灯亮≠网络通——资深网工看的是“链路全貌”-优快云博客

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部

前阵子一客户说：“交换机接口灯亮着，但就是ping不通服务器！”我问：“你查了网关ARP吗？”
他一脸懵。上去一查，display arp | include 192.168.10.1，网关的MAC地址竟然是台PC的！
原来有人私接路由器，开启了DHCP，抢了网关IP。
重启网关设备，ARP刷新，秒通。
很多人一看接口UP，就觉得“物理通了就该通”，结果卡半天。
今天，我就告诉你，资深网工是如何5分钟内定位这类“灯亮不通”问题的。

今日文章阅读福利：《批量ping工具》
分享一个批量ping神器。私信发送暗号“批量”，限时下载。

01 先搞清：UP 到底代表什么？
接口状态 UP 的含义：
物理层：线缆连接正常，光/电信号正常
数据链路层：两端协商成功（速率、双工）
≠ 网络层及以上通！
✅ UP 只说明“物理链路”和“二层”基本正常 ❌ 不代表IP能通、服务能访问
类比：
像公路修好了，路灯亮了（UP）
但路上可能有路障、没路牌、或目的地关门了（不通）

02 排查四步法：资深网工的“诊断流水线”
第一步：确认终端自身网络配置（最常见问题！）
# 在故障终端执行 ipconfig /all # Windows ifconfig # Linux
重点检查：
✅ IP地址、子网掩码 是否正确
✅ 默认网关 是否配置
✅ DNS服务器 是否可访问
✅ 是否启用了防火墙（Windows Defender、iptables）
经验：30%的“不通”问题，是终端配错了IP或没配网关。
第二步：查网关ARP表（二层关键！）
# 在网关设备（核心交换机/防火墙）执行 display arp | include <终端IP>
输出分析：
无输出 → 终端未发ARP请求（可能网卡故障、IP未启用）
有输出但MAC异常 → IP冲突、私接设备、ARP欺骗
MAC是网关自己 → 正常
经典案例：用户私接路由器，开启DHCP，导致网关ARP被污染。
第三步：查路由与下一跳可达性
1. 终端是否有到目标的路由？
route print # Windows ip route show # Linux
默认路由 0.0.0.0 是否指向正确网关？
2. 网关是否有到目标网段的路由？
display ip routing-table <目标网段>
是否有路由？下一跳是否可达？
3. 用 tracert 定位中断点
tracert 8.8.8.8
如果第一跳（网关）就超时 → 网关问题
如果后续跳超时 → 中间设备或防火墙拦截
第四步：查策略与服务拦截
1. 防火墙/ACL 是否拦截？
# 在网关或防火墙 display acl | include <源IP> <目标IP> display security-policy | include
是否有 deny 规则阻止ICMP？
2. 目标服务器是否禁ping？
Windows：高级安全防火墙 → 入站规则 → 文件和打印机共享(回显请求-ICMPv4-In)
Linux：iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
3. 用 telnet 测试端口（判断是网络通还是服务通）
telnet <目标IP> 3306
如果telnet通，但ping不通 → 网络通，但目标禁ping或防火墙拦ICMP

03 实战案例：接口UP，Ping网关不通
现象：
交换机接口UP
终端配置IP：192.168.10.100/24，网关：192.168.10.1
ping 192.168.10.1 不通
排查流程：
✅ 终端ipconfig确认IP、网关无误
✅ 在核心交换机查ARP：
display arp | include 192.168.10.100
→ 无输出
✅ 查接口是否有错包：
display interface gigabitethernet 0/0/1
→ CRC错误高达5000 → 物理链路有问题！
结论：虽然接口UP，但光纤老化导致大量误码，ARP请求发不出去。
解决：更换光纤模块，问题解决。

04 必查命令清单（收藏备用）

05 结语
接口UP只是网络连通的“起点”，而非“终点”。
Ping不通的原因可能藏在ARP表、路由表、防火墙规则或终端配置中。
资深网工的思维是分层排查、证据驱动：从终端→网关→路由→策略，一步步收集证据，而非盲目重启。
掌握这四步法，下次再遇到“灯亮不通”，你也能5分钟定位，一招制敌。记住：网络是逻辑的，不是物理的。

原创：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部