SS5560X,服务器不能访问外网
- 0关注
- 1收藏,70浏览
一、服务器A本地排查
1. 确认基础网络配置与服务器B一致:
Windows:ipconfig /all,检查IP、子网掩码、网关、DNS;
Linux:ip addr/ifconfig,检查同配置项。
2. 连通性测试:
测试网关:ping 网关IP,不通则排查物理链路/交换机端口;
测试公网IP:ping 8.8.8.8,不通则排查路由/NAT;通则排查DNS:nslookup www.baidu.com。
3. 临时关闭本地防火墙/安全软件测试。
二、SS5560X交换机排查
1. 检查ARP表项:display arp | include 服务器A_IP,确认网关与服务器A的ARP绑定正常。
2. 检查NAT配置:
display nat outbound,查看NAT出站规则;
display acl 对应ACL编号,确认服务器A IP在允许范围内。
3. 检查ACL/QoS限制:display acl all、display qos policy interface VlanifX(X为服务器A所在VLAN),确认无针对该IP的阻断规则。
4. 对比服务器B所在VLAN/端口配置,确认无差异。
重要提醒:排查前备份交换机配置:save
谢谢解答!我有之前交换机的备份,直接还原备份行吗?
既然交换机上“同样的配置”,应用在服务器B上已可以上网,说明核心网络策略和出口是正常的,但服务器A无法上网,问题很可能出在那些与IP地址紧密绑定的网络配置上。
第一阶段:快速对比校验(定位率60%)
核对交换机端口VLAN: 两边使用
display vlan对比两个端口的所属VLAN,若服务器A端口不在外网允许的VLAN里,需修改。验证网关IP: 对照B的IP/掩码/网关,检查A的配置。确保A的网关(如
192.168.1.1)与交换机上该VLAN的虚接口IP完全一致。
第二阶段:逐层深度排查(定位率30%)
排查ACL/QoS策略: ACL是“部分IP不能上网”非常常见的原因。请执行
display acl all查看是否配置了访问控制列表(ACL)。如果存在,请检查其中是否有针对服务器A的IP地址设置了deny(拒绝)访问外网的规则。检查策略路由(PBR): 执行
display ip policy-based-route检查是否存在策略路由。若策略定义不完整(如未对去往内网的流量放行),特定源IP的流量可能会被错误地引导或无谓丢弃。
第三阶段:检查服务器自身因素(定位率10%)
检查系统防火墙: 暂时禁用服务器A系统自带的Windows防火墙或iptables等软件,测试上网是否恢复。防火墙规则有时会与网络配置冲突。
验证DNS解析: 在A上执行
nslookup www.baidu.com。若DNS解析失败,尝试在A的网卡设置中手动指定一个公共DNS,如114.114.114.114。
必备的命令排查工具
ping: 验证基本连通性。可尝试Ping网关和外网IP(如223.5.5.5),若网关通但外网IP不通,可能是路由/NAT问题。或者改用ping -t连续Ping,观察是否有丢包或延迟波动。tracert: 追踪路由路径。执行tracert -d 223.5.5.5,定位数据包中断的“最后一跳”。如果第一步就指向网关并超时,问题在网关或策略上。display ip routing-table: 重点排查: 查看路由表。检查是否存在去往0.0.0.0的默认路由(Default Route) 及其下一跳地址是否正确。display current-configuration: 对比配置。通过display current-configuration导出交换机配置,对比Interface(接口)、ACL、PBR等部分,快速发现差异。
谢谢解答,我有之前的备份,请问直接恢复行吗?
谢谢解答,我有之前的备份,请问直接恢复行吗?
SS5560X 服务器 A 内网通、不能上外网,同配置服务器 B 正常 完整排查步骤
一、先快速定位是三层还是 DNS 问题
- ping 外网 IP 比如
223.5.5.5- 能通外网 IP、打不开网页 → 纯 DNS 问题
- ping 外网 IP 超时 → 路由 / 网关 / 策略 / ARP 问题
- ping 自己网关(SS5560X 的 VLANIF 地址)
- 网关不通:终端网关配置错、ARP 异常、交换机端口隔离 / 绑定错
- 网关通、出不去外网:默认路由、上行、ACL、ARP、地址冲突
二、服务器端必查(最常见)
- IP / 子网掩码 / 网关 / DNS 对比服务器 B一字一句比对:
- 子网掩码是否一样
- 网关是否填对(不能填错、不能空)
- DNS 是否填写,建议改成
223.5.5.5/114.114.114.114
- 检查 IP 地址冲突服务器 A cmd:plaintext
arp -a看自己 IP 是否被其他设备占用,IP 冲突能内网通、绝对上不了外网。 - 服务器防火墙 / 杀毒拦截关闭系统防火墙、第三方杀毒安全软件,很多会禁外网出站。
三、SS5560X 交换机侧排查
1. 端口配置对比
- 是否同一个 VLAN
- 是否配置了 port-isolate 端口隔离
- 是否配置了 ACL 入站 / 出站拒绝规则
- 是否做了 MAC 地址绑定、IP+MAC 绑定
display interface GigabitEthernet 1/0/x
display port-isolate interface
display acl all
display mac-address static
2. 看交换机 ARP 表(关键)
display arp | include 服务器AIP
- 无 ARP 条目:服务器没发报文、端口 down、配置错
- ARP 地址异常、和服务器真实 MAC 不一致:IP 地址冲突
3. 检查交换机默认路由
display ip routing-table 0.0.0.0
4. 检查是否有流量限速 / 丢弃
display qos policy interface
display packet-filter interface
四、DNS 专项排查(能 ping 外网 IP 但打不开网页)
- 服务器 A 手动固定 DNS:
- 首选:
223.5.5.5 - 备选:
114.114.114.114
- 首选:
- 清 DNS 缓存:plaintext
ipconfig /flushdns - 浏览器代理关闭,不要开局域网代理。
五、最快解决套路(现场直接用)
- 把服务器 B 的网线插到服务器 A的位置测试
- 能上网:原服务器 A 系统 / 配置问题
- 不能上网:交换机端口 / VLAN/ACL 配置问题
- 把服务器 A 改成和 B 完全一样的 IP、网关、DNS仍不行,基本就是:IP 冲突、MAC 绑定、端口隔离、系统防火墙。
六、最常见根因总结
- 服务器 A 网关 / DNS 填错
- IP 地址冲突
- 接入端口开了 port-isolate / ACL 拦截
- 服务器系统防火墙 / 杀毒禁外网
- 交换机做了 IP+MAC 绑定,没录入 A 的 MAC
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
谢谢解答!我有之前交换机的备份,直接还原备份行吗?