摘要:很多工程师一遇到 ping 不通就怀疑路由、ACL、防火墙,殊不知问题根本还没到三层,根就在链路层。
号主:老杨丨11年资深网络工程师,更多网工提升干货,
“接口状态是 UP,协议也是 UP,怎么还是 ping 不通?”
做网络运维的,这种情况一定不陌生。
表面上链路没问题,实则早已“断在隐形角落”。
很多工程师一遇到 ping 不通就怀疑路由、ACL、防火墙,殊不知问题根本还没到三层,根就在链路层。
直连Ping不通流程图
今天聊聊——接口 UP 不代表链路就正常运行,这类“假连接”到底是怎么回事,又该如何排查?
1. 物理链路未完全连通
接口 UP ≠ 信号完全收发正常。以下几种物理问题最容易被忽略:
光模块/网线质量问题:虽然能“亮灯”,但链路质量差,无法稳定收发数据包。单工不匹配(半双工/全双工):某些交换机或网卡未正确协商,产生大量冲突包,导致丢包严重。接口收发方向单通:比如 A 能发给 B,B 却不能回包,表面 UP,实则“单通路”。2. 双设备中间链路环节未打通
比如:
接口 UP 但下游设备未配置 IP 或无路由返回接口连接的是中间跳线板或汇聚交换机端口被误配置为 shut/downTrunk 接口未允许该 VLAN,二层收不到 ARP 请求这种情况就算接口亮,也“走不出去”,层层转发路径中断。
3. 接口配置错误导致转发失败
IP 地址重复子网掩码错配,实际不在同一网段ARP 无法建立,或静态 ARP 配置有误接口处于 VRRP / HSRP 备份状态,不能主动响应 pingStep 1:明确 ping 的路径目标
是本地 ping 本端 IP 失败?检查本地配置。是 ping 直连对端?重点查链路、ARP、MAC。是 ping 跨网段目标?还要查路由、ACL、NAT、防火墙。一定要分清失败的是哪一跳、哪个方向。
Step 2:确认链路物理/二层状态
使用以下命令:
display interface brief / show interface statusdisplay transceiver / show controllers 查看光模块状态display mac-address / show mac address-table 查看是否学习到对端 MACdisplay arp / show arp 看 ARP 表是否存在⚠️ 若 MAC 和 ARP 表都没有,说明数据压根没发出去或没回来,要查链路或 VLAN。
Step 3:抓包 or 使用 loopback 排查路径中断点
用 ping -a 指定源 IP 测试方向性在两端做临时 loopback 接口看是否可达抓包查看是否有 ARP 请求发出 / 是否收到了 ICMP 回复抓不到回包?说明可能是对端未转发或返回路上被丢。
前段时间有个项目,客户现场反馈:
★“核心到汇聚 ping 不通,接口是 UP 的,我们怀疑是核心的路由出问题。”但实际排查发现,汇聚交换机那边的 Trunk 接口未允许目标 VLAN,导致业务 VLAN 流量被丢。
接口亮灯、路由没错,问题就是出在“二层转发缺失”。
这个问题如果不细查 VLAN,会误以为是三层错误。
遇到 ping 不通,别急着怀疑“是不是 ACL 拦了”“是不是路由没打通”。
很多时候,是链路自己就在偷偷掉链。
来源:网络工程师俱乐部一点号
