某局點現(xiàn)場TECS控制節(jié)點的TECSClient平面使用雙棧配置，同時使用IPv4和IPv6。

運維人員在維護過程中，通過TECSClient IPv6地址能夠使用SSH方式正常連接到控制節(jié)點虛擬機操作系統(tǒng)中，但是通過TECSClient IPv4地址SSH連接控制節(jié)點虛擬機操作系統(tǒng)，會提示Connection refused，無法使用SSH正常訪問虛擬機操作系統(tǒng)。

報錯信息如下圖所示。

通過TECSClient IPv6地址能夠使用SSH方式正常連接到控制節(jié)點虛擬機操作系統(tǒng)中，表明操作系統(tǒng)目前是正常狀態(tài)。分析無法通過TECSClient IPv4地址正常訪問控制節(jié)點虛擬機操作系統(tǒng)的可能原因如下：

服務(wù)器地址丟失導(dǎo)致無法訪問。

地址沖突導(dǎo)致無法訪問。

防火墻配置錯誤導(dǎo)致無法訪問。

服務(wù)器系統(tǒng)內(nèi)部文件配置錯誤導(dǎo)致無法訪問。

問題分析過程如下：

1.排查TECSClient IPv4地址是否正常。

使用堡壘機的cmd命令行，執(zhí)行Ping命令，能夠正常Ping通TECSClient IPv4地址，表明堡壘機到TECSClient IPv4對應(yīng)的地址是正常的，如下圖所示。

2.排查是否由于TECSClient IPv4地址和現(xiàn)網(wǎng)其他運維地址沖突，導(dǎo)致該IPv4地址無法正常SSH登錄。

屏蔽TECS對應(yīng)的IPv4地址，通過堡壘機嘗試Ping對應(yīng)的IPv4地址，進一步判斷地址是否沖突。具體操作如下：

a.通過TECSClient IPv6地址SSH訪問控制節(jié)點虛擬機。

b.執(zhí)行ip a|grep xxxx 命令，確認(rèn)TECSClient IPv4地址對應(yīng)的網(wǎng)卡是eth_MANA.702，如下圖所示。

a.執(zhí)行ifdown eth_MANA.702命令，關(guān)閉TECSClient IPv4地址。

c.使用堡壘機的cmd命令行，執(zhí)行Ping命令，已無法正常Ping通TECSClient IPv4地址，如下圖所示。表明當(dāng)前TECSClient IPv4地址和現(xiàn)網(wǎng)其他運維地址沒有沖突。

d.通過TECSClient IPv6地址SSH訪問控制節(jié)點虛擬機，執(zhí)行ifup eth_MANA.702命令，恢復(fù)TECSClient IPv4地址。

e.使用堡壘機的cmd命令行，執(zhí)行Ping命令，能夠正常Ping通TECSClient IPv4地址。

3.排查是否由于防火墻屏蔽，導(dǎo)致無法正常通過TECSClient IPv4地址SSH登錄。

聯(lián)系安全廠家確認(rèn)防火墻未做相關(guān)該IP地址的端口訪問限制。

4.排查是否為控制節(jié)點虛擬機操作系統(tǒng)自身的限制問題，有特殊配置禁止堡壘機地址段的SSH訪問。

a.執(zhí)行ssh vtu@-vvv命令，提示連接拒絕報錯。

b.-vvv可進入SSH調(diào)試模式，v越多表明調(diào)試信息越詳細。通過如下信息查看，為控制節(jié)點虛擬機操作系統(tǒng)自身限制了IPv4的SSH訪問，如下圖所示。

5.檢查控制節(jié)點虛擬機操作系統(tǒng)的SSH配置文件。

6.在節(jié)點上執(zhí)行cat /etc/ssh/sshd_config命令，檢查SSH地址的配置只有IPv6地址，缺少對應(yīng)IPv4地址。證實是由于該配置導(dǎo)致無法通過TECSClient IPv4地址SSH連接控制節(jié)點虛擬機操作系統(tǒng)，如下圖所示。

1.執(zhí)行vi /etc/ssh/sshd_config命令，編輯sshd_config配置文件，將IPv4地址加入到列表中，如圖7所示。

2.編輯完成后執(zhí)行wq!命令，保存退出配置。

3.在操作系統(tǒng)中執(zhí)行systemctl restart sshd.service命令，重啟SSH服務(wù)，使修改的配置能夠正常生效。



4.完成SSH服務(wù)重啟后，通過TECSClient IPv4地址SSH連接控制節(jié)點虛擬機操作系統(tǒng)，能夠正常SSH訪問，如下圖所示。



檢查其他節(jié)點是否有相同問題，執(zhí)行相同配置操作。