我最近在河南一家知名IDC公司郑州易方科贸（861.cn）托管的一台服务器 发现一个让人头皮发麻的故障-

最让人摸不着头脑的不是公网卡顿，而是内网诡异不通：同网段机器互访正常、跨网段完全 ping 不通；有时通有时断；能 ping IP 但无法访问服务；新装服务器全网失联、虚拟机互通异常。

绝大多数人遇到跨网段不通，只会瞎改 IP、重启网卡，根本抓不住核心。其实内网跨网段故障，99% 只归为两类问题：路由异常、ARP 异常。

本文给你一套从原理、现象、命令排查到根治的完整方案，彻底搞定内网互通、跨网段访问故障，适配云主机、物理机房、虚拟机集群。

一、先搞懂：内网跨网段通信的核心逻辑

同网段通信：不需要网关，机器直接通过ARP 解析 MAC 地址直连互通。

跨网段通信：必须依赖路由转发，流程如下：

1. 本机判断目标IP是否属于当前网段，不属于则丢给网关

2. 本机通过 ARP 获取网关 MAC 地址，把数据包发给网关

3. 网关通过路由表转发至目标网段

4. 目标机器回包，同样走自身网关原路返回

结论：跨网段不通，要么是路由走错了，要么是ARP 解析乱了。

二、快速区分：路由故障 vs ARP 故障（秒判根因）

1. 路由故障典型现象

• 同网段互通正常，所有跨网段IP全部不通

• ping 跨网段IP 直接超时/Destination Net Unreachable

• 本机无默认路由、网关配置错误

• 网关设备无回程路由，能发出去、收不回来

2. ARP 故障典型现象（内网玄学故障源头）

• 内网时通时断、断断续续

• 能 ping 通IP，但是无法建立 TCP 服务连接

• 同网段偶尔不通、跨网段随机丢包

• IP 正常，但 MAC 地址解析异常、混乱、冲突

ARP 问题是内网最隐蔽、最容易被误判的故障，远超防火墙、端口问题。

三、第一步：路由问题全套排查（跨网段不通首选）

跨网段不通，优先查路由！路由是跨网段通信的基础。

1. 查看本机路由表

ip route # 或 route -n

重点看两个核心：

• default via 网关IP：默认路由必须存在，没有默认路由所有外网、跨网段全部不通

• 本机网段路由：确保网卡对应网段路由正常，无冲突路由

2. 常见路由错误场景

• 无默认路由：只能同网段通信，无法跨网段、无法上网

• 默认路由错误：网关IP填错，数据包转发到无效设备

• 多网卡路由冲突：服务器双网卡，两条默认路由，转发混乱

• 回程路由缺失：A能ping通B，B ping不通A（单向通）

3. 路由故障快速修复

# 临时添加默认网关 ip route add default via 正确网关IP # 临时添加静态路由（指定网段走指定网关） ip route add 目标网段 via 网关IP # 清空错误路由 ip route del default

临时生效可直接恢复互通，永久生效需修改网卡配置文件。

4. 排查网关设备路由

如果本机路由正常，依旧跨网段不通：90%是网关没有回程路由。

现象：服务器能往外 ping，外网/跨网段无法 ping 进来。

解决：在交换机/路由器/防火墙网关设备上，添加目标网段回程静态路由。

四、第二步：ARP 问题全套排查（内网抖动、时通时断）

路由没问题但内网依旧异常，100% 是 ARP 解析紊乱、冲突、欺骗导致。

1. 查看本机 ARP 缓存表

arp -a # 或 ip neigh

正常状态：一个IP对应唯一固定MAC

异常状态（故障实锤）：

• 同一个IP频繁切换不同MAC地址

• 多个IP对应同一个MAC地址

• 网关IP对应的MAC不是真实网关MAC（ARP欺骗/冲突）

• ARP 状态为 INCOMPLETE、FAILED（解析失败）

2. 三大经典 ARP 故障

（1）IP 地址冲突（最高频）

局域网内两台机器共用同一个IP，导致 ARP 来回漂移，网络时通时断。

表现：ping 间歇性超时、服务连接不稳定、内网抖动严重。

（2）ARP 欺骗/恶意广播

内网设备伪造网关ARP报文，导致全网机器把流量发给错误设备，全网断网、卡顿。

（3）网关 ARP 缓存异常

交换机/网关ARP缓存错乱，导致跨网段转发丢包、不通。

3. ARP 故障快速修复命令

# 清空本机ARP缓存 ip neigh flush all # 静态绑定网关ARP（根治网关漂移） arp -s 网关IP 网关MAC

企业环境建议在交换机开启ARP 防护、IP-MAC绑定，彻底杜绝ARP冲突。

五、双网卡服务器专属坑（超高发生产故障）

服务器配置内网+外网双网卡，极易出现路由紊乱、跨网段不通：

• 两张网卡同时配置默认路由，路由跳转混乱

• 外网网卡网关影响内网跨网段转发

• 内网无静态路由，跨网段流量走外网网卡导致不通

最佳规范：外网网卡配置默认路由，内网网卡只配置静态网段路由，不配置默认网关。

六、防火墙/ACL 隐性拦截（容易归罪于路由ARP）

很多看似路由不通的问题，实则是网段拦截策略：

• 交换机 VLAN 隔离，不同 VLAN 默认禁止互通

• 防火墙域间策略、ACL 规则拦截跨网段IP

• 服务器防火墙放行单网段，拦截跨网段IP

排查建议：临时清空防火墙策略、检查VLAN配置、核对ACL放行规则。

七、全网标准化排查流程（直接套用）

1. 测同网段互通：同网段通、跨网段不通 → 优先查路由

2. 查看路由表：检查默认路由、静态路由是否缺失、错误

3. 检查网关配置：核对本机网关、网关回程路由

4. 查看ARP缓存：排查IP冲突、MAC漂移、ARP解析失败

5. 清空ARP缓存测试：解决临时ARP紊乱

6. 排查双网卡路由冲突：规范内外网路由规则

7. 检查VLAN/ACL/防火墙：排除人工策略拦截

八、长期根治内网互通问题的最佳实践

• 内网核心设备开启IP-MAC 绑定、ARP防攻击

• 禁止终端私自配置静态IP，启用DHCP统一分配

• 双网卡服务器严格区分内外网路由，杜绝双默认路由

• 核心网关设备配置完整回程静态路由

• 划分规范VLAN，配置合理域间互通策略

总结

内网跨网段不通、互通异常，不通看路由，抖动看ARP。