¿Por qué una EIP no puede hacer ping?
Síntomas
Después de comprar una EIP y vincularla a un ECS, la EIP no se puede hacer ping en un servidor local u otros servidores en la nube.
Localización de fallas
Comprobación de las EIP
- Compruebe si la EIP está bloqueada. Para obtener más información, consulte ¿Cómo desbloqueo una EIP?
- Compruebe si la EIP está congelada. Para obtener más información, consulte ¿Por qué mis EIP están congeladas?¿Cómo puedo descongelar mis EIP?
Comprobación de la conectividad de EIP
Las siguientes causas de falla se secuencian basándose en su probabilidad de ocurrencia.
Si la falla persiste después de haber descartado una causa, verifique otras causas.
|
Causa posible |
Solución |
|---|---|
|
Las reglas de acceso de ICMP no se agregan al grupo de seguridad. |
Agregar las reglas de acceso ICMP al grupo de seguridad. Para obtener más información, véase Comprobación de reglas de grupo de seguridad. |
|
Las operaciones de ping están prohibidas en el firewall. |
Permitir las operaciones de ping en el firewall. Para obtener más información, véase Comprobación de la configuración del firewall. |
|
Las operaciones de ping están prohibidas en el ECS. |
Permitir operaciones de ping en el ECS. Para obtener más información, véase Comprobar si se han deshabilitado las operaciones de ping en ECS. |
|
La ACL de red está asociada. |
Si la VPC está asociada a una ACL de red, compruebe las reglas de ACL de red. Para obtener más información, véase Comprobación de reglas de ACL. |
|
Se ha producido una exepción de red. |
Utilice otro ECS en la misma región para comprobar si la red local es funcional. Para obtener más información, véase Comprobar si la red es funcional. |
|
Las rutas se configuran incorrectamente si se utilizan varias NIC. |
Si la red es inaccesible debido a una NIC de extensión, la falla generalmente es causada por configuraciones de ruta incorrectas. Para resolver este problema, consulte Comprobación de la configuración de la ruta de ECS si se utilizan varias NIC. |
|
El nombre de dominio no tiene licencia de ICP. |
Si no se puede hacer ping al nombre de dominio o no se puede resolver, consulte Comprobación de la resolución del nombre de dominio si el nombre de dominio no se puede hacer ping para resolver este problema. |
Comprobación de reglas de grupo de seguridad
ICMP se utiliza para el comando de ping. Compruebe si el grupo de seguridad que aloja el ECS permite el tráfico ICMP.
- Inicie sesión en la consola de gestión.
- Click
in the upper left corner and select your region and project. - En Compute, haga clic en Elastic Cloud Server.
- En la página Elastic Cloud Server, haga clic en el nombre del ECS de destino.
Se mostrará la página que proporciona los detalles del ECS.
- Haga clic en la ficha Security Groups, expanda la información del grupo de seguridad y vea las reglas del grupo de seguridad.
- Haga clic en el ID del grupo de seguridad.
El sistema cambia automáticamente a la página Security Group.
- En la página Outbound Rules, haga clic en Add Rule. En el cuadro de diálogo que se muestra, establezca los parámetros necesarios para agregar una regla saliente.
Figura 2 Adición de una regla saliente
Tabla 2 Reglas de grupos de seguridad Dirección de transferencia
Tipo
Rango de protocolo/puerto
Fuente
Saliente
IPv4
ICMP/Any
0.0.0.0/0
0.0.0.0/0 indica todas las direcciones IP.
- En la ficha Inbound Rules, haga clic en Add Rule. En el cuadro de diálogo que se muestra, establezca los parámetros necesarios para agregar una regla entrante.
Figura 3 Configuración de una regla de entrada
Tabla 3 Reglas de grupos de seguridad Dirección de transferencia
Tipo
Rango de protocolo/puerto
Fuente
Entrante
IPv4
ICMP/Any
0.0.0.0/0
0.0.0.0/0 indica todas las direcciones IP.
- Haga clic en OK para completar la configuración de la regla de seguridad.
Comprobación de la configuración del firewall
Si un servidor de seguridad está habilitado en el ECS, compruebe si el servidor de seguridad bloquea las operaciones de ping.
- Considere el CentOS 7 como un ejemplo. Ejecute el siguiente comando para comprobar el estado del firewall:
Si se muestra running en la salida del comando, se ha habilitado el firewall.
- Compruebe si hay alguna regla de ICMP que bloquee las operaciones de ping.
Si se muestra la salida del comando mostrada en el Figura 4, no hay ninguna regla de ICMP que bloquee las operaciones de ping.
Si las operaciones de ping están bloqueadas por una regla de ICMP, ejecute los siguientes comandos para modificar la regla para desbloquear:
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
- Inicie sesión en el ECS de Windows, haga clic en el icono de Windows en la esquina inferior izquierda del escritorio y elija Control Panel > Windows Firewall.
- Haga clic en Turn Windows Firewall on or off.
Consultar y establecer el estado del firewall.
- Si el servidor de seguridad es de On, vaya a 4.
- Compruebe los estados de la regla de ICMP en el firewall.
- En el panel de navegación de la página Windows Firewall, haga clic en Advanced settings.
- Habilite las siguientes reglas:
Inbound Rules: File and Printer Sharing (Echo Request - ICMPv4-In)
Outbound Rules: File and Printer Sharing (Echo Request - ICMPv4-Out)
Si IPv6 está habilitado, habilite las siguientes reglas:
Inbound Rules: File and Printer Sharing (Echo Request - ICMPv6-In)
Outbound Rules: File and Printer Sharing (Echo Request - ICMPv6-Out)
Figura 5 Reglas de entrada
Figura 6 Reglas de salida
Comprobar si se han deshabilitado las operaciones de ping en ECS
Windows
Habilite las operaciones de ping mediante la CLI.
- Inicie el cuadro de diálogo Run. Ingrese cmd y pulse Enter.
- Ejecute el siguiente comando para habilitar las operaciones de ping:
Linux
- Compruebe el valor net.ipv4.icmp_echo_ignore_all en el archivo /etc/sysctl.conf. El valor 0 indica que las operaciones de ping están permitidas, y el valor 1 indica que las operaciones de ping están prohibidas.
- Permitir las operaciones de ping.
Comprobación de reglas de ACL
De forma predeterminada, no se configura ninguna ACL para una VPC. Si una ACL de red está asociada a una VPC, compruebe las reglas de ACL.
- Compruebe si la subred del ECS se ha asociado con una ACL de red.
Si se muestra un nombre de ACL, la ACL de red se ha asociado con el ECS.
Figura 7 ACL de red
- Haga clic en el nombre de la ACL para ver su estado.
Figura 8 ACL de red habilitada
- Si la ACL de red está habilitada, agregue una regla de ICMP para permitir el tráfico.
Figura 9 Adición de una regla de ICMP
La regla de ACL de red predeterminada deniega todos los paquetes entrantes y salientes. Si una ACL de red está deshabilitada, la regla predeterminada sigue siendo efectiva.
Comprobar si la red es funcional
- Utilice otro ECS en la misma región para comprobar si la red local es funcional.
Utilice otro ECS en la misma región para hacer ping a la EIP afectado. Si la EIP se puede hacer ping, el VPC es funcional. En tal caso, rectifique la falla de la red local y vuelva a hacer ping a la EIP afectada.
- Compruebe si el enlace es accesible.
Una falla de ping es causada por la pérdida de paquetes o el retraso largo, que puede ser causado por la congestión del enlace, las fallas del nodo del enlace, o la carga pesada en el ECS.
Para obtener más información, consulte ¿Cómo soluciono los problemas de una falla de ping o pérdida de paquetes mediante una prueba de enlace?
Comprobación de la configuración de la ruta de ECS si se utilizan varias NIC
Generalmente, la ruta por defecto de un SO seleccionará preferentemente la NIC primaria. Si se selecciona una NIC de extensión en una ruta y la red funciona mal, este problema suele ser causado por una configuración de ruta incorrecta.
- Si el ECS tiene varias NIC, compruebe si la ruta predeterminada está disponible.
- Inicie sesión en ECS y ejecute el siguiente comando para comprobar si la ruta predeterminada está disponible:
Figura 10 Ruta predeterminada
- Si la ruta no está disponible, ejecute el siguiente comando para agregarla:
ip route add default via XXXX dev eth0
En el comando anterior, el XXXX especifica una dirección IP de gateway.
- Inicie sesión en ECS y ejecute el siguiente comando para comprobar si la ruta predeterminada está disponible:
- Si el ECS tiene varias NIC y la ECS está enlazada a una NIC de extensión, configure el enrutamiento de políticas en el ECS para la comunicación de red con la NIC de extensión.
Para obtener más información, consulte ¿Cómo configuro las rutas basadas en las políticas para un ECS con varias NIC?
Comprobación de la resolución del nombre de dominio si el nombre de dominio no se puede hacer ping
Si puede hacer ping a la EIP pero no al nombre de dominio, la causa posible es que se ha producido un error en la resolución del nombre de dominio.
- Compruebe la resolución del nombre de dominio.
Si los registros de nombre de dominio están configurados incorrectamente, es posible que el nombre de dominio no se resuelva.
Cambie a la consola de gestión de DNS para ver detalles sobre la resolución del nombre de dominio.
- Compruebe la configuración del servidor de DNS.
Si el sistema muestra que no se ha encontrado ningún servidor después de hacer ping a un nombre de dominio, este problema puede deberse a una respuesta lenta del servidor de DNS. En tal caso, consulte Solución de problemas de acceso lento de un sitio web fuera de China continental a través de un ECS.
