概述：

Ping命令是一种用来测试ip层网络层可达的命令，属于icmp层的探查消息。当网络访问出现故障时，用来执行测试网络导通性，根据ping的结果回显来判断问题可能在哪里？

ping命令发出包是icmp协议的查询消息，路由正常导通时为双向消息，有发出requst的，有回复reply的。但有时也会出现ping命令发出，收到差错消息，这是后向单向消息，告知发送requset的源主机，通信节点故障。也会出现ping的rquest消息发出后，没有收到reply而定时器超时，显示请求超时的情况。

Ping命令正常导通情况下是icmp协议下的双向消息，通常主叫发出一串测试包，并携带对应id和序号，被测试方收到后送回对应这串测试包，并携带正确的id和序号。它是网络导通性的充分条件，能ping通，网络导通性肯定好。反之，ping不通（如请求超时）并不意味着网络不可达，有时，ping不通，但tcp和udp访问是正常的。另外返回时间和丢失包数也能反应经过路径的长短，和通信质量是否拥堵？如平时往返时间是20ms，但现在是100ms，明显有问题，要么发出慢，要么目标主机回复的慢，要么request或reply在传输经过节点造成传输延迟。

注意这里wireshark里显示的BE和LE为两种数据存储的方式时的值，实际的值只有一个。物理上对应一段数据。

Request消息如上图：

icmp层的data里封装一串字符串通常是32byte，发给对方ip。

Reply消息如下：

同样下一个request消息id不变，序号递增，默认cmd下是执行一次命令，ping的request消息发出四次，seq是连续的，步长是+1。

data里含有request里data里的数据，收发对照id，序号，data一致，就认为正常。

Ping的正常是结果回显内容：

回显一次ping的请求回显的结果三种，1正常，2不通（icmp错误，有原因值），3不通请求超时，导通时，里面有目的主机发出reply消息到达源主机时ttl值（能反映出经过路由次数），收发包数发出和收到的统计。往返的时间。通过往返时间可以看出网络传输经过节点书，传输质量，发送，接收包数判断是否拥堵丢失？

有错误原因的结果：

请求超时的回显

也有情况是在一次ping命令过程四次回显中，有的正常，有的有错误或者请求超时，或者错误和超时的显示。会回显统计丢包。如下图：

上图是过程中有丢包的情况。下图：是双网卡，先走直连路由，后走默认路由的情况。

ping过程原理分析：

Ping的过程，对源主机来说，是执行命令后，分析目的主机ip，查路由表，确定ip层消息发出的接口和下一跳ip地址，确定是直连路由还是走默认路由，然后查arp缓存，是否有下一跳的mac地址缓存，有的话，直接组包发出，没有的话，要根据走直连路由还是默认路由来判断，直连路由，直接用自身接口ip发出arp消息去请求目的ip的mac地址，走默认路由就去请求网关的mac地址，得到arp响应后，组包发出，没有得到arp响应就回显错误。

获得下一跳mac地址后，就发出ping的请求消息，直连路由和默认路由是有区别的，直连路由，ping的request发出后就两种结果，正常回包和time out请求超时。

而默认路由会有三种结果，正常回包，time out请求超时，和各种icmp层错误。原因是直连路由是对方设备直接处理ping的requst消息，而默认路由是由网关进行转发ping的reuest消息，中间节点和目的主机的路由，是否在线等等情况，会影响ping的结果。

Ping的request被对方设备icmp层接收后，回包的过程和ping的request消息发出过程一样，检查路由，检查arp缓存，发出ping的reply消息。

源主机ping命令的处理过程：

cmd下ping会显示四次结果，不通情况下最多发出12次arp消息，每次一秒， time out的定时器是5s。

目标设备收到ping的request回reply的流程如下：

目的ip的网关处理ping的request消息如下：

可以看到，是否回reply与目的主机的状态，位置，防火墙，是否有回程路由表项，反向路由检测有关系。

ping命令的常用用法：

ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS] [-r count] [-s count] [[-j host-list] | [-k host-list]] [-w timeout] [-R] [-S srcaddr] [-4] [-6] target_name

ping 选项目的域名或者ip地址选项可以在最后，也可以在地址前面

　　-t Ping 指定的计算机直到中断,就是长ping，除非ctrl+c中断

　　-a 将地址解析为计算机名很少能成功

　　-n count 发送 count 指定的发出request数据包数。默认值为 4。

-l length 发送包含由 length 指定发出ping的request消息的附加内容的字节数

-f 在数据包中发送"不要分段"标志。数据包就不会被路由上的网关分段。

　　-i ttl 将发出request消息ip层ttl值"生存时间"字段设置指定的值

　　-v tos 将"服务类型"字段设置为 tos 指定的值。

-r count 在ip层选项里增加"记录路由"字段中记录传出和返回数据包的路由

　　-s count 指定 count 指定的跃点数的时间戳。

　　-j computer-list 利用 computer-list 指定的计算机列表路由数据包。连续计算机可以被中间网关分隔(路由稀疏源)IP 允许的最大数量为 9。

-k computer-list 利用 computer-list 指定的计算机列表路由数据包。连续计算机不能被中间网关分隔(路由严格源)IP 允许的最大数量为 9。

　　-w timeout 指定超时间隔，单位为毫秒。就是等待ping的reply的定时器时长，默认是5s。

Target_name 指定要 ping 的远程计算机的域名或者ip地址

图上红色的字体的这些选项，很少能用到，它是发出request消息的ip层的option里利用参数进行的。需要经过节点设备的支持，实测无法实现既定的目标，不可用。测试经过节点ip地址可以用tracert，pathping这些命令来替代。

具体常用选项说明：

-t Ping 指定的计算机直到中断,就是长ping，除非ctrl+c中断

默认是ping的去request消息发出4次，但有的特殊场景下需要一直发包，这时，就需要-t选项了。排除故障，要在目的方看收发包情况，可以用这个命令。

-n选项 -n后面跟数字，表示发出ping的request的个数，默认间隔是一秒一个，就是定次数显示ping结果时，可以执行这个命令。

-l length 发送包含由 length 指定发出ping的request消息的附加内容data的字节数，就是icmp层里data的字节数，一般mtu是1500字节，大于这个要进行分片。应用场景是当测试节点处理能力或者时，可以使用这个选项。

ping 192.168.205.64 -l 4000为例，除去协议包头，就是data里净数据含量了

抓包看发出分片为三包，第一片里1480字节，data里总和为4000

-w timeout 指定超时间隔，单位为毫秒。就是等待ping的reply的定时器时长，默认是5s。

查看wireshark里表现：

测试域名对应的ip地址，也可用ping命令，直接输入www后面域名，就可以看到域名

Ping的不通几种情况的可能原因：

判断网络故障的，就看ping的结果回显，根据回显我们判断可能的原因。

Ping回显的三种情况，正常导通，回显错误，和请求超时。其中回显错误提示，又分ping的request消息发出，和没有发出。

对回显正常导通的，有时是网络拥塞，ping的reply收到比正常超时严重。

这是我们关心一下reply的ttl，因为直连路由的ttl值64,128.255这三种的一种，走默认路由的经过一个路由器值减一。ping结果里有统计reply的最小时间，最大时间和平均时间，根据这些判断是否经过节点拥塞。一般局域网网内，不超过1ms，广域网ip不超过100ms，若出现几百甚至秒以上的回包，说明节点或者目标设备网络拥塞验证或者有突发包影响。