网络分区后连不上服务?先别急着重启
前两天同事小李遇到个问题,公司内网突然分成了两块,他那台开发机完全访问不了数据库服务器。ping不通,ssh连不上,看着监控面板干瞪眼。这种情况其实挺常见,尤其是在企业网络或家用路由器设置不当的时候。
网络分区说白了就是原本能互相通信的设备,因为某些原因被隔开了。可能是一条错误的防火墙规则,也可能是交换机配置出了岔子,甚至是你家孩子不小心拔了网线。
第一步:确认是不是真的分区
别一上来就怀疑是网络分区,先从自己设备查起。试试能不能上外网,如果连百度都打不开,那可能是你本地网络出问题了。换台设备ping一下目标主机,比如从另一台电脑或者手机热点试试。
要是只有你这台机器连不上,大概率是本机问题。检查下IP地址配对没,有没有误开代理,DNS是不是设错了。
第二步:用traceroute看断在哪
在命令行里输入:
traceroute 192.168.10.100把后面的IP换成你要访问的服务器地址。这条命令会显示数据包经过的每一跳。如果在某一层卡住了,说明问题出在那个节点之后。比如前三跳都正常,第四跳开始超时,那很可能是第三跳设备后的网络出了问题。
常见原因和应对方法
有时候路由器策略更新后,ACL(访问控制列表)会误拦内部流量。前几天小区宽带升级,我家Wi-Fi突然不能访问NAS,查了半天发现是运营商推送的新固件默认开启了“局域网隔离”。
如果是你自己管的网络设备,登录路由器或交换机看看最近有没有配置变更。特别是VLAN划分、子网掩码改错、静态路由丢失这些低级但高频的问题。
企业环境里还可能遇到STP(生成树协议)收敛异常,导致交换机临时阻断端口。这时候等几分钟再试,或者手动重启对应端口。
DHCP冲突也可能引发假分区
一台设备拿到了错误的IP段,看起来就像被分区了。比如本该是192.168.1.x的设备拿到了169.254开头的自分配地址,自然没法和其他人通信。这时候执行以下命令:
ipconfig /release
ipconfig /renewWindows用户用上面的,Mac或Linux换成dhclient相关命令就行。
实在搞不定,抓个包看看。用Wireshark监听一下,如果看到ARP请求发出去没人回应,基本可以锁定是二层网络问题,物理连接或者交换机转发表出错了。
别一出问题就找运维甩锅,有些小毛病自己动手十分钟就能解决。多看日志,多用基础命令,比啥都强。