înregistrare Logare
Puncte:0
avatar Server

Interfața de rețea secundară nu poate fi trimisă prin ping cu Amazon Linux 2 AMI

drapel ru
Cal

Povestea scurtă: ambele adrese IP private de pe interfața de rețea primară pot fi trimise ping, dar ambele adrese IP private de pe interfața de rețea secundară nu pot fi ping.

Poveste lunga:

Bazat pe aceasta aws documentatie, folosind Amazon Linux 2 AMI, va configura automat interfețe de rețea și adrese IP suplimentare.

Cu o instanță micro ec2, teoretic poate avea 4 adrese IP private (2 interfețe de rețea, 2 adrese IP pe fiecare interfață de rețea)

Pașii mei:

  1. Creați o instanță ec2 din Amazon Linux 2 AMI, setați două adrese IP private în timpul creării
  2. Asociați o adresă IP elastică
  3. După creare, atașați o interfață de rețea secundară cu 2 adrese IP private (aceeași subrețea și același grup de securitate ca NIC-ul principal).
  4. Conectați-vă la instanță, reporniți interfața de rețea folosind comanda din documentație: repornirea rețelei de serviciu sudo

ip a ieșire:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue stare UNKNOWN grup implicit qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
    inet6 ::1/128 scope host
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc mq stare UP grup implicit qlen 1000
    link/ether 0e:31:86:22:95:b4 brd ff:ff:ff:ff:ff:ff
    inet 172.31.1.101/20 brd 172.31.15.255 scope global dynamic eth0
       valid_lft 2509sec preferred_lft 2509sec
    inet 172.31.1.102/20 brd 172.31.15.255 domeniul de aplicare global secundar eth0
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
    inet6 fe80::c31:86ff:fe22:95b4/64 scope link
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc mq stare UP grup implicit qlen 1000
    link/ether 0e:ff:4a:aa:cb:66 brd ff:ff:ff:ff:ff:ff
    inet 172.31.2.201/20 brd 172.31.15.255 scope global dynamic eth1
       valid_lft 2325sec preferred_lft 2325sec
    inet 172.31.2.202/20 brd 172.31.15.255 domeniul de aplicare global secundar eth1
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
    inet6 fe80::cff:4aff:feaa:cb66/64 scope link
       valid_lft pentru totdeauna preferred_lft pentru totdeauna

ip r ieșire:

implicit prin 172.31.0.1 dev eth0
implicit prin 172.31.0.1 dev eth1 metric 10001
169.254.169.254 dev eth0
172.31.0.0/20 dev eth0 proto kernel scope link src 172.31.1.101
172.31.0.0/20 dev eth1 proto kernel scope link src 172.31.2.201

regula ip ieșire:

0: din toate căutările locale
32764: de la 172.31.2.202 căutare 10001
32765: de la 172.31.2.201 căutare 10001
32766: din toate căutările principale
32767: din toate căutările implicite

ruta ip arată tabelul 10001 ieșire:

implicit prin 172.31.0.1 dev eth1
172.31.0.0/20 dev eth1 proto kernel scope link src 172.31.2.201

sysctl -ar 'conf.eth.\.arp_' ieșire:

net.ipv4.conf.eth0.arp_accept = 0
net.ipv4.conf.eth0.arp_announce = 0
net.ipv4.conf.eth0.arp_filter = 0
net.ipv4.conf.eth0.arp_ignore = 0
net.ipv4.conf.eth0.arp_notify = 0
net.ipv4.conf.eth1.arp_accept = 0
net.ipv4.conf.eth1.arp_announce = 0
net.ipv4.conf.eth1.arp_filter = 0
net.ipv4.conf.eth1.arp_ignore = 0
net.ipv4.conf.eth1.arp_notify = 0

Cu toate configurațiile de mai sus, ambele adrese IP private de pe interfața de rețea primară pot fi trimise ping (din altă instanță ec2). Dar ambele adrese IP de pe interfața de rețea secundară NU POATE fi trimise ping (gazdă de destinație inaccesabilă).

De asemenea, setarea grupului de securitate să se deschidă pentru tot traficul, toate sursele, nu ajută.

134
0 + 4
A.B avatar
drapel cl
A.B
Pentru a fi complet, trebuie să adăugați „ip route show table 10001”. Oricum imaginea completă a aspectului rețelei nu este clară (pentru cineva care nu cunoaște bine AWS). De asemenea, aș verifica setările arp pentru un astfel de caz: `sysctl -ar 'conf.eth.\.arp_'`.
0
Răspunde
drapel ru
Cal
@A.B Am adăugat aceste două informații, vă rog să-mi spuneți dacă aveți nevoie de altceva. Mulțumiri!
0
Răspunde
A.B avatar
drapel cl
A.B
Îmi pare rău, cunoștințele despre cum este realizată rețeaua AWS ar ajuta. Pot să ofer doar câteva teste. Când încercați o conexiune, rulați un tcpdump pe gazda client și două pe această gazdă țintă: unul pe fiecare interfață. căutați atât traficul dorit (de exemplu: ICMP pentru ping) cât și traficul ARP (puteți reseta tabelul ARP pe un client Linux cu `ip neigh flush all`). În mod normal, ar trebui să vedeți aceeași difuzare ARP pe ambele interfețe, sau configurarea rețelei nu este ceea ce m-aș aștepta. Nu prea știu cum să merg mai departe
0
Răspunde
drapel ru
Cal
@A.B Mulțumesc foarte mult, lasă-mă să încerc asta.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.