IPv4/IPv6 双栈网络 IPv4 故障闭环排查指南

现象概述

终端显示网络已连接、无线侧无明显告警，但IPv4 全协议栈访问失败（ICMP ping、TCP 连接、HTTP 访问均异常），而IPv6 访问完全正常。该现象核心指向：IPv4 与 IPv6 在地址获取、二层邻居发现、三层转发路径、安全策略/NAT 处理等环节存在差异化故障，需针对 IPv4 协议栈单独闭环排查。

一、 现象确认（终端侧必做四步）

在故障终端上完成以下操作，记录完整结果，为后续排障提供依据：

1. 获取地址信息

• IPv4 维度：检查是否获取到合法 IP 地址、子网掩码、默认网关、DNS 服务器地址；排查是否出现169.254.x.x链路本地地址。

• IPv6 维度：检查是否通过 SLAAC/DHCPv6 获取到全球单播地址、默认路由（default route）、DNS 服务器地址。

• IPv4 单独连通性测试

• • 执行 IPv4 协议 ping 测试：ping -4 <IPv4 网关地址>、ping -4 <IPv4 目标 IP>

  • 观察是否有丢包、延迟异常或完全不通。

• IPv6 单独连通性测试

• • 执行 IPv6 协议 ping 测试：ping -6 <IPv6 网关地址>、ping -6 <IPv6 目标 IP>

  • 确认 IPv6 基础连通性正常，作为对比基准。

• 应用层协议对比测试

• • IPv4 应用层测试：curl -4 <目标域名>或curl -4 <IPv4 目标地址:端口>

  • IPv6 应用层测试：curl -6 <目标域名>或curl -6 <IPv6 目标地址:端口>

  • 对比两层协议的访问结果，判断故障是否延伸至应用层。

  二、 根因分支与验证处置方案

  分支 A：DHCPv4 地址分配异常

  典型表现

  • 终端 IPv4 地址为空，或获取到169.254.x.x网段地址；

  • IPv6 地址分配正常（SLAAC/DHCPv6 不受影响）；

  • 无法 ping 通 IPv4 网关。

  验证操作

  1. 在 DHCPv4 服务器上执行命令，查看地址池统计信息：确认地址池是否启用、剩余地址数量、租约时长配置。

  2. 查看 DHCPv4 已分配地址列表：确认故障终端是否在租约列表中，是否存在 IP 地址冲突。

  3. 在终端侧抓包：检查是否发出 DHCP Discover 报文，是否收到 DHCP Offer/Ack 报文。

  处置方向

  1. 检查 DHCPv4 服务器配置：确认地址池网段、子网掩码、网关、DNS 等 Option 参数配置正确；排查地址池是否耗尽。

  2. 检查 DHCP Relay 配置：若终端与 DHCP 服务器跨网段，确认 Relay 代理的接口 VLAN 绑定正确、指向的 DHCP 服务器地址无误。

  3. 检查二层安全特性：排查交换机是否启用 DHCP Snooping、DHCP Guard 等功能，是否误将合法 DHCP 报文拦截；确认信任端口配置正确。

  分支 B：IPv4 网关二层不可达（ARP/VLAN/二层路径故障）

  典型表现

  • 终端已获取合法 IPv4 地址和网关地址，但ping -4 <IPv4 网关>失败；

  • IPv6 可正常 ping 通网关（NDP 邻居发现机制与 ARP 独立，不受影响）；

  • 无线侧无告警，但二层转发存在隐性故障。

  验证操作

  1. 终端侧查看 ARP 缓存表：arp -a，检查是否存在网关 IPv4 对应的 MAC 地址；若不存在或为incomplete状态，说明 ARP 解析失败。

  2. 网关侧（交换机/路由器）查看 ARP 表：过滤网关接口下的 ARP 条目，确认是否学习到故障终端的 IP-MAC 映射关系。

  3. 查看接口流量统计：在终端上联 AP、交换机接口执行流量统计查询，检查是否存在异常丢包、错误包（如 CRC 错误、帧过长）计数增长。

  判断要点与处置方向

  1. VLAN 配置检查

     确认终端所在接口的 Access VLAN 与网关接口的 VLAN 一致；Trunk 链路是否放行该 VLAN ID。

  2. 二层转发故障排查

     检查交换机 MAC 地址表是否学习异常（如 MAC 漂移、端口安全限制）；排查广播域是否存在风暴抑制、未知单播丢弃等配置。

  3. ARP 相关故障处置

     排查是否存在 ARP 欺骗、ARP 限速过严导致解析失败；网关侧可手动绑定终端 IP-MAC 地址进行测试。

  分支 C：IPv4 三层路径异常（路由/PBR 引流故障）

  典型表现

  • 终端可 ping 通 IPv4 网关，但无法 ping 通跨网段 IPv4 目标地址；

  • IPv6 跟踪路由（traceroute6）路径正常，IPv4 跟踪路由（traceroute4）路径异常、中断或跳转到非预期设备；

  • 内网 IPv4 互访正常，外网 IPv4 访问失败（或反之）。

  验证操作

  1. 终端侧跟踪路由测试

  • IPv4 路径跟踪：traceroute -4 <IPv4 目标 IP>

  • IPv6 路径跟踪：traceroute -6 <IPv6 目标 IP>

  • 对比两条路径的跳转节点，定位 IPv4 路径中断的具体跳数。

• 网络侧配置检查

• • 查看 IPv4 策略路由（PBR）配置：确认是否存在针对终端网段的引流规则，是否误将内网流量引向公网出口。

  • 查看 IPv4 路由表：过滤目标 IP 网段的路由条目，确认路由是否存在、下一跳是否可达、路由优先级是否合理。

  • 对比 IPv6 路由表配置：确认 IPv6 路由无类似异常。

  处置方向

  1. 策略路由优化

     检查 PBR 规则的匹配条件（源地址、目的地址、协议），确保内网互访流量不被错误引流；添加必要的目的地址例外规则。

  2. 路由配置修复

     补充缺失的 IPv4 路由条目；调整路由优先级，避免低优先级路由覆盖有效路由；确认下一跳设备可达性。

  3. 三层接口检查

     确认网关三层接口状态为Up/Up；排查是否存在 ACL 规则在三层接口拦截 IPv4 流量。

  分支 D：IPv4 被安全策略或 NAT 拦截（高频故障点）

  典型表现

  • 终端可 ping 通网关，跟踪路由显示路径可达，但应用层访问失败；

  • 防火墙会话表中，IPv4 会话仅存在正向报文计数，反向报文计数为 0；

  • IPv6 无需 NAT 或策略链路独立，因此访问正常。

  关键验证操作

  1. 查看防火墙 IPv4 会话表

     按终端 IPv4 地址和目标 IPv4 地址过滤，检查会话状态：

  • 异常状态：会话未建立（无匹配策略）；单向会话（正向有流量，反向无流量）。

  • 正常状态：会话双向报文计数均增长，状态为ESTABLISHED。

• 查看 NAT 会话表

  若 IPv4 访问依赖 NAT，确认终端私网地址是否正确转换为公网地址；检查 NAT 地址池是否耗尽、转换规则是否匹配。

• 策略命中计数检查

  查看防火墙安全策略的命中次数，确认 IPv4 流量是否命中允许策略，而非隐式拒绝策略。

• 处置方向（按优先级排序）

  1. 补充安全策略放行规则

     在防火墙/路由器上，添加终端所在网段到目标网段（或互联网）的 IPv4 显式放行策略，包含 ICMP、TCP、UDP 等协议；避免流量命中隐式拒绝规则。

  2. 修复 NAT 配置缺陷

     确认 NAT 源地址池包含终端 IPv4 网段；检查 NAT 转换方向（源 NAT/目的 NAT）是否正确；排查 NAT 地址池是否耗尽。

  3. 解决路径不对称问题

     状态防火墙和 NAT 要求流量往返路径一致，需确保 IPv4 流量的出接口与回包入接口相同；调整 PBR 或路由，避免路径分叉。

  4. 排查 IPv4 特定安全限制

     检查是否存在针对 IPv4 的 IPS/IDS 规则、流量限速、连接数限制等配置，是否误拦截合法流量。

  三、 推荐排障顺序（最短闭环路径）

  1. 第一步：终端地址合法性校验

     检查 IPv4 地址、网关是否合理，排除 DHCPv4 分配故障（分支 A）。

  2. 第二步：网关二层连通性测试

     执行ping -4 <IPv4 网关>，不通则定位二层故障（分支 B）。

  3. 第三步：跨网段三层路径测试

     执行traceroute -4 <IPv4 目标 IP>，路径异常则定位三层路由/PBR 故障（分支 C）。

  4. 第四步：安全策略与 NAT 检查

     查看防火墙会话表和 NAT 会话表，单向会话或无会话则定位分支 D 故障。

  5. 第五步：抓包补强证据

     若以上步骤未定位根因，在 AP 上联口、防火墙内侧口进行 IPv4 报文抓包，确认报文在哪个节点丢失、是否被修改。

  四、 修复后验证（双协议+双层次验证）

  修复故障后，必须完成以下验证，确保 IPv4 功能完全恢复且无回退风险：

  1. 网络层验证

  • IPv4：ping -4 <IPv4 网关>、ping -4 <IPv4 目标 IP>，确保丢包率为 0、延迟正常。

  • IPv6：ping -6 <IPv6 网关>、ping -6 <IPv6 目标 IP>，确保 IPv6 功能不受修复操作影响。

• 应用层验证

• • IPv4：curl -4 <目标域名>、访问网页、登录业务系统，确认应用层正常。

  • IPv6：curl -6 <目标域名>，对比验证 IPv6 服务可用性。

• 设备侧状态验证

• • 确认防火墙 IPv4 会话双向报文计数均衡增长。

  • 若依赖 NAT，确认 NAT 会话稳定建立，地址转换正常。

  • 检查接口流量统计，无异常丢包、错误包。

  五、 常见排障误区（避坑指南）

  1. 误区 1

     仅因 IPv6 正常就判定网络恢复，忽略 IPv4 协议栈的独立故障。

  2. 误区 2

     只做 ping 测试，不进行应用层对比，忽略 HTTP/TLS/DNS 等应用层协议的差异化限制。

  3. 误区 3

     只检查安全策略配置，不查看策略命中计数和会话双向计数，误判策略已生效。

  4. 误区 4

     不验证路径对称性，在状态防火墙/NAT 环境中，路径不对称会导致会话无法建立，这是 IPv4 访问失败的高频隐性原因。

  不想错过文章内容？读完请点一下“在看”，加个“关注”，您的支持是我创作的动力

  期待您的一键三连支持（点赞、在看、分享~）