网络通信 频道

TECS资源池SSH控制节点虚机提示connection refused的问题处理

  某局点现场TECS控制节点的TECSClient平面使用双栈配置,同时使用IPv4和IPv6。

  运维人员在维护过程中,通过TECSClient IPv6地址能够使用SSH方式正常连接到控制节点虚拟机操作系统中,但是通过TECSClient IPv4地址SSH连接控制节点虚拟机操作系统,会提示Connection refused,无法使用SSH正常访问虚拟机操作系统。

  报错信息如下图所示。

  通过TECSClient IPv6地址能够使用SSH方式正常连接到控制节点虚拟机操作系统中,表明操作系统目前是正常状态。分析无法通过TECSClient IPv4地址正常访问控制节点虚拟机操作系统的可能原因如下:

  服务器地址丢失导致无法访问。

  地址冲突导致无法访问。

  防火墙配置错误导致无法访问。

  服务器系统内部文件配置错误导致无法访问。

  问题分析过程如下:

  1.排查TECSClient IPv4地址是否正常。

  使用堡垒机的cmd命令行,执行Ping命令,能够正常Ping通TECSClient IPv4地址,表明堡垒机到TECSClient IPv4对应的地址是正常的,如下图所示。

  2.排查是否由于TECSClient IPv4地址和现网其他运维地址冲突,导致该IPv4地址无法正常SSH登录。

  屏蔽TECS对应的IPv4地址,通过堡垒机尝试Ping对应的IPv4地址,进一步判断地址是否冲突。具体操作如下:

  a.通过TECSClient IPv6地址SSH访问控制节点虚拟机。

  b.执行ip a|grep xxxx 命令,确认TECSClient IPv4地址对应的网卡是eth_MANA.702,如下图所示。

  a.执行ifdown eth_MANA.702命令,关闭TECSClient IPv4地址。

  c.使用堡垒机的cmd命令行,执行Ping命令,已无法正常Ping通TECSClient IPv4地址,如下图所示。表明当前TECSClient IPv4地址和现网其他运维地址没有冲突。

  d.通过TECSClient IPv6地址SSH访问控制节点虚拟机,执行ifup eth_MANA.702命令,恢复TECSClient IPv4地址。

  e.使用堡垒机的cmd命令行,执行Ping命令,能够正常Ping通TECSClient IPv4地址。

  3.排查是否由于防火墙屏蔽,导致无法正常通过TECSClient IPv4地址SSH登录。

  联系安全厂家确认防火墙未做相关该IP地址的端口访问限制。

  4.排查是否为控制节点虚拟机操作系统自身的限制问题,有特殊配置禁止堡垒机地址段的SSH访问。

  a.执行ssh vtu@<ip地址> -vvv命令,提示连接拒绝报错。

  b.-vvv可进入SSH调试模式,v越多表明调试信息越详细。通过如下信息查看,为控制节点虚拟机操作系统自身限制了IPv4的SSH访问,如下图所示。

  5.检查控制节点虚拟机操作系统的SSH配置文件。

  6.在节点上执行cat /etc/ssh/sshd_config命令,检查SSH地址的配置只有IPv6地址,缺少对应IPv4地址。证实是由于该配置导致无法通过TECSClient IPv4地址SSH连接控制节点虚拟机操作系统,如下图所示。

  1.执行vi /etc/ssh/sshd_config命令,编辑sshd_config配置文件,将IPv4地址加入到列表中,如图7所示。

  2.编辑完成后执行wq!命令,保存退出配置。

  3.在操作系统中执行systemctl restart sshd.service命令,重启SSH服务,使修改的配置能够正常生效。

  4.完成SSH服务重启后,通过TECSClient IPv4地址SSH连接控制节点虚拟机操作系统,能够正常SSH访问,如下图所示。

  检查其他节点是否有相同问题,执行相同配置操作。

0
相关文章