更新时间:2024-09-27 GMT+08:00
分享

云上云下无法Ping通

故障现象

  • 云下数据中心服务器无法Ping通华为云VPC上的ECS服务器。
  • 华为云VPC上的ECS服务器无法Ping通云下数据中心服务器。

可能原因

  • 华为云安全组配置不正确
  • 互联子网的ACL规则配置不正确
  • 客户设备侧放通策略配置不正确
  • 客户设备侧路由配置不正确

处理步骤

  • 检查华为云安全组配置
    • 确认华为云default安全组已经放通去往对端子网数据流。
      华为云default安全组查看步骤如下:
      1. 选择“虚拟专用网络 > 企业版-VPN网关”,单击关联的VPC名称。
      2. 单击VPC对应的路由表。
      3. 单击路由表的名称。
      4. 找到VPN网关主或备EIP的下一跳,单击下一跳名称。
      5. “关联安全组”页签,检查端口放通情况。
    • 确认华为云default安全组已经放通来自对端子网数据流。
    • 确认华为云default安全组已经放通去往本端子网数据流。
    • 确认华为云default安全组已经放通来自本端子网数据流。
    • 确认华为云ECS所在的安全组已经放通去往对端子网数据流。

      ECS安全组可以选择“计算 > 虚拟弹性云服务器”,单击ECS名称,选择“安全组”,单击“配置规则”查看。

    • 确认华为云ECS所在的安全组已经放通来自对端子网数据流。
  • 互联子网的ACL规则配置不正确
    • 确认互联子网的ACL规则中,是否已放通所有本端子网到对端子网的TCP协议端口。
      1. 选择“虚拟专用网络 > 企业版-VPN网关”,单击VPN网关名称。
      2. “基本信息”页签,记录互联子网信息。
      3. “基本信息”页签,单击关联模式对应的VPC名称。
      4. 在VPC“基本信息”页签右边“网络互通概览”区域,单击子网个数。
      5. 根据网段匹配互联子网,并单击“网络ACL”的ACL名称。
      6. 放通所有本端子网到对端子网的TCP协议端口。
  • 检查客户设备侧放通策略
    • 确认客户设备侧已经放通去往华为云VPN本端子网的数据流。
    • 确认客户设备侧已经放通来自华为云VPN本端子网的数据流。

    华为云本端子网可以选择“虚拟专用网络 > 企业版-VPN网关”,单击VPN网关名称,在“基本信息”页签查看。

  • 检查客户设备侧路由配置
    • 确认公网路由配置正确:目的地址为华为云VPN网关EIP地址,下一跳为设备出口地址。
    • 确认私网路由配置正确:目的地址为华为云VPN本端子网,下一跳为设备出口地址。

      华为云本端子网可以选择“虚拟专用网络 > 企业版-VPN网关”,单击VPN网关名称,在“基本信息”页签查看。

相关文档