問題描述
用戶購買彈性公網(wǎng)IP并綁定云服務器后����,無法Ping通彈性公網(wǎng)IP����,或者云服務器Ping不通外網(wǎng)。
排查思路
以下排查思路根據(jù)原因的出現(xiàn)概率進行排序����,建議您從高頻率原因往低頻率原因排查,從而幫助您快速找到問題的原因���。
如果解決完某個可能原因仍未解決問題�����,請繼續(xù)排查其他可能原因���。
圖1 彈性公網(wǎng)IP Ping不通排查思路
表1 彈性公網(wǎng)IP Ping不通排查思路
檢查安全組規(guī)則
Ping使用的是ICMP協(xié)議����,請檢查云服務器對應的安全組是否放通了“入方向”的“ICMP”規(guī)則��。
登錄管理控制臺�����。
單擊管理控制臺左上角的����,選擇區(qū)域和項目。
選擇“計算 > 彈性云服務器”��。
在彈性云服務器列表�����,單擊待變更安全組規(guī)則的彈性云服務器名稱。
系統(tǒng)跳轉(zhuǎn)至該彈性云服務器詳情頁面���。
選擇“安全組”頁簽�����,展開安全組��,查看安全組規(guī)則����。
單擊安全組ID���。
系統(tǒng)自動跳轉(zhuǎn)至安全組頁面。
在入方向規(guī)則頁簽��,單擊“添加規(guī)則”����,添加入方向規(guī)則。
圖2 添加入方向規(guī)則
表2 安全組規(guī)則方向 | 類型 | 協(xié)議和端口 | 源地址 |
|---|
入方向 | IPv4 | ICMP:Any | 0.0.0.0/0 0.0.0.0/0表示所有IP地址 |
單擊“確定”���,完成安全組規(guī)則配置����。
檢查防火墻設置
如果云服務器開啟了防火墻,需要檢查防火墻對Ping規(guī)則是否有限制����。
Linux系統(tǒng)云服務器
執(zhí)行以下命令查看防火墻狀態(tài),以CentOS 7操作系統(tǒng)為例��。
firewall-cmd --state
回顯信息顯示“running”代表防火墻已開啟�����。
查看云服務器內(nèi)部是否有安全規(guī)則所限制��。
iptables -L
回顯信息如圖3所示說明沒有ICMP規(guī)則被限制��。
圖3 查看防火墻規(guī)則
如果ICMP規(guī)則被限制�����,請執(zhí)行以下命令啟用對應規(guī)則����。
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
Windows操作系統(tǒng)
登錄Windows云服務器���,單擊桌面左下角的Windows圖標,選擇“控制面板 > Windows防火墻”�����。
單擊“啟用或關閉Windows防火墻”�����。
查看并設置防火墻的具體狀態(tài):開啟或關閉����。
如果防火墻狀態(tài)為“開啟”,請執(zhí)行4�����。
檢查防火墻對ICMP規(guī)則的啟用狀態(tài)���。
在“Windows防火墻”頁面,在左側(cè)導航欄選擇“高級設置 ”����。
啟用以下規(guī)則。
入站規(guī)則:“文件和打印機共享(回顯請求-ICMPv4-In)”
出站規(guī)則:“文件和打印機共享(回顯請求-ICMPv4-Out)”
如啟用了IPV6請同時啟用以下規(guī)則:
入站規(guī)則:“文件和打印機共享(回顯請求-ICMPv6-In)”
出站規(guī)則:“文件和打印機共享(回顯請求-ICMPv6-Out)”
圖4 入站規(guī)則
圖5 出站規(guī)則
檢查云服務器是否設置了禁Ping
Windows
使用命令行方式開啟Ping設置。
打開cmd運行窗口�����。
執(zhí)行如下命令開啟Ping設置�����。
netsh firewall set icmpsetting 8
Linux
檢查云服務器的內(nèi)核參數(shù)���。
檢查文件/etc/sysctl.conf中配置項“net.ipv4.icmp_echo_ignore_all”的值����,0表示允許Ping�����,1表示禁止Ping�����。
允許PING設置�����。
檢查網(wǎng)絡ACL規(guī)則
VPC默認沒有網(wǎng)絡ACL,如果關聯(lián)了網(wǎng)絡ACL����,請檢查“網(wǎng)絡ACL”規(guī)則。
查看云服務器對應的子網(wǎng)是否關聯(lián)了網(wǎng)絡ACL��。
如顯示具體的網(wǎng)絡ACL名稱說明已關聯(lián)網(wǎng)絡ACL����。
圖6 網(wǎng)絡ACL
點擊網(wǎng)絡ACL名稱查看網(wǎng)絡ACL的狀態(tài)。
圖7 網(wǎng)絡ACL開啟狀態(tài)
若“網(wǎng)絡ACL”為“開啟”狀態(tài)��,需要添加ICMP放通規(guī)則進行流量放通����。
圖8 ACL添加ICMP規(guī)則
說明:
需要注意“網(wǎng)絡ACL”的默認規(guī)則是丟棄所有出入方向的包,若關閉“網(wǎng)絡ACL”后����,其默認規(guī)則仍然生效。
檢查網(wǎng)絡是否正常
檢查本地網(wǎng)絡��,使用相同區(qū)域主機進行Ping測試����。
使用在相同區(qū)域的云服務器去Ping沒有Ping通的彈性公網(wǎng)IP,如果可以正常Ping通說明虛擬網(wǎng)絡正常���,請排除本地網(wǎng)絡故障后重新Ping測試����。
檢查是否鏈路故障����。
鏈路擁塞、鏈路節(jié)點故障�����、服務器負載高等問題均可能引起執(zhí)行Ping命令時出現(xiàn)丟包或時延過高的問題����。
具體檢查操作請參考“ping不通或丟包時如何進行鏈路測試?”����。
檢查云服務器路由配置(多網(wǎng)卡場景)
一般操作系統(tǒng)的默認路由優(yōu)先使用主網(wǎng)卡,如果出現(xiàn)使用擴展網(wǎng)卡導致網(wǎng)絡不通現(xiàn)象通常是路由配置問題����。
如果云服務器配置了多網(wǎng)卡�����,請確認云服務器內(nèi)默認路由是否存在���。
登錄云服務器,執(zhí)行如下命令��,查看是否存在默認路由���。
ip route
圖9 查看默認路由
若沒有該路由����,執(zhí)行如下命令����,添加默認路由。
ip route add default via XXXX dev eth0
說明:
XXXX表示網(wǎng)關IP���。
如果云服務器配置了多網(wǎng)卡��,且彈性公網(wǎng)IP綁定在非主網(wǎng)卡上�����,需要在云服務器內(nèi)部配置策略路由來實現(xiàn)非主網(wǎng)卡的通信����。
詳細操作請參考如何為配置了多網(wǎng)卡的彈性云服務器配置策略路由��?
檢查域名解析(域名Ping不通場景)
如果彈性公網(wǎng)IP可以Ping通���,域名無法Ping通��,可能是域名沒有備案或者域名解析的問題導致��。
檢查域名備案��。
備案是中國大陸的一項法規(guī)�����,網(wǎng)站的域名和服務器IP需要進行備案�����,備案成功后您的域名才可以指向服務器開通訪問����。
檢查域名解析�����。
如果域名已備案�����,但未正確配置域名解析也可能會導致域名無法Ping通����。
您可以DNS服務控制臺查看域名解析詳情���。
檢查DNS服務器配置。
如果ping域名顯示找不到主機可能是DNS服務器速度慢����,導致的訪問卡頓����,建議您參考案例:彈性云服務器訪問中國大陸外網(wǎng)站時加載緩慢怎么辦?進行優(yōu)化�����。
張哲瀚
閩公網(wǎng)安備 35010202001226號
