網(wǎng)管員經(jīng)驗(yàn)：Ping命令不能PING通的的解決方法

網(wǎng)絡(luò)工程師都會(huì)用到Ping，它是檢查路由問(wèn)題的有效辦法。但也常聽工程師抱怨：不可能，怎么會(huì)不通呢？本文主要講一下Ping命令不能PING通的的解決方法

　　這樣的困惑一般發(fā)生在自認(rèn)為路由設(shè)置正確的時(shí)候。舉幾個(gè)筆者遇到的問(wèn)題，歡迎大家補(bǔ)充。

　　最簡(jiǎn)單的三種情況：

　　1.太心急。即網(wǎng)線剛插到交換機(jī)上就想Ping通網(wǎng)關(guān)，忽略了生成樹的收斂時(shí)間。當(dāng)然，較新的交換機(jī)都支持快速生成樹，或者有的管理員干脆把用戶端口（access port）的生成樹協(xié)議關(guān)掉，問(wèn)題就解決了。

　　2.訪問(wèn)控制。不管中間跨越了多少跳，只要有節(jié)點(diǎn)（包括端節(jié)點(diǎn)）對(duì)ICMP進(jìn)行了過(guò)濾，Ping不通是正常的。最常見的就是防火墻的行為。

　　3.某些路由器端口是不允許用戶Ping的。

　　還遇到過(guò)這樣的情形，更為隱蔽。

　　1.網(wǎng)絡(luò)因設(shè)備間的時(shí)延太大，造成ICMPecho報(bào)文無(wú)法在缺省時(shí)間（2秒）內(nèi)收到。時(shí)延的原因有若干，比如線路（衛(wèi)星網(wǎng)時(shí)延上下星為540毫秒），路由器處理時(shí)延，或路由設(shè)計(jì)不合理造成迂回路徑。使用擴(kuò)展Ping，增加timed out時(shí)間，可Ping通的話就屬路由時(shí)延太大問(wèn)題。

　　2.引入NAT的場(chǎng)合會(huì)造成單向Ping通。NAT可以起到隱蔽內(nèi)部地址的作用，當(dāng)由內(nèi)Ping外時(shí)，可以Ping通是因?yàn)镹AT表的映射關(guān)系存在，當(dāng)由外發(fā)起Ping內(nèi)網(wǎng)主機(jī)時(shí)，就無(wú)從查找邊界路由器的NAT表項(xiàng)了。

　　3.多路由負(fù)載均衡場(chǎng)合。比如Ping遠(yuǎn)端目的主機(jī)，成功的reply和timed out交錯(cuò)出現(xiàn)，結(jié)果發(fā)現(xiàn)在網(wǎng)關(guān)路由器上存在兩條到目的網(wǎng)段的路由，兩條路由權(quán)重相等，但經(jīng)查一條路由存在問(wèn)題。

　　4.IP地址分配不連續(xù)。地址規(guī)劃出現(xiàn)問(wèn)題象是在網(wǎng)絡(luò)中埋了地雷，地址重疊或掩碼劃分不連續(xù)都可能在Ping時(shí)出現(xiàn)問(wèn)題。比如一個(gè)極端情況，A、B兩臺(tái)主機(jī)，經(jīng)過(guò)多跳相連，A能Ping通B的網(wǎng)關(guān)，而且B的網(wǎng)關(guān)設(shè)置正確，但A、B就是Ping不通。經(jīng)查，在B的網(wǎng)卡上還設(shè)有第二個(gè)地址，并且這個(gè)地址與A所在的網(wǎng)段重疊。

　　5.指定源地址的擴(kuò)展Ping.登陸到路由器上，Ping遠(yuǎn)程主機(jī)，當(dāng)ICMP echorequest從串行廣域網(wǎng)接口發(fā)出去的時(shí)候，路由器會(huì)指定某個(gè)IP地址作為源IP，這個(gè)IP地址可能不是此接口的IP或這個(gè)接口根本沒(méi)有IP地址。而某個(gè)下游路由器可能并沒(méi)有到這個(gè)IP網(wǎng)段的路由，導(dǎo)致不能Ping通?？梢圆捎脭U(kuò)展Ping，指定好源IP地址。

　　當(dāng)主機(jī)網(wǎng)關(guān)和中間路由的配置認(rèn)為正確時(shí)，出現(xiàn)Ping問(wèn)題也是很普遍的現(xiàn)象。此時(shí)應(yīng)該忘掉"不可能"幾個(gè)字，把Ping的擴(kuò)展參數(shù)和反饋信息、traceroute、路由器debug、以及端口鏡像和Sniffer等工具結(jié)合起來(lái)進(jìn)行分析。

　　比如，當(dāng)A、B兩臺(tái)主機(jī)經(jīng)過(guò)多跳路由器相連時(shí)，二者網(wǎng)關(guān)設(shè)置正確，在A上可以Ping通B，但在B上不能Ping通A.可以通過(guò)在交換機(jī)做鏡像，并用Sniffer抓包，來(lái)找出ICMP報(bào)文終止于何處，報(bào)文內(nèi)容是什么，就可以發(fā)現(xiàn)ICMP報(bào)文中的源IP地址并非預(yù)期的那樣，此時(shí)很容易想象出可能是路由器的NAT功能使然，這樣就能夠逐步地發(fā)現(xiàn)一些被忽視的問(wèn)題。而Ping不通時(shí)的反饋信息是"destination_net_unreachable"還是"timedout"也是有區(qū)別的。

【推薦閱讀】

◆網(wǎng)管軟件專區(qū)

 ◆網(wǎng)絡(luò)管理維護(hù)技巧：實(shí)現(xiàn)VLAN環(huán)境下DHCP服務(wù)

◆網(wǎng)管員技巧：學(xué)會(huì)限制路由器多臺(tái)電腦上網(wǎng)

◆網(wǎng)絡(luò)管理維護(hù)技巧：路由器故障排除技巧

◆IT運(yùn)維管理專區(qū)