网络出故障时,四大表 (MAC表、ARP表、路由表、转发表) 怎么查
说正题之前,我们先来假设一个场景:
场景假设:
一台华为设备突然上不了网,或者访问某个 IP 不通。
你会怎么排查?
别慌,兄弟,按这个顺序来:
第一步:先看 MAC 地址表(交换机上)
看它的 MAC 学没学到?有没有挂错口?
- 查看命令(华为):
display mac-address | include <MAC地址>
- 没查到 → MAC 没学到,设备压根没发包 or 学到错误接口
- 查到了但出接口错 → 插错交换机口 or 被欺骗了
TIPS小技巧:
如果 MAC 表是动态的,插拔一下网线或 ping 网关,看看有没有刷新,没动静说明设备没在正常发包。
第二步:看 ARP 表(路由器 or 三层交换机)
看是不是没ARP,或者ARP错了
- 查看命令:
display arp | include <IP地址>
- 没有表项 → 发不起包,可能对方没响应 or 广播被挡
- MAC 地址不对 → ARP 污染,有人攻击?
- 表项是 incomplete → 请求出去了没人回
TIPS小技巧:
可以用 arp -a 本地查看当前缓存,或者用 display arp all 查看全表是否超出上限。
第三步:看路由表(设备能不能找到路)
- 查看目标 IP 有没有匹配路由项
display ip routing-table | include <目的网段>
- 没匹配 → 路由没通、配置漏了
- 有匹配但下一跳错 → 包发错地方了
- 下一跳是 Unreachable / Reject → 人为限制了这条路
TIPS小技巧:
输入以下命令,系统会直接告诉你“这包要怎么走”
display ip routing-table <目的IP>
第四步:看 FIB(Forwarding 信息)
如果路由表正常,但包就是发不出去,那就是 FIB 问题
- 查看命令
display fib | include <目的IP>
- FIB 里没有 → 路由表没同步下来
- 下一跳信息缺失 → 系统内部处理有问题 or TCAM 爆了
TIPS小技巧:
某些高性能路由器可以看到 TCAM 使用率,display forward-resource 看下转发资源够不够。
进阶技巧:
表查得准,问题排得快!
总结一条表排查口诀:
MAC 看门口,
ARP 看邻居,
路由看地图,
FIB 看执行。
- 本地通信不通 → 重点查MAC & ARP
- 跨网段不通 → 查路由表 & FIB
- 查不到 MAC → 看对端有没有发包(抓包 or 看 LED)
- ARP 老是错 → 静态配 or 开 ARP 防攻击
- 路由查不通 → 是不是少打了一条静态路由?协议学没学到?
最后,再多说几句:会查表 ≠ 会排障
查表是工具,用对才是关键:
- 一看到“ping 不通”,别上来就重启设备,先从这四张表一查,十有八九能发现问题点
- 会查 MAC 和 ARP,你就能搞定局域网故障
- 会看路由表和转发表,你能排跨网段、上网、出口的问题
- 真正会用四张表,你就是“网络分析定位”那个能扛事的人
以上是网络故障时,给出的一些排查思路,希望能够帮到你!
