在同一台交换机上，同网段，主机A能ping通主机B，主机B却ping不通主机A

这是一个典型的单向通信问题，在二层交换环境中，最常见的原因是主机A的防火墙拦截了ICMP回显请求（或应答），或者交换机上的端口配置导致单向转发。以下是系统的排查步骤：

1️⃣ 确认基本IP配置（虽然同网段，但子网掩码必须一致）

在主机A和主机B上分别执行：

• Windows: ipconfig

• Linux: ip addr show

检查：

• 两主机IP是否在同一子网（例如A: 192.168.1.10/24，B: 192.168.1.20/24）

• 子网掩码是否相同（如255.255.255.0）

• 如果掩码不一致，可能导致认为对方不在同一网段而走网关（即使交换机直连）

2️⃣ 检查主机A的防火墙（最常见原因）

A能ping通B，说明从A发出的ICMP请求到达B，B也发出了应答；但B收不到A的应答，说明应答被A丢弃。通常是因为A的防火墙开启了“阻止入站ICMP”规则。

• Windows：
  打开“Windows Defender 防火墙” → 高级设置 → 入站规则，找到“文件和打印机共享(回显请求 - ICMPv4-In)”，确保已启用（或允许）。

• Linux：
  执行 sudo iptables -L 查看是否有丢弃ICMP的规则。
  临时放行：sudo iptables -I INPUT -p icmp --icmp-type echo-request -j ACCEPT（如需永久保存需配合相应工具）

3️⃣ 检查主机B的ARP表

在主机B上执行：

• Windows: arp -a

• Linux: arp -n

查看是否有主机A的IP与MAC对应记录。如果缺少，说明B未学习到A的MAC地址，可能导致B的ping请求无法封装二层帧。

尝试手动添加：

• Windows: arp -s <A的IP> <A的MAC>

• Linux: sudo arp -s <A的IP> <A的MAC>

或者清除ARP缓存后重新ping：

• Windows: arp -d 然后 ping A的IP

• Linux: sudo ip neigh flush all 然后 ping A的IP

4️⃣ 检查交换机端口配置

虽然同交换机，但某些配置会导致单向通信：

• 端口安全（Port Security）：如果A的端口开启了安全，且设置了MAC地址限制，可能导致交换机丢弃来自A的帧。

• ACL（访问控制列表）：交换机上可能对特定端口或VLAN应用了ACL，阻止了某个方向的流量。

• VLAN配置：确认A和B的端口属于同一VLAN，且VLAN的接口状态正常。

• 风暴控制或广播抑制：极少数情况可能导致ICMP被限速。

检查方法：

• 登录交换机，执行 display interface 查看端口状态、错误计数。

• display arp 查看交换机的ARP表是否正常。

• display mac-address 查看MAC地址表，确认A和B的MAC都学习到了正确的端口。

• 如果发现MAC地址在错误端口飘移，可能存在环路或MAC冲突。

5️⃣ 抓包分析（最直接）

在主机A上抓包，观察是否收到来自B的ICMP请求，以及A是否发出了应答。

• Windows：可用 Wireshark 或 netsh trace。

• Linux：sudo tcpdump -i any icmp

典型场景：

• A收到B的请求，但没有发出应答 → A的防火墙丢弃。

• A发出了应答，但B收不到 → 交换机在反向路径丢弃（检查交换机ACL、端口错误计数）。

• A根本没收到请求 → 交换机在A端口丢弃了B的包（检查交换机端口配置）。

6️⃣ 其他可能

• MAC地址冲突：如果主机A的MAC地址与网络中另一设备冲突，交换机MAC表会震荡。

• 双工/速率不匹配：虽然通常会导致丢包而非单向，但可检查端口协商状态。