网络排障手记：同网段内两个IP，为何Ping的结果一好一坏？

在局域网运维中，常会遇到这样一个典型故障：

从路由器 Ping 同一网段内的两个 IP 地址，一个能正常连通，另一个却请求超时或显示“无法访问目标主机”。

这种“一通一不通”的现象并非随机故障，而是设备状态、网络配置、物理链路或安全策略出现了差异化问题。

本文从原理到实操，完整解析故障成因与标准化排查流程。

二、故障核心特征与判断前提

✅ 排除路由器整体故障，才能把问题锁定在“差异化”因素上。

三、一通一不通的核心原因（按高频排序）

1. 目标设备状态差异（最常见）

• 设备未开机、休眠、断电或硬件故障 → 无网络应答能力

• 网卡禁用、驱动异常、网口损坏 → 网络接口未启用

• 设备负载过高（CPU/内存占满）→ 无法处理 ICMP 请求

2. IP 地址与三层配置错误

• IP 冲突：不通的 IP 被多台设备占用，ARP 表混乱，数据包无法正确送达

• 子网掩码不一致：同网段但掩码不同，设备判定目标不在同一子网，拒绝二层通信

• 静态 IP 配置错误：网段不匹配、网关错误，导致终端无法回包

3. 物理层与链路故障

• 网线断裂、水晶头松动、接触不良 → 仅单侧设备链路中断

• 交换机端口故障、PoE 供电异常 → 端口 Down 无法转发

• 光纤收发光异常、无线信号弱 → 仅影响单个设备

4. 防火墙与安全策略拦截

• 目标设备本地防火墙（Windows 防火墙、iptables 等）禁用 ICMP 响应

• 交换机/路由器 ACL 规则，仅禁止单个 IP 的 Ping 请求

• 终端安全软件、EDR 策略，拦截内网探测报文

5. 二层隔离与 VLAN 配置问题

• 交换机开启端口隔离 → 同 VLAN 内设备无法互访

• 单设备划入错误 VLAN → 逻辑上脱离当前网段

• Trunk 链路未透传对应 VLAN → 数据包被丢弃

6. ARP 协议异常

• ARP 缓存过期/错误 → 路由器无法获取不通设备的 MAC 地址

• ARP 欺骗 → 篡改 MAC 映射，数据包发往错误设备

四、标准化排查步骤（从简单到复杂，10 分钟定位）

第一步：基础校验（1 分钟）

• 确认不通设备已开机，网口/无线指示灯正常

• 核对两台设备的 IP、子网掩码、网关，确保配置一致

• 重启不通设备，排除临时系统异常

第二步：物理链路排查（2 分钟）

• 更换网线、重新插拔，替换交换机端口测试

• 查看交换机端口状态，确认无 ERROR、无 DOWN

• 无线设备检查信号强度，排除干扰或连接失败

第三步：配置与冲突排查（3 分钟）

• 执行 arp -a 查看 ARP 表，检查不通 IP 是否对应唯一的 MAC 地址

• 重新配置静态 IP 或重新 DHCP 获取，避免地址冲突

• 统一子网掩码，优先使用 255.255.255.0 标准掩码

第四步：安全策略排查（2 分钟）

• 临时关闭不通设备的防火墙与安全软件，重测 Ping

• 检查交换机端口隔离、VLAN 配置，确保同网无隔离

• 查看路由器 ACL，确认无针对该 IP 的过滤规则

第五步：高阶诊断（2 分钟）

• 执行 arp -d [IP] 清除 ARP 缓存，重新获取 MAC

• 使用 tracert（Windows）或 traceroute（Linux）定位丢包节点

• 抓包验证 ICMP 请求是否到达目标、是否有回包

五、快速判断口诀（运维速记）

同网 Ping 测单侧断，先看设备开没开；
网线端口轮流换，IP 掩码对一对；
防火墙关试一遍，ARP 清了再重来；
VLAN 隔离查一遍，故障定位快又准。

六、总结

路由器 Ping 同网段一通一不通，本质是两台目标设备的网络状态不一致，而非路由器或整体网络瘫痪。

按以下顺序排查，95% 以上的故障可快速解决：

设备状态 → 物理链路 → IP 配置 → 安全策略 → 二层隔离 → ARP 协议

日常预防建议

• 统一 IP 规划，避免地址冲突

• 规范 VLAN 与端口配置，谨慎使用端口隔离

• 关闭不必要的 ICMP 拦截（或在需要时单独放行）

掌握这套方法，您再遇到“一通一不通”时，就不会再手忙脚乱了。