問題描述

用戶購買彈性公網IP并綁定云主機后，無法Ping通彈性公網IP，或者云主機Ping不通外網。

排查思路

以下排查思路根據原因的出現概率進行排序，建議您從高頻率原因往低頻率原因排查，從而幫助您快速找到問題的原因。

如果解決完某個可能原因仍未解決問題，請繼續排查其他可能原因。

圖 彈性公網IP Ping不通排查思路

表 彈性公網IP Ping不通排查思路

可能原因	處理措施
安全組未添加ICMP規則	安全組添加ICMP規則，詳細操作請參考檢查安全組規則。
防火墻設置了禁Ping	檢查防火墻對ICMP規則的啟用狀態，詳細操作請參考檢查防火墻設置。
云主機設置了禁Ping	檢查云主機對ICMP規則的啟用狀態，詳細操作請參考檢查云主機是否設置了禁Ping。
關聯了網絡ACL	如果VPC關聯了網絡ACL，請檢查“網絡ACL”規則，詳細操作請參考檢查網絡ACL規則。
網絡異常	檢查本地網絡，使用相同區域主機進行Ping測試，詳細操作請參考檢查網絡是否正常。
多網卡場景，路由信息配置不正確	擴展網卡導致網絡不通現象通常是路由配置問題，詳細操作請參考檢查云主機路由配置（多網卡場景）。

檢查安全組規則

Ping使用的是ICMP協議，請檢查云主機對應的安全組是否放通了“入方向”的“ICMP”規則。

1. 登錄管理控制臺。
2. 選擇“計算 > 彈性云主機”。
3. 在彈性云主機列表，單擊待變更安全組規則的彈性云主機名稱。

系統跳轉至該彈性云主機詳情頁面。

4. 選擇“安全組”頁簽，展開安全組，查看安全組規則。
5. 單擊安全組ID。

系統自動跳轉至安全組頁面。

6. 在入方向規則頁簽，單擊“添加規則”，添加入方向規則。

表 安全組規則

方向	類型	協議和端口	源地址
入方向	IPv4	ICMP：Any	0.0.0.0/00.0.0.0/0表示所有IP地址

7. 單擊“確定”，完成安全組規則配置。

檢查防火墻設置

如果云主機開啟了防火墻，需要檢查防火墻對Ping規則是否有限制。

Linux系統云主機

1. 執行以下命令查看防火墻狀態，以CentOS 7操作系統為例。

Firewall-cmd --state

回顯信息顯示“running”代表防火墻已開啟。

2. 查看云主機內部是否有安全規則所限制。

iptables -L

回顯信息如下圖所示說明沒有ICMP規則沒有被限制。

圖 查看防火墻規則

如果ICMP規則被限制，請執行以下命令啟用對應規則。

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

Windows操作系統

1. 登錄Windows云主機，單擊桌面左下角的Windows圖標，選擇“控制面板 > Windows防火墻”。

2. 單擊“啟用或關閉Windows防火墻”。

   查看并設置防火墻的具體狀態：開啟或關閉。

3. 如果防火墻狀態為“開啟”，請執行4。

4. 檢查防火墻對ICMP規則的啟用狀態。

   a. 在“Windows防火墻”頁面，在左側導航欄選擇“高級設置 ”。

   b. 啟用以下規則。

   入站規則：“文件和打印機共享（回顯請求-ICMPv4-In）”

   出站規則：“文件和打印機共享（回顯請求-ICMPv4-Out）”

   如啟用了IPV6請同時啟用以下規則：

   入站規則：“文件和打印機共享（回顯請求-ICMPv6-In）”

   出站規則：“文件和打印機共享（回顯請求-ICMPv6-Out）”

圖 入站規則

圖 出站規則

檢查云主機是否設置了禁Ping

Windows

使用命令行方式開啟Ping設置。

1. 打開cmd運行窗口。
2. 執行如下命令開啟Ping設置。

netsh firewall set icmpsetting 8

Linux

檢查云主機的內核參數。

1. 檢查文件/etc/sysctl.conf中配置項“net.ipv4.icmp_echo_ignore_all”的值，0表示允許Ping，1表示禁止Ping。
2. 允許PING設置。

? 臨時允許PING操作的命令：

#echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all

? 永久允許PING配置方法：

net.ipv4.icmp_echo_ignore_all=0

檢查網絡ACL規則

VPC默認沒有網絡ACL，如果關聯了網絡ACL，請檢查“網絡ACL”規則。

1. 查看云主機對應的子網是否關聯了網絡ACL。

   如顯示具體的網絡ACL名稱說明已關聯網絡ACL。

2. 點擊網絡ACL名稱查看網絡ACL的狀態。

3. 若“網絡ACL”為“開啟”狀態，需要添加ICMP放通規則進行流量放通。

說明
需要注意“網絡ACL”的默認規則是丟棄所有出入方向的包，若關閉“網絡ACL”后，其默認規則仍然生效。

檢查網絡是否正常

1. 檢查本地網絡，使用相同區域主機進行Ping測試。

   使用在相同區域的云主機去Ping沒有Ping通的彈性公網IP，如果可以正常Ping通說明虛擬網絡正常，請排除本地網絡故障后重新Ping測試。

2. 檢查是否鏈路故障。

   鏈路擁塞、鏈路節點故障、服務器負載高等問題均可能引起執行Ping命令時出現丟包或時延過高的問題。

檢查云主機路由配置（多網卡場景）

一般操作系統的默認路由優先使用主網卡，如果出現使用擴展網卡導致網絡不通現象通常是路由配置問題。

• 如果云主機配置了多網卡，請確認云主機內默認路由是否存在。

  a. 登錄云主機，執行如下命令，查看是否存在默認路由。

ip route

圖 查看默認路由

b. 若沒有該路由，執行如下命令，添加默認路由。

ip route add default via XXXX dev eth0

XXXX表示網關IP。

• 如果云主機配置了多網卡，且彈性IP綁定在非主網卡上，需要在云主機內部配置策略路由來實現非主網卡的通信。