文章总结： 文档指出Docker默认使用172.17.0.0网段易与现实网络冲突导致物理服务器无法连通，通过traceroute可定位问题表现为单跳路由。解决方案是修改daemon.json配置bip为172.30.0.1/24并设置地址池，重启Docker服务后新建容器将使用新网段。文末强调网络规划时应规避默认网段并提供了dockernetworkprune清理命令。 综合评分： 82 文章分类： 云安全,解决方案,技术标准,安全建设,其他

docker 默认网段与现实网段冲突

原创

hyang0 hyang0

生有可恋

2026年5月15日 07:01 湖北

在小说阅读器读本章

去阅读

默认 docker 会使用 172.17.0.0 网段，随着应用增多可能会用 172.18, 172.19 等网段。和现实网段冲突后，会 ping 不通真实物理服务器。

使用 traceroute 定位时，可以看到只进行了一跳：

真实路由可能是这样的：

当网段冲突后，数据就只在本机路由，也就是traceroute只进行一跳。

这时就需要改 docker 默认网络配置：

# cat /etc/docker/daemon.json{    "bip": "172.30.0.1/24",    "default-address-pools": [        {            "base": "172.30.0.0/16",            "size": 24        }    ]}

修改后需要重启 docker:

systemctl restart docker

使用新的网段后，后续新建的 docker compose 会使用 172.30.x,0 这个大网段。比如：172.30.0.1， 172.30.1.1， 172.30.2.1

清理不用的 docker network 命令为：

# docker network pruneWARNING! This will remove all custom networks not used by at least one container.Are you sure you want to continue? [y/N] yDeleted Networks:trim-default
# docker network lsNETWORK ID     NAME      DRIVER    SCOPE8c897d61ad14   bridge    bridge    locala22dc4cd0213   host      host      localdea0954a4fe9   none      null      local

在规划网络时尽量避开 docker 默认网段，不然后期调整会比较麻烦。

全文完。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：生有可恋 hyang0 hyang0《docker 默认网段与现实网段冲突》