0.0/0 指定的出口。但题目一旦写成“内网不能访问外网”,就不能只答“配置默认路由”。你还要看下一跳是否可达、回程是否存在、NAT 是否生效、ACL 是否拦截、DNS 是否正常。

网络工程师专题 软考题库编辑部 持续更新

默认路由只解决“往哪里走”,不解决所有问题

默认路由的作用是兜底转发。当路由表里没有更具体的目标网段时,路由器把数据包交给默认路由指定的下一跳或出接口。它解决的是路径选择问题,不负责地址转换、域名解析和安全策略。

所以题干如果说“内网不能访问外网”,你要先看默认路由有没有,再看 NAT、ACL、DNS 和回程路径。只写默认路由,答案通常不完整。

问题点默认路由能否解决还要看什么
不知道去公网走哪个出口下一跳或出接口
私网地址不能在公网路由不能NAT/PAT
域名打不开但 IP 可通不能DNS
策略禁止访问不能ACL 或防火墙
返回包找不到路不能回程路由或 NAT 状态

排查顺序:路由、NAT、策略、DNS

比较稳的排查顺序是先三层连通,再看地址转换和策略。第一步看主机默认网关是否正确。第二步看网关设备是否有默认路由。第三步看下一跳是否可达。第四步看 NAT/PAT 是否把私网地址转换出去。第五步看 ACL 或防火墙是否阻断。最后再看 DNS。

这个顺序不是死规则,但很适合考试答题。因为它能避免把所有问题都归因于 DNS,也能避免只会写“检查网络连接”这种空话。

一个答题式排查链

检查终端 IP、掩码和默认网关是否正确。

检查出口路由器是否存在 0.0.0.0/0 默认路由。

检查默认路由下一跳是否直连可达。

检查 NAT/PAT 映射是否正常建立。

检查 ACL、防火墙和 DNS 配置。

默认路由和最长前缀匹配的关系

默认路由的前缀是 /0,范围最大,也最不具体。只要有更具体的路由能匹配目的地址,就不应该走默认路由。比如访问公司内部 10.1.2.0/24 网段,如果路由表里有这条内部路由,就不该走互联网出口默认路由。

考试会用这点做干扰:同一张路由表里既有默认路由,又有某个内部网段路由。做题时先找更具体匹配,找不到再看默认路由。

场景应该优先看什么原因
访问公网地址默认路由通常没有更具体公网路由
访问内部网段内部具体路由比 /0 更具体
访问分支网段静态或动态明细路由不能随便走出口
所有未知目的默认路由兜底转发
多出口网络策略路由或动态路由还要考虑主备和负载

这类题怎么练

默认路由题不要只背 0.0.0.0/0。建议和 NAT、ACL、最长前缀匹配一起练。看到“内网不能上网”,先画出从主机到出口的路径,再逐段检查默认网关、路由、NAT 和策略。

如果你要做连续练习,可以先看本站的路由和 NAT 专题,再用书木兰软考题库 https://www.shumulan.com/ 做网络工程师章节题和错题复盘。