某局点现场TECS控制节点的TECSClient平面使用双栈配置,同时使用IPv4和IPv6。
运维人员在维护过程中,通过TECSClient IPv6地址能够使用SSH方式正常连接到控制节点虚拟机操作系统中,但是通过TECSClient IPv4地址SSH连接控制节点虚拟机操作系统,会提示Connection refused,无法使用SSH正常访问虚拟机操作系统。
报错信息如下图所示。
(资料图片仅供参考)
通过TECSClient IPv6地址能够使用SSH方式正常连接到控制节点虚拟机操作系统中,表明操作系统目前是正常状态。分析无法通过TECSClient IPv4地址正常访问控制节点虚拟机操作系统的可能原因如下:
服务器地址丢失导致无法访问。
地址冲突导致无法访问。
防火墙配置错误导致无法访问。
服务器系统内部文件配置错误导致无法访问。
问题分析过程如下:
1.排查TECSClient IPv4地址是否正常。
使用堡垒机的cmd命令行,执行Ping命令,能够正常Ping通TECSClient IPv4地址,表明堡垒机到TECSClient IPv4对应的地址是正常的,如下图所示。
2.排查是否由于TECSClient IPv4地址和现网其他运维地址冲突,导致该IPv4地址无法正常SSH登录。
屏蔽TECS对应的IPv4地址,通过堡垒机尝试Ping对应的IPv4地址,进一步判断地址是否冲突。具体操作如下:
a.通过TECSClient IPv6地址SSH访问控制节点虚拟机。
b.执行ip a|grep xxxx 命令,确认TECSClient IPv4地址对应的网卡是eth_MANA.702,如下图所示。
a.执行ifdown eth_MANA.702命令,关闭TECSClient IPv4地址。
c.使用堡垒机的cmd命令行,执行Ping命令,已无法正常Ping通TECSClient IPv4地址,如下图所示。表明当前TECSClient IPv4地址和现网其他运维地址没有冲突。
d.通过TECSClient IPv6地址SSH访问控制节点虚拟机,执行ifup eth_MANA.702命令,恢复TECSClient IPv4地址。
e.使用堡垒机的cmd命令行,执行Ping命令,能够正常Ping通TECSClient IPv4地址。
3.排查是否由于防火墙屏蔽,导致无法正常通过TECSClient IPv4地址SSH登录。
联系安全厂家确认防火墙未做相关该IP地址的端口访问限制。
4.排查是否为控制节点虚拟机操作系统自身的限制问题,有特殊配置禁止堡垒机地址段的SSH访问。
a.执行ssh vtu@
b.-vvv可进入SSH调试模式,v越多表明调试信息越详细。通过如下信息查看,为控制节点虚拟机操作系统自身限制了IPv4的SSH访问,如下图所示。
5.检查控制节点虚拟机操作系统的SSH配置文件。
6.在节点上执行cat /etc/ssh/sshd_config命令,检查SSH地址的配置只有IPv6地址,缺少对应IPv4地址。证实是由于该配置导致无法通过TECSClient IPv4地址SSH连接控制节点虚拟机操作系统,如下图所示。
1.执行vi /etc/ssh/sshd_config命令,编辑sshd_config配置文件,将IPv4地址加入到列表中,如图7所示。