01 先搞清：UP 到底代表什么？

接口状态 UP 的含义：

• 物理层：线缆连接正常，光/电信号正常
• 数据链路层：两端协商成功（速率、双工）
• ≠ 网络层及以上通！

✅ UP 只说明“物理链路”和“二层”基本正常
❌ 不代表IP能通、服务能访问

类比：

• 像公路修好了，路灯亮了（UP）
• 但路上可能有路障、没路牌、或目的地关门了（不通）

02 排查四步法：资深网工的“诊断流水线”

第一步：确认终端自身网络配置（最常见问题！）

# 在故障终端执行
ipconfig /all # Windows
ifconfig # Linux

重点检查：

• ✅ IP地址、子网掩码 是否正确
• ✅ 默认网关 是否配置
• ✅ DNS服务器 是否可访问
• ✅ 是否启用了防火墙（Windows Defender、iptables）

经验：30%的“不通”问题，是终端配错了IP或没配网关。

第二步：查网关ARP表（二层关键！）

# 在网关设备（核心交换机/防火墙）执行
display arp | include <终端IP>

输出分析：

• 无输出 → 终端未发ARP请求（可能网卡故障、IP未启用）
• 有输出但MAC异常 → IP冲突、私接设备、ARP欺骗
• MAC是网关自己 → 正常

经典案例：用户私接路由器，开启DHCP，导致网关ARP被污染。

第三步：查路由与下一跳可达性

1. 终端是否有到目标的路由？

route print # Windows
ip route show # Linux

• 默认路由 0.0.0.0 是否指向正确网关？

2. 网关是否有到目标网段的路由？

display ip routing-table <目标网段>

• 是否有路由？下一跳是否可达？

3. 用 tracert 定位中断点

tracert 8.8.8.8

• 如果第一跳（网关）就超时 → 网关问题
• 如果后续跳超时 → 中间设备或防火墙拦截

第四步：查策略与服务拦截

1. 防火墙/ACL 是否拦截？

# 在网关或防火墙
display acl | include <源IP> <目标IP>
display security-policy | include <IP>

• 是否有 deny 规则阻止ICMP？

2. 目标服务器是否禁ping？

• Windows：高级安全防火墙 → 入站规则 → 文件和打印机共享(回显请求-ICMPv4-In)

• Linux：iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

3. 用 telnet 测试端口（判断是网络通还是服务通）

telnet <目标IP> 3306

• 如果telnet通，但ping不通 → 网络通，但目标禁ping或防火墙拦ICMP

03 实战案例：接口UP，Ping网关不通

现象：

• 交换机接口UP
• 终端配置IP：192.168.10.100/24，网关：192.168.10.1
• ping 192.168.10.1 不通

排查流程：

1. ✅ 终端ipconfig确认IP、网关无误
2. ✅ 在核心交换机查ARP：

   display arp | include 192.168.10.100
   → 无输出

3. ✅ 查接口是否有错包：

   display interface gigabitethernet 0/0/1
   → CRC错误高达5000 → 物理链路有问题！

4. 结论：虽然接口UP，但光纤老化导致大量误码，ARP请求发不出去。

解决：更换光纤模块，问题解决。

04 必查命令清单（收藏备用）

05 结语

接口UP只是网络连通的“起点”，而非“终点”。

Ping不通的原因可能藏在ARP表、路由表、防火墙规则或终端配置中。

资深网工的思维是分层排查、证据驱动：从终端→网关→路由→策略，一步步收集证据，而非盲目重启。

掌握这四步法，下次再遇到“灯亮不通”，你也能5分钟定位，一招制敌。记住：网络是逻辑的，不是物理的。