通讯!TECS资源池SSH控制节点虚机提示connectionrefused的问题处理

2023-06-05 21:07:01 来源:面包芯语

某局点现场TECS控制节点的TECSClient平面使用双栈配置,同时使用IPv4和IPv6。

运维人员在维护过程中,通过TECSClient IPv6地址能够使用SSH方式正常连接到控制节点虚拟机操作系统中,但是通过TECSClient IPv4地址SSH连接控制节点虚拟机操作系统,会提示Connection refused,无法使用SSH正常访问虚拟机操作系统。

报错信息如下图所示。


(资料图片仅供参考)

通过TECSClient IPv6地址能够使用SSH方式正常连接到控制节点虚拟机操作系统中,表明操作系统目前是正常状态。分析无法通过TECSClient IPv4地址正常访问控制节点虚拟机操作系统的可能原因如下:

服务器地址丢失导致无法访问。

地址冲突导致无法访问。

防火墙配置错误导致无法访问。

服务器系统内部文件配置错误导致无法访问。

问题分析过程如下:

1.排查TECSClient IPv4地址是否正常。

使用堡垒机的cmd命令行,执行Ping命令,能够正常Ping通TECSClient IPv4地址,表明堡垒机到TECSClient IPv4对应的地址是正常的,如下图所示。

2.排查是否由于TECSClient IPv4地址和现网其他运维地址冲突,导致该IPv4地址无法正常SSH登录。

屏蔽TECS对应的IPv4地址,通过堡垒机尝试Ping对应的IPv4地址,进一步判断地址是否冲突。具体操作如下:

a.通过TECSClient IPv6地址SSH访问控制节点虚拟机。

b.执行ip a|grep xxxx 命令,确认TECSClient IPv4地址对应的网卡是eth_MANA.702,如下图所示。

a.执行ifdown eth_MANA.702命令,关闭TECSClient IPv4地址。

c.使用堡垒机的cmd命令行,执行Ping命令,已无法正常Ping通TECSClient IPv4地址,如下图所示。表明当前TECSClient IPv4地址和现网其他运维地址没有冲突。

d.通过TECSClient IPv6地址SSH访问控制节点虚拟机,执行ifup eth_MANA.702命令,恢复TECSClient IPv4地址。

e.使用堡垒机的cmd命令行,执行Ping命令,能够正常Ping通TECSClient IPv4地址。

3.排查是否由于防火墙屏蔽,导致无法正常通过TECSClient IPv4地址SSH登录。

联系安全厂家确认防火墙未做相关该IP地址的端口访问限制。

4.排查是否为控制节点虚拟机操作系统自身的限制问题,有特殊配置禁止堡垒机地址段的SSH访问。

a.执行ssh vtu@-vvv命令,提示连接拒绝报错。

b.-vvv可进入SSH调试模式,v越多表明调试信息越详细。通过如下信息查看,为控制节点虚拟机操作系统自身限制了IPv4的SSH访问,如下图所示。

5.检查控制节点虚拟机操作系统的SSH配置文件。

6.在节点上执行cat /etc/ssh/sshd_config命令,检查SSH地址的配置只有IPv6地址,缺少对应IPv4地址。证实是由于该配置导致无法通过TECSClient IPv4地址SSH连接控制节点虚拟机操作系统,如下图所示。

1.执行vi /etc/ssh/sshd_config命令,编辑sshd_config配置文件,将IPv4地址加入到列表中,如图7所示。

x 广告
最近更新