虚拟机无法ping通外网，kvm虚拟机ping不通外网

***：虚拟机（包括kvm虚拟机）存在无法ping通外网的情况。这一问题可能由多种因素导致，如网络配置错误、虚拟网络设备故障、路由设置问题或者防火墙限制等。解决此问题需要对虚拟机的网络设置、宿主机网络环境、相关网络协议及安全策略等多方面进行排查，以确定具体原因并采取相应的修复措施。

本文目录导读：

1. 网络配置基础
2. 故障排查步骤
3. 解决方案

《KVM虚拟机Ping不通外网的故障排查与解决方案》

KVM（Kernel - based Virtual Machine）是一种开源的系统虚拟化模块，它允许在单个主机上运行多个虚拟机，在实际使用中，有时会遇到KVM虚拟机无法ping通外网的情况，这可能会影响到虚拟机中服务的正常运行以及网络相关的测试和开发工作，本文将深入探讨KVM虚拟机ping不通外网的可能原因，并提供详细的排查和解决步骤。

网络配置基础

1、KVM网络模型

桥接模式（Bridge Mode）

- 在桥接模式下，虚拟机的网络接口直接连接到主机的物理网络接口所在的网络，虚拟机就像主机所在网络中的一台独立主机，它有自己的IP地址，可以直接与网络中的其他设备通信，包括访问外网，这种模式的优点是虚拟机网络配置简单，网络性能较好，适合需要与外部网络进行大量交互的场景，如服务器应用。

NAT模式（Network Address Translation）

- NAT模式下，虚拟机通过主机进行网络地址转换来访问外部网络，虚拟机有一个内部的私有IP地址，主机充当虚拟机与外部网络之间的路由器，这种模式适合于虚拟机不需要直接暴露在外部网络中的场景，如测试环境。

仅主机模式（Host - Only Mode）

- 仅主机模式下，虚拟机只能与主机以及同一仅主机网络中的其他虚拟机通信，无法直接访问外网，这种模式主要用于创建隔离的网络环境进行内部测试等。

2、IP地址分配与子网掩码

- 无论是哪种网络模式，虚拟机都需要正确的IP地址分配，IP地址由网络部分和主机部分组成，子网掩码用于区分这两部分，如果IP地址和子网掩码配置错误，可能会导致网络通信故障，包括无法ping通外网，在一个子网掩码为255.255.255.0的网络中，IP地址192.168.1.100的主机部分是100，网络部分是192.168.1.0，如果虚拟机的IP地址被错误地设置为192.168.2.100（假设主机所在网络为192.168.1.0/24），它可能无法与外网通信。

三、可能导致KVM虚拟机ping不通外网的原因

（一）网络模式相关问题

1、桥接模式下的故障点

物理网络接口故障

- 如果主机的物理网络接口出现故障，例如网线未插好、网络接口硬件损坏等，虚拟机即使配置为桥接模式也无法访问外网，在这种情况下，主机本身可能也无法正常访问外网，可以通过检查主机网络接口的连接状态，查看主机是否能够ping通默认网关来初步判断，在Linux主机上，可以使用ifconfig命令查看网络接口状态，使用ping命令ping默认网关（如ping 192.168.1.1，假设默认网关为192.168.1.1）。

桥接设置错误

- 如果在设置桥接时没有正确配置，例如没有将虚拟机的网络接口正确绑定到桥接接口，虚拟机将无法通过桥接模式访问外网，在创建桥接接口时，需要确保将主机的物理网络接口添加到桥接中，在使用brctl工具创建桥接接口时，命令brctl addif br0 eth0（假设桥接接口为br0，物理网络接口为eth0）如果执行错误，可能会导致问题。

2、NAT模式下的问题

NAT规则配置错误

- 在NAT模式下，主机需要配置正确的网络地址转换规则，以便虚拟机能够访问外网，如果这些规则配置错误，例如没有正确设置源地址转换或者端口转发规则，虚拟机将无法ping通外网，在Linux主机上，iptables命令常用于配置NAT规则，如果iptables -t nat -L命令显示的规则不完整或者错误，可能需要重新配置，正确的规则可能包括iptables -t nat -A POSTROUTING -s 192.168.122.0/24 -o eth0 -j MASQUERADE（假设虚拟机所在的NAT网络为192.168.122.0/24，主机的物理网络接口为eth0），如果这条规则缺失或者源网络地址设置错误，就会导致问题。

虚拟机网关设置错误

- 虚拟机在NAT模式下需要将主机的NAT网络接口的IP地址设置为网关，如果这个网关设置错误，虚拟机将无法找到通往外网的路由，如果主机的NAT网络接口IP地址为192.168.122.1，而虚拟机的网关被错误地设置为192.168.122.2，虚拟机将无法ping通外网。

（二）防火墙相关问题

1、主机防火墙阻止虚拟机流量

- 主机上的防火墙可能会阻止虚拟机的网络流量，无论是iptables（在Linux系统中）还是Windows防火墙（在Windows主机上），如果配置不当，都可能导致这种情况，在Linux主机上，如果有一条iptables -A FORWARD -j DROP规则，它可能会阻止虚拟机的网络流量转发到外网，在排查时，可以先暂时关闭主机防火墙（在测试环境下），看虚拟机是否能够ping通外网，如果关闭防火墙后虚拟机可以ping通外网，那么就需要调整防火墙规则，例如添加允许虚拟机网络流量的规则。

2、虚拟机内部防火墙限制

- 虚拟机内部如果安装了防火墙，并且防火墙规则限制了对外网的访问，也会导致ping不通外网的情况，在虚拟机中安装了firewalld（在CentOS等系统中）或者ufw（在Ubuntu等系统中），如果没有正确配置允许出站流量的规则，就会出现问题，对于firewalld，可以使用firewall - cmd - - add - service = ssh - - permanent等命令来添加允许的服务（这里以SSH服务为例），对于ufw，可以使用ufw allow out 80/tcp来允许向外访问80端口（这里以HTTP端口为例）。

（三）路由相关问题

1、主机路由表错误

- 如果主机的路由表配置错误，可能无法正确地将虚拟机的网络流量转发到外网，在多网卡的主机上，如果默认路由设置错误，可能会导致网络流量走向错误的网络接口，在Linux主机上，可以使用route - n命令查看路由表，如果默认路由指向了一个不可用的网络接口或者网关，需要重新设置路由，如果默认路由显示为0.0.0.0 0.0.0.0 192.168.2.1（假设192.168.2.1是一个错误的网关），而正确的网关应该是192.168.1.1，就需要使用route del - net 0.0.0.0 netmask 0.0.0.0 gw 192.168.2.1和route add - net 0.0.0.0 netmask 0.0.0.0 gw 192.168.1.1命令来修改路由表。

2、虚拟机路由设置错误

- 虚拟机内部也需要正确的路由设置才能访问外网，如果虚拟机没有正确设置默认路由，它将不知道如何将数据包发送到外网，在虚拟机中，如果没有设置默认路由，使用ping命令ping外网IP时，会显示“Destination Host Unreachable”，可以使用route add default gw <网关IP>命令在虚拟机内部添加默认路由（假设<网关IP>是正确的网关地址）。

（四）DNS相关问题

1、主机DNS配置错误

- 如果主机的DNS配置错误，可能会影响虚拟机的域名解析，从而导致虚拟机看起来无法ping通外网（实际上可能是域名无法解析为IP地址），在Linux主机上，/etc/resolv.conf文件中定义了DNS服务器的地址，如果这个文件中的DNS服务器地址不可用或者错误，例如设置为一个不存在的DNS服务器IP地址，主机和虚拟机在进行域名解析时都会失败，可以尝试将DNS服务器地址更改为公共可用的DNS服务器，如Google的8.8.8.8或1.1.1.1（Cloudflare的DNS）。

2、虚拟机DNS设置错误

- 虚拟机内部也需要正确的DNS设置，如果虚拟机的/etc/resolv.conf文件中的DNS设置不正确，它将无法解析域名，在虚拟机中，可以通过编辑/etc/resolv.conf文件，添加正确的DNS服务器地址来解决问题，可以添加nameserver 8.8.8.8和nameserver 1.1.1.1到文件中。

故障排查步骤

（一）初步检查

1、检查虚拟机网络模式

- 首先确定虚拟机使用的是哪种网络模式（桥接、NAT或仅主机），可以在KVM管理工具（如virt - manager）中查看虚拟机的网络设置，如果是仅主机模式，那么虚拟机本身就不能直接访问外网，需要调整为桥接或NAT模式。

2、查看虚拟机IP地址和网关设置

- 在虚拟机内部，使用ifconfig（在Linux虚拟机中）或ipconfig（在Windows虚拟机中）命令查看IP地址、子网掩码和网关设置，确保IP地址在正确的子网范围内，并且网关设置正确，如果虚拟机的IP地址是192.168.122.100，子网掩码是255.255.255.0，网关应该是192.168.122.1（在NAT模式下假设的情况）。

（二）网络连接性检查

1、在主机上检查网络连接

- 使用ping命令在主机上ping默认网关，检查主机与本地网络的连接是否正常，如果主机无法ping通默认网关，可能是物理网络接口或者主机网络配置有问题，在Linux主机上执行ping 192.168.1.1（假设默认网关为192.168.1.1）。

- 尝试在主机上访问外网网站，例如使用curl命令（在Linux主机上）或者浏览器（在Windows主机上）访问一个知名的网站，如https://www.google.com，如果主机无法访问外网，问题可能出在主机的网络连接、防火墙或者路由设置上。

2、在虚拟机上检查网络连接

- 在虚拟机内部，尝试ping虚拟机的网关，如果无法ping通网关，可能是虚拟机内部的网络设置、虚拟机与主机之间的网络连接（在NAT或桥接模式下）有问题，在Linux虚拟机中执行ping 192.168.122.1（假设网关为192.168.122.1）。

- 使用traceroute命令（在Linux虚拟机中）或tracert命令（在Windows虚拟机中）来查看数据包的路由路径，如果在到达某个节点后无法继续转发，可能是该节点或者其后续路由有问题，在Linux虚拟机中执行traceroute 8.8.8.8可以查看数据包到Google的DNS服务器8.8.8.8的路由路径。

（三）防火墙检查

1、检查主机防火墙

- 在Linux主机上，使用iptables -L命令查看iptables规则，如果有可疑的阻止转发或外出流量的规则，可以先尝试暂时关闭防火墙（注意在生产环境中要谨慎操作），使用service iptables stop（对于基于iptables - service的系统）或者systemctl stop firewalld（对于使用firewalld的系统），在Windows主机上，可以通过控制面板中的防火墙设置来查看和调整防火墙规则。

2、检查虚拟机内部防火墙

- 在虚拟机内部，如果安装了防火墙，查看其规则设置，在CentOS虚拟机中使用firewall - cmd - - list - all命令查看firewalld的规则，如果需要，可以暂时关闭防火墙进行测试，例如使用systemctl stop firewalld命令（在CentOS中）。

（四）路由检查

1、检查主机路由表

- 在Linux主机上，使用route - n命令查看路由表，确保默认路由指向正确的网关，如果默认路由错误，可以使用route命令进行修改，如前面所述，在Windows主机上，可以通过route print命令查看路由表。

2、检查虚拟机路由设置

- 在虚拟机内部，查看路由设置，在Linux虚拟机中，可以使用route - n命令，如果没有默认路由或者路由设置错误，可以使用route add命令进行添加或修改。

（五）DNS检查

1、检查主机DNS配置

- 在Linux主机上，查看/etc/resolv.conf文件中的DNS服务器地址，如果地址不可用或错误，可以修改为正确的DNS服务器地址，在Windows主机上，可以通过网络连接属性中的DNS设置来查看和修改DNS服务器地址。

2、检查虚拟机DNS设置

- 在虚拟机内部，查看/etc/resolv.conf文件（在Linux虚拟机中）或网络连接属性中的DNS设置（在Windows虚拟机中），如果需要，可以修改为正确的DNS服务器地址。

解决方案

（一）网络模式相关

1、桥接模式修复

- 如果是物理网络接口故障，修复物理连接，如插好网线或者更换损坏的网络接口硬件，对于桥接设置错误，重新正确设置桥接接口，重新执行brctl addif命令将物理网络接口添加到桥接接口。

2、NAT模式修复

- 如果是NAT规则配置错误，重新配置iptables规则，按照正确的网络地址转换规则重新添加iptables -t nat -A POSTROUTING等规则，如果是虚拟机网关设置错误，在虚拟机内部修改网关设置为正确的地址。

（二）防火墙相关

1、主机防火墙调整

- 如果主机防火墙阻止虚拟机流量，添加允许虚拟机网络流量的规则，在Linux主机上使用iptables -A FORWARD -s 192.168.122.0/24 -j ACCEPT（假设虚拟机所在网络为192.168.122.0/24）来允许虚拟机的流量转发，在Windows主机上，在防火墙设置中添加允许虚拟机相关网络连接的规则。

2、虚拟机内部防火墙调整

- 如果虚拟机内部防火墙限制了对外网的访问，在虚拟机内部添加允许出站流量的规则，在firewalld中添加允许所有出站流量的规则firewall - cmd - - add - service = all - - permanent并重新加载防火墙规则firewall - cmd - - reload。

（三）路由相关

1、主机路由表修复

- 如果主机路由表错误，按照正确的网络拓扑和网关设置重新修改路由表，使用route del和route add命令删除和添加正确的路由。

2、虚拟机路由设置修复

- 在虚拟机内部，如果路由设置错误，添加或修改正确的路由，在Linux虚拟机中使用route add default gw <正确网关IP>命令添加默认路由。

（四）DNS相关

1、主机DNS修复

- 在主机上修改/etc/resolv.conf文件中的DNS服务器地址为正确的地址，将其修改为8.8.8.8或1.1.1.1等公共可用的DNS服务器。

2、虚拟机DNS修复

- 在虚拟机内部修改/etc/resolv.conf文件中的DNS服务器地址，添加nameserver 8.8.8.8和nameserver 1.1.1.1等。

KVM虚拟机ping不通外网可能是由多种原因造成的，包括网络模式、防火墙、路由和DNS等方面的问题，通过详细的故障排查步骤，如检查网络连接性、防火墙规则、路由表和DNS配置等，可以逐步定位问题并采取相应的解决方案，在解决问题的过程中，需要对KVM的网络原理、主机和虚拟机的网络配置以及相关的网络工具（如iptables、route等）有深入的理解，在进行任何网络配置调整时，要谨慎操作，特别是在生产环境中，避免对其他服务和网络连接造成不必要的影响。