文档首页/ 虚拟私有云 VPC/ 常见问题/ 对等连接类/ 为什么对等连接创建完成后不能互通?
更新时间:2024-10-25 GMT+08:00
查看PDF
分享

为什么对等连接创建完成后不能互通?

问题描述

对等连接创建完成后,本端VPC和对端VPC网络不互通。

操作视频

本视频介绍VPC对等连接配置完成后,两端VPC网络仍然不通的可能原因及排查方法。

排查思路

问题排查思路请参见图1,以下排查思路根据原因的出现概率进行排序,建议您从高频率原因往低频率原因排查,从而帮助您快速找到问题的原因。

图1 对等连接网络不通排查思路
表1 排查思路-对等连接不通

序号

可能原因

处理措施

1

对等连接中本端VPC和对端VPC网段重叠

  • VPC网段重叠,且全部子网重叠。
  • VPC网段重叠,且部分子网重叠。

当对等连接中本端VPC和对端VPC网段重叠时,对等连接可能不生效,处理方法请参见对等连接中本端VPC和对端VPC网段重叠

2

对等连接路由配置错误

  • 没有在本端VPC和对端VPC内配置对等连接路由。
  • 对等连接路由地址配置错误。
  • 对于云上和云下互通的组网,检查对等连接路由是否和云专线、VPN路由的目的地址重叠。

当对等连接的路由配置错误时,会导致对等连接的网络流量无法正确送到目的地址,处理方法请参见对等连接路由配置错误

3
网络配置错误
  • 检查需要通信的ECS安全组规则是否配置正确。
  • 检查ECS网卡的防火墙配置。
  • 检查对等连接连通的子网网络ACL规则是否配置正确。
  • 对于多网卡的ECS,检查ECS内部的策略路由配置。

请参见网络配置错误

4

ECS基本网络功能异常

请参见ECS基本网络功能异常

如果上述方法均不能解决您的疑问,请提交工单寻求更多帮助。

对等连接中本端VPC和对端VPC网段重叠

VPC网段重叠的情况下,容易因为路由冲突导致对等连接不生效,具体如表2所示。

表2 对等连接中本端VPC和对端VPC网段重叠

场景说明

场景示例

解决方法

VPC网段重叠,且全部子网重叠

组网图如图2所示,VPC-A和VPC-B网段重叠,且全部子网重叠。

  • VPC-A和VPC-B的网段重叠,均为10.0.0.0/16。
  • VPC-A中的子网Subnet-A01和VPC-B中的子网Subnet-B01网段重叠,均为10.0.0.0/24。
  • VPC-A中的子网Subnet-A02和VPC-B中的子网Subnet-B02网段重叠,均为10.0.1.0/24。

不支持使用VPC对等连接。

本示例中,VPC-A和VPC-B无法使用对等连接连通,请重新规划网络。

VPC网段重叠,且部分子网重叠

组网图如图3所示,VPC-A和VPC-B网段重叠,且部分子网重叠。

  • VPC-A和VPC-B的网段重叠,均为10.0.0.0/16。
  • VPC-A中的子网Subnet-A01和VPC-B中的子网Subnet-B01网段重叠,均为10.0.0.0/24。
  • VPC-A中的子网Subnet-A02和VPC-B中的子网Subnet-B02网段不重叠。
  • 无法创建指向整个VPC网段的对等连接。

    本示例中,对等连接无法连通VPC-A和VPC-B之间的全部网络。

  • 可以创建指向子网的对等连接,对等连接两端的子网网段不能包含重叠子网。本示例中,对等连接可以连通子网Subnet-A02和Subnet-B02之间的网络,详细的配置方法请参见图4
图2 VPC网段重叠,且全部子网重叠(IPv4)
图3 VPC网段重叠,且部分子网重叠(IPv4)

当VPC网段重叠,且部分子网重叠,您可以在网段不重叠的子网之间建立对等连接。本示例为创建Subnet-A02和Subnet-B02之间的对等连接,组网图如图4所示,路由添加方法请参见表3

图4 VPC网段重叠,部分子网重叠(IPv4)-正确配置
表3 Subnet-A02和Subnet-B02之间的对等连接

路由表

目的地址

下一跳

路由说明

VPC-A的路由表

10.0.2.0/24

Peering-AB

在VPC-A的路由表中,添加目的地址为Subnet-B02子网网段,下一跳指向Peering-AB的路由。

VPC-B的路由表

10.0.1.0/24

Peering-AB

在VPC-B的路由表中,添加目的地址为Subnet-A02子网网段,下一跳指向Peering-AB的路由。
  • 由于网段重叠导致对等连接不生效的详细原理说明,请参见无效的VPC对等连接配置
  • 该限制同样适用于IPv6场景,即使您只需要使用对等连接实现不同VPC之间的IPv6通信,此时如果对等连接两端VPC的IPv4网段和子网重叠,那么您创建的对等连接也不会生效。

对等连接路由配置错误

对等连接创建完成后,请参考查看对等连接路由,在本端VPC和对端VPC的路由表中检查路由添加情况,检查项目如表4

表4 对等连接路由配置检查项

路由配置检查项

处理方法

在本端VPC和对端VPC的路由表中,检查是否添加路由。

如果您未添加路由,请参考以下章节中的添加路由步骤:
检查对等连接路由地址配置是否正确。
  • 在本端VPC内,检查路由的目的地址是否为对端VPC的网段,子网网段或者相关的私有IP地址。
  • 在对端VPC内,检查路由的目的地址是否为本端VPC的网段,子网网段或者相关的私有IP地址。

如果路由目的地址配置错误,请参考修改对等连接路由修改路由地址。

对于云上和云下互通的组网,检查对等连接路由是否和云专线、VPN路由的目的地址重叠。

查看对等连接两端的VPC下是否有VPN/云专线资源,排查路由规则的下一跳目的地址是否有重叠。

如果路由目的地址重叠,该对等连接不生效,请重新规划网络连接方案。

网络配置错误

  1. 检查需要通信的云服务器的安全组规则是否配置正确,具体方法请参见查看安全组
    • 同一个账户下的对等连接:请参见创建相同账户下的对等连接中的“步骤三:配置对等连接两端VPC内实例的安全组规则”中的安全组规则说明进行检查。
    • 不同账户下的对等连接:请参见创建不同账户下的对等连接中的“步骤四:配置对等连接两端VPC内实例的安全组规则”中的安全组规则说明进行检查。
  2. 检查云服务器网卡的防火墙配置。

    需要确认防火墙不会拦截流量,否则需要放通防火墙规则。

  3. 检查对等连接连通的子网网络ACL规则是否配置正确。

    确认对等连接涉及的子网流量未被网络ACL拦截,否则需要放通对等连接涉及的网络ACL规则。

  4. 对于多网卡的云服务器,检查云服务器内部的策略路由配置,确保源IP不同的报文匹配各自的路由,从各自所在的网卡发出。
    假设云服务器有两个网卡为eth0和eth1:
    • eth0的IP地址为192.168.1.10,所在子网的网关为192.168.1.1
    • eth1的IP地址为192.168.2.10,所在子网的网关为192.168.2.1
    分别执行以下命令:
    • ping -I eth0的IP地址 eth0所在子网的网关地址
    • ping -I eth1的IP地址 eth1所在子网的网关地址
    命令示例:
    • ping -I 192.168.1.10 192.168.1.1
    • ping -I 192.168.2.10 192.168.2.1

    如果网络通信情况正常,说明服务的多个网卡路由配置正常。

    否则需要为配置了多网卡的云服务器配置策略路由,具体请参见如何为配置了多网卡的弹性云服务器配置策略路由?

ECS基本网络功能异常

  1. 登录云服务器。

    弹性云服务器有多种登录方法,具体请参见登录弹性云服务器

  2. 检查ECS网卡是否已经正确分配到IP地址。
    • Linux云服务器:执行命令ifconfigip address查看网卡的IP信息。
    • Windows云服务器:在搜索区域输入cmd并按Enter,打开命令输入框,执行命令ipconfig查看。

    若未能分配到IP地址,处理方法请参见弹性云服务器IP获取不到时,如何排查?

  3. 检查云服务器所在子网的网关是否可以ping通,即确认基本通信功能是否正常。
    1. 在ECS列表中,单击云服务器名称超链接。

      进入云服务器详情页。

    2. 在云服务器详情页,单击虚拟有云超链接。

      进入虚拟私有云列表。

    3. 在虚拟私有云列表,单击虚拟私有云对应的“子网个数”超链接。

      进入子网列表。

    4. 在子网列表,单击子网名称超链接。

      进入子网详情页。

    5. 选择“IP地址管理”页签,查看子网的网关地址。
      图5 查看子网网关
    6. 执行以下命令,检查网关通信是否正常。

      ping 子网网关地址

      命令示例:ping 172.17.0.1

      如果无法ping通子网网关,则需首先排查二三层网络问题,具体请参见二三层通信出现问题时,如何排查?

父主题: 对等连接类

相关文档