網絡出現問題時,我們最常用的測試工具就是“ping”命令了。但有時候我們會碰到單方向ping通的現象,例如通過hub或一根交叉線連接的在同一個局域網內的電腦a、 b,在檢查它們之間的網絡連通性時,發現從主機a ping 主機b正常而從主機b ping 主機a時,出現“超時無應答”錯誤。爲什麼呢?
要知道這其中的奧祕,我們有必要來看看ping命令的工作過程到底是怎麼樣的。
假定主機a的ip地址是192.168.1.1,主機b的ip地址是192.168.1.2,都在同一子網內,則當你在主機a上運行“ping 192.168.1.2”後,都發生了些什麼呢?
首先,ping命令會構建一個固定格式的icmp請求數據包,然後由icmp協議將這個數據包連同地址“192.168.1.2”一起交給ip層協議(和icmp一樣,實際上是一組後臺運行的進程),ip層協議將以地址“192.168.1.2”作爲目的地址,本機ip地址作爲源地址,加上一些其他的控制信息,構建一個ip數據包,並在一個映射表中查找出ip地址192.168.1.2所對應的物理地址(也叫mac地址,熟悉網卡配置的朋友不會陌生,這是數據鏈路層協議構建數據鏈路層的傳輸單元——幀所必需的),一併交給數據鏈路層。後者構建一個數據幀,目的地址是ip層傳過來的物理地址,源地址則是本機的物理地址,還要附加上一些控制信息,依據以太網的介質訪問規則,將它們傳送出去。
主機b收到這個數據幀後,先檢查它的目的地址,並和本機的物理地址對比,如符合,則接收;否則丟棄。接收後檢查該數據幀,將ip數據包從幀中提取出來,交給本機的ip層協議。同樣,ip層檢查後,將有用的信息提取後交給icmp協議,後者處理後,馬上構建一個icmp應答包,發送給主機a,其過程和主機a發送icmp請求包到主機b一模一樣。
從ping的工作過程,我們可以知道,主機a收到了主機b的一個應答包,說明兩臺主機之間的去、回通路均正常。也就是說,無論從主機a到主機b,還是從主機b到主機a,都是正常的。那麼,是什麼原因引起只能單方向ping通的呢?
一、安裝了個人防火牆
在共享上網的機器中,出於安全考慮,大部分作爲服務器的主機都安裝了個人防火牆軟件,而其他作爲客戶機的機器則一般不安裝。幾乎所有的個人防火牆軟件,默認情況下是不允許其他機器ping本機的。一般的做法是將來自外部的icmp請求報文濾掉,但它卻對本機出去的icmp請求報文,以及來自外部的icmp應答報文不加任何限制。這樣,從本機ping其他機器時,如果網絡正常,就沒有問題。但如果從其他機器ping這臺機器,即使網絡一切正常,也會出現“超時無應答”的錯誤。
大部分的單方向ping通現象源於此。解決的辦法也很簡單,根據你自己所用的不同類型的防火牆,調整相應的設置即可。
二、錯誤設置ip地址
正常情況下,一臺主機應該有一個網卡,一個ip地址,或多個網卡,多個ip地址(這些地址一定要處於不同的ip子網)。但對於在公共場所使用的電腦,特別是網吧,人多手雜,其中不泛有“探索者”。曾有一次兩臺電腦也出現了這種單方向ping通的情況,經過仔細檢查,發現其中一臺電腦的“撥號網絡適配器”(相當於一塊軟網卡)的tcp/ip設置中,設置了一個與網卡ip地址處於同一子網的ip地址,這樣,在ip層協議看來,這臺主機就有兩個不同的接口處於同一網段內。當從這臺主機ping其他的機器時,會存在這樣的問題:
(1)主機不知道將數據包發到哪個網絡接口,因爲有兩個網絡接口都連接在同一網段;
(2)主機不知道用哪個地址作爲數據包的源地址。因此,從這臺主機去ping其他機器,ip層協議會無法處理,超時後,ping 就會給出一個“超時無應答”的錯誤信息提示。但從其他主機ping這臺主機時,請求包從特定的網卡來,icmp只須簡單地將目的、源地址互換,並更改一些標誌即可,icmp應答包能順利發出,其他主機也就能成功ping通這臺機器了。
