同主机 VM 之间网络不通?三步排查防火墙 / VLAN/IP 一看就懂

在 VMware ESXi 日常运维中，经常遇到同一台 ESXi 主机上的两台虚拟机互相 ping 不通、无法内网访问的情况，很多人第一时间怀疑网卡故障或系统问题，其实大多不是硬件故障。核心排查思路非常固定：优先检查虚拟机系统内部防火墙规则、端口组 VLAN 标签配置、两台 VM 的 IP 是否在同一网段，这三项是造成虚拟机之间网络不通的最主要原因。本文按新手友好的顺序，由浅入深讲解排查步骤、常见错误点和修复方法，结构清晰、实操性强，照着一步步排查，就能快速解决同主机、同网段 VM 网络不通问题。

一、先搞懂：VM 之间网络不通，90% 就这三个原因

不用纠结复杂架构，记住三个核心关键点就行：

虚拟机系统防火墙拦截：Windows/Linux 系统自带防火墙默认禁 ping、禁内网访问，明明网络正常也不通;

VLAN 配置不一致：两台 VM 一个带 VLAN 标签、一个不带，或是 VLAN ID 不一样，被虚拟交换机隔离;

IP 网段不匹配：两台 VM 不在同一子网、子网掩码设置错误、IP 冲突，导致三层无法通信。

只要把这三项逐一排查，基本都能定位并解决问题。

二、第一步：检查两台 VM IP 是否在同一网段

这是最基础、最先要排查的一项，IP 不在同一网段，后面再怎么设置都不通。

排查方法

分别进入两台虚拟机，查看 IP 地址、子网掩码、网关;

确认三点：

两台 VM IP 网段一致，例如都是 192.168.1.0/24;

子网掩码相同，不能一个 255.255.255.0、一个 255.255.0.0;

不存在IP 地址冲突，内网不能两台机器同 IP。

常见问题

一台手动静态 IP，一台自动 DHCP，不在一个网段;

子网掩码填写错误，看似同 IP 段实际不在同一子网;

虚拟机多网卡，访问走了错误网卡路由。

解决

修改静态 IP 统一网段、统一子网掩码，清理 IP 冲突，关闭多余无用虚拟网卡。

三、第二步：检查 ESXi 端口组 VLAN 配置

IP 没问题，接下来排查 ESXi 层面的 VLAN 隔离，这是虚拟机之间隔离的高发点。

排查逻辑

同一虚拟交换机 vSwitch 下：

两台 VM 端口组 VLAN ID 必须完全一致;

一个设了 VLAN 10、一个设为 0(无 VLAN)，直接互相隔离，肯定 ping 不通;

哪怕同在 vSwitch0，端口组 VLAN 不一样，照样无法通信。

实操检查步骤

登录 ESXi Web 管理界面;

进入「网络」—「端口组」;

分别查看两台虚拟机绑定的端口组;

记录各自 VLAN ID，必须相同。

修复方式

统一修改两台 VM 所属端口组的 VLAN ID，要么都为 0 无 VLAN，要么都配置相同 VLAN 编号。

建议同业务、同内网 VM 放在同一个端口组，从根本避免 VLAN 错乱。

四、第三步：检查虚拟机系统内部防火墙规则

IP 对了、VLAN 一致，还不通，基本就是系统防火墙拦死了。

Windows 虚拟机排查

关闭 Windows Defender 防火墙专用网络、公用网络;

放行 ICMP 回显请求(允许 ping);

检查是否有第三方安全软件、杀毒软件拦截内网互访。

快速测试：临时关闭防火墙，再互相 ping，通了就是防火墙规则问题。

Linux 虚拟机排查

检查 firewalld/iptables 是否禁用了 ping 和内网端口;

临时命令关闭防火墙测试：

plaintext

systemctl stop firewalld

放行 ICMP、业务端口，不要默认全拒绝。

很多 Linux 默认防火墙策略严格，只允许本机访问，拒绝其他 VM 内网连接。

五、额外补充：容易忽略的次要排查点

前面三项排查完还不通，再看下面几项：

两台 VM 是否绑定同一个虚拟交换机 vSwitch;

虚拟网卡是否正常连接、是否勾选 “已连接”“启动时连接”;

虚拟机网卡模式是否错误，比如设成仅主机、私有网络，而非桥接 / 虚拟机网络;

路由表异常，默认路由指向错误网关。

六、标准排查顺序(直接照着用)

先看两台 VM IP 网段、子网掩码、IP 冲突

再查 ESXi 端口组 VLAN 标签是否一致

最后关闭 / 配置 系统防火墙放行规则

按这个顺序，从易到难，最快定位问题。

七、常见误区避坑

以为同在一个局域网就一定互通，忽略 VLAN 隔离;

只看 IP 一样，不看子网掩码;

只查 ESXi 配置，忘记虚拟机内部系统防火墙;

给 VM 分属不同端口组，却不统一 VLAN ID;

一台 DHCP、一台静态 IP，网段混乱不自知。

总结

虚拟机之间网络不通，不用瞎折腾，记住核心三点：先确认两台 VM IP 在同一网段无冲突，再检查 ESXi 端口组 VLAN 配置保持一致，最后关闭或配置系统防火墙放行内网访问。按 IP→VLAN→防火墙这个固定顺序逐一排查，绝大多数 VM 内网不通问题都能快速解决，适合日常 ESXi 运维常态化排查使用。

注·部分内容为AI辅助生成