故障现象

近期笔者在单位服务器虚拟化（VMware vSphere）集群中新建了一台虚拟主机用作Web服务器部署Web应用。虚拟主机建好后，服务器操作系统（CentOS 7）顺利安装完成，虚拟机能正常访问网络。奇怪的是，远程VPN登录服务器网络，无法访问上述创建的VMware虚拟主机，而且也无法Ping通故障虚拟主机。但远程VPN进入服务器网络，通过VMware vSphere管理主机，能Ping通上述故障虚拟主机，故障虚拟主机也能Ping通VMware vSphere管理主机。

网络架构

服务器虚拟化采用VMware vSphere6.0虚拟化软件将三台物理服务器进行集群，三台物理主机的互联网络部分和存储网络部分独立分开，每台物理服务器通过独立网络接口与存储交换机相连，然后存储交换机再与网络存储相联接。

同时，每台物理服务器通过另外一个独立网络接口与汇聚交换机相联接，再通过防火墙接入互联网。有专门的一台物理主机用作VMware vSphere管理主机和网络存储管理主机。具体结构如图1所示。

故障排查

部署Web应用的工程师需要通过SSH远程登录到新建的虚拟主机进行远程部署，反映无法通过SSH进行远程连接。SSH服务已经安装并成功启动，并且在VMware vSphere管理主机进行过SSH远程连接测试，能进行连接，用管理员账号也可以成功登录，一切正常。初步可以排除故障虚拟主机的配置问题。如果SSH服务和网络配置有问题，上述测试应该能够发现问题的。

1.联系远程部署Web应用工程师进行联合调试。要求进行Ping测试，对方反馈无法Ping通虚拟主机（虚拟主机网络允许Ping）。初步排除SSH服务引起的故障，问题很可能出在网络连接上。

2.远程登录VMware vSphere管理主机，Ping故障的虚拟主机。奇怪的现象出现了，笔者居然可以Ping通。远程部署Web应用工程师是通过VPN连接到服务器网络的，笔者也是通过VPN连接进来的。难道是VPN登录账号配置的问题？

图1 网络拓扑结构

3.登录防火墙，检查VPN配置，笔者所用VPN账号与部署工程师所用的VPN账号配置权限完全相同。为了进一步验证，用部署工程师所用的VPN账号远程登录到服务器网络，通过VMware vSphere管理主机Ping故障的虚拟主机，居然可以Ping通，说明故障跟VPN账号配置无关。

4.再次询问部署工程师是如何进行操作的。部署工程师反馈是通过VPN远程连接后，直接在本地远程连接SSH和Ping包测试的，无法通过SSH登录，也无法Ping通。部署工程师和笔者的测试不同在于：一个是VPN连接后，在本地直接访问虚拟主机，而笔者是VPN连接后，远程登录到VMware vSphere管理主机，通过VMware vSphere管理主机访问虚拟主机。VPN登录连接成功后，本地主机和VMware vSphere管理主机是一样的，都在同一个服务器组成的局域网内，不应该无法Ping通。

5.模拟部署工程师的操作进行测试。首先通过VPN登录服务器网络，在本地直接Ping故障虚拟主机，的确无法Ping通。难道是VMware vSphere网络配置的问题？尝试通过服务器局域网中的另外一台实体服务器Ping故障虚拟主机，也是可以Ping通的。VMware vSphere网络配置的问题也被排除了。

至此，故障已经相当明确了，服务器局域网本地访问是没有任何问题，问题就聚焦在VPN登录进来的主机。怀疑问题应该出在了出口防火墙的VPN配置上。

6.VPN是在内网中架设一台VPN服务器。用户连上互联网后，通过互联网连接VPN服务器，然后通过VPN服务器进入内网，可让用户通过外网访问到内网资源。VPN连接成功，就相当于内部局域网中的一台主机。

笔者单位的VPN服务器集成在了防火墙设备中。登录网络防火墙，仔细分析VPN配置，发现VPN登录进来的用户账号被分配到了172.17.70.X网段。问题进一步明晰，是172.17.70.X的网段的主机无法Ping通172.17.50.X网段的故障虚拟主机。是否172.17.70.X的网段的主机也无法Ping通172.17.50.X网段的其他主机？如果同样也无法Ping通，则问题可能出在三层转发。结合图1，可以判定是网络防火墙的问题。如果可以正常Ping通，说明仅无法Ping通故障虚拟主机，则问题很可能出在网关配置。

7.VPN远程登录连接，在本地直接Ping172.17.50.X网段的另一台服务器172.17.50.6，一切正常。由此可以推断，故障是由网关配置造成的。

故障解决

图2 故障虚拟主机网络配置

由于VPN远程登录后，可以Ping通172.17.50.X网段的其他主机，说明防火墙的VPN关于网络地址分配的配置没有问题。问题出在故障虚拟主机的网络配置。远程登录到VMware vSphere管理主机，查看故障虚拟主机的网络配置（如图2）。故障虚拟主机的网关被错设置成了172.17.50.253，正确的网关应该是172.17.50.254。修改网关，设置完成重新启动，故障消失。

经验总结

本次VMware虚拟主机网络不通故障的顺利解决，给我们提供了以下四点启发。

1.Ping命令是网络管理员的得力助手，在日常的网络维护和故障排除中有着不可替代的作用。在使用Ping命令前，请确保被Ping主机、网络设备（如：防火墙、路由器、三层交换机等设备）、Ping主机允许Ping包通过，否则根本无法确认网络是否连通。

2.网络是一个互联互通的系统，需要放在一个系统里综合考虑。开始笔者是排除故障虚拟主机的配置问题，最后问题又聚焦回故障主机的网络配置，最终通过重新修改网关配置解决问题。

3.主机在同一个网段内互相访问，无需通过网关进行转发，网关配置出错，将不会影响同一个网段内的主机互相访问。主机跨网段访问时，网关就显得至关重要了。如果网关配置出错，主机将数据包发往错误的地址，从而造成网络不通。

4.网络管理工作不能过于随意，得遵循一定的规范。之所以出现上述错误配置，是由于笔者单位内部局域网中有部分三层交换机被网络工程师配置成相应网段的253地址作为网关。按照常理网关配置一般不是网段的1地址就是254地址，一般网段的开始或者结尾地址是分配给网关使用，即172.17.50.1或者172.17.50.254。如果严格遵循这种分配规范，怎么也不会将网关错误配置成172.17.50.253。