为什么对等连接创建完成后不能互通？

问题描述

对等连接创建完成后，本端VPC和对端VPC网络不互通。

排查思路

问题排查思路请参见表1，以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。

表1 排查思路-对等连接不通
序号	可能原因	处理措施
1	对等连接中本端VPC和对端VPC网段重叠 VPC网段重叠，且全部子网重叠。 VPC网段重叠，且部分子网重叠。	当对等连接中本端VPC和对端VPC网段重叠时，对等连接可能不生效，处理方法请参见对等连接中本端VPC和对端VPC网段重叠。
2	对等连接路由配置错误没有在本端VPC和对端VPC内配置对等连接路由。对等连接路由地址配置错误。对于云上和云下互通的组网，检查对等连接路由是否和云专线、VPN路由的目的地址重叠。	当对等连接的路由配置错误时，会导致对等连接的网络流量无法正确送到目的地址，处理方法请参见对等连接路由配置错误。
3	网络配置错误检查需要通信的ECS安全组规则是否配置正确。检查弹性云服务器网卡的防火墙配置。检查对等连接连通的子网网络ACL规则是否配置正确。对于多网卡的弹性云服务器，检查弹性云服务器内部的策略路由配置。	请参见网络配置错误。
4	弹性云服务器基本网络功能异常	请参见弹性云服务器基本网络功能异常。

对等连接中本端VPC和对端VPC网段重叠

VPC网段重叠的情况下，容易因为路由冲突导致对等连接不生效，具体如表2所示。

表2 对等连接中本端VPC和对端VPC网段重叠
场景说明	场景示例	解决方法
VPC网段重叠，且全部子网重叠	组网图如图1所示，VPC-A和VPC-B网段重叠，且全部子网重叠。 VPC-A和VPC-B的网段重叠，均为10.0.0.0/16。 VPC-A中的子网Subnet-A01和VPC-B中的子网Subnet-B01网段重叠，均为10.0.0.0/24。 VPC-A中的子网Subnet-A02和VPC-B中的子网Subnet-B02网段重叠，均为10.0.1.0/24。	不支持使用VPC对等连接。本示例中，VPC-A和VPC-B无法使用对等连接连通，请重新规划网络。
VPC网段重叠，且部分子网重叠	组网图如图2所示，VPC-A和VPC-B网段重叠，且部分子网重叠。 VPC-A和VPC-B的网段重叠，均为10.0.0.0/16。 VPC-A中的子网Subnet-A01和VPC-B中的子网Subnet-B01网段重叠，均为10.0.0.0/24。 VPC-A中的子网Subnet-A02和VPC-B中的子网Subnet-B02网段不重叠。	无法创建指向整个VPC网段的对等连接。本示例中，对等连接无法连通VPC-A和VPC-B之间的全部网络。可以创建指向子网的对等连接，对等连接两端的子网网段不能包含重叠子网。本示例中，对等连接可以连通子网Subnet-A02和Subnet-B02之间的网络，详细的配置方法请参见图3。

图1 VPC网段重叠，且全部子网重叠(IPv4)

图2 VPC网段重叠，且部分子网重叠(IPv4)

当VPC网段重叠，且部分子网重叠，您可以在网段不重叠的子网之间建立对等连接。本示例为创建Subnet-A02和Subnet-B02之间的对等连接，组网图如图3所示，路由添加方法请参见表3。

图3 VPC网段重叠，部分子网重叠(IPv4)-正确配置

表3 Subnet-A02和Subnet-B02之间的对等连接
路由表	目的地址	下一跳	路由说明
VPC-A的路由表	10.0.2.0/24	Peering-AB	在VPC-A的路由表中，添加目的地址为Subnet-B02子网网段，下一跳指向Peering-AB的路由。
VPC-B的路由表	10.0.1.0/24	Peering-AB	在VPC-B的路由表中，添加目的地址为Subnet-A02子网网段，下一跳指向Peering-AB的路由。

对等连接路由配置错误

对等连接创建完成后，请参考查看对等连接路由，在本端VPC和对端VPC的路由表中检查路由添加情况，检查项目如表4。

表4 对等连接路由配置检查项
路由配置检查项	处理方法
在本端VPC和对端VPC的路由表中，检查是否添加路由。	如果您未添加路由，请参考以下章节中的添加路由步骤：创建相同账户下的对等连接
检查对等连接路由地址配置是否正确。在本端VPC内，检查路由的目的地址是否为对端VPC的网段，子网网段或者相关的私有IP地址。在对端VPC内，检查路由的目的地址是否为本端VPC的网段，子网网段或者相关的私有IP地址。	如果路由目的地址配置错误，请参考修改对等连接路由修改路由地址。
对于云上和云下互通的组网，检查对等连接路由是否和云专线、VPN路由的目的地址重叠。	查看对等连接两端的VPC下是否有VPN/云专线资源，排查路由规则的下一跳目的地址是否有重叠。如果路由目的地址重叠，该对等连接不生效，请重新规划网络连接方案。

网络配置错误

检查需要通信的云服务器的安全组规则是否配置正确，具体方法请参见查看弹性云服务器的安全组。
- 如果您需要通信的云服务器位于同一个安全组内，则此项无需检查。
- 如果您需要连通的云服务器位于不同的安全组内，那么您需要在安全组的入方向规则中，添加放通对端安全组的规则，具体方法请参见安全组配置示例
检查云服务器网卡的防火墙配置。
需要确认防火墙不会拦截流量，否则需要放通防火墙规则。
检查对等连接连通的子网网络ACL规则是否配置正确。
确认对等连接涉及的子网流量未被网络ACL拦截，否则需要放通对等连接涉及的网络ACL规则。
对于多网卡的云服务器，检查云服务器内部的策略路由配置，确保源IP不同的报文匹配各自的路由，从各自所在的网卡发出。
假设云服务器有两个网卡为eth0和eth1：
- eth0的IP地址为192.168.1.10，所在子网的网关为192.168.1.1
- eth1的IP地址为192.168.2.10，所在子网的网关为192.168.2.1
分别执行以下命令：
- ping -l eth0的IP地址 eth0所在子网的网关地址
- ping -l eth1的IP地址 eth1所在子网的网关地址
命令示例：
- ping -I 192.168.1.10 192.168.1.1
- ping -I 192.168.2.10 192.168.2.1
如果网络通信情况正常，说明服务的多个网卡路由配置正常。

否则需要为配置了多网卡的云服务器配置策略路由，具体请参见如何配置多网卡弹性云服务器的策略路由？

弹性云服务器基本网络功能异常

登录云服务器。
检查弹性云服务器网卡是否已经正确分配到IP地址。
- Linux云服务器：执行命令ifconfig或ip address查看网卡的IP信息。
- Windows云服务器：在搜索区域输入cmd并按Enter，打开命令输入框，执行命令ipconfig查看。
若未能分配到IP地址，处理方法请参见。
检查云服务器所在子网的网关是否可以ping通，即确认基本通信功能是否正常。
1. 在弹性云服务器列表中，单击云服务器名称超链接。
  进入云服务器详情页。
2. 在云服务器详情页，单击虚拟有云超链接。
  进入虚拟私有云列表。
3. 在虚拟私有云列表，单击虚拟私有云对应的“子网个数”超链接。
  进入子网列表。
4. 在子网列表，单击子网名称超链接。
  进入子网详情页。
5. 选择“IP地址管理”页签，查看子网的网关地址。
  图4 查看子网网关
6. 执行以下命令，检查网关通信是否正常。
  ping 子网网关地址
  
  命令示例：ping 172.17.0.1