由于机房存在大量不同客户的服务器，允许二层互访存在较大风险，服务器容易被入侵或者受到ARP攻击，出于对客户服务器安全考虑，机房内服务器之间默认均会进行二层安全隔离。

机房普通IP段的服务器使用同一C段IP地址进行访问是无法访问的。

如上图所示：

【服务器1】和【服务器2】都有23.234.20.0/24这个地址段的IP。由于端口安全隔离的原因，他们相互之间是无法访问的。

【服务器1】是无法访问同一个机房内其他配置有23.234.20.x这个IP地址的服务器的。

我们发现一些客户会遇到服务器之间不能互通，比如下面这种情况：客户说2台服务器无法访问。在【服务器1】上ping不通【服务器2】的IP.

由于【服务器1】和【服务器2】都有23.234.19.0/24这个网段的IP，所以他们直接访问会直通通过二层交换来进行，由于交换机对二层交换进隔离，结果导致不通。

使用ping检测的时候，报错提示中会显示一个本机的IP，说明是二层隔离原因导致的无法通信。

正常ping检测不通的错误提示是请求超时：

疑问：

为什么在【服务器1】上ping【服务器2】的其他网段的IP(比如23.252.162.2)也不通呢?

当【服务器1】ping 23.252.162.2的时候，交换机是不会对其进行二层隔离的，所以数据包发送到【服务器2】上去，但是【服务器2】在回复【服务器1】的通信的时候，会发现【服务器1】的IP和自己的一个IP在同一个网段上，回复时候就会被二层隔离掉。

解决方法：

1、(推荐)更换对应主机的IP地址，确保需要访问的主机之间不存在共一个网段的地址。这样服务器之间可以使用三层IP进行通信。

2、增加内网互通接口进行内网互联。(详细情况参考关于机房组建内网说明)

3、(不推荐)取消端口隔离。把服务器网口的二层安全隔离取消，服务器之间虽然可以进行互通，但是，每台服务器都增加被二层攻击入侵的风险。特别是ARP攻击，建议采用这个方法的客户务必自行安装相关的防御软件。

特别声明：

为客户服务器安全起见，HOSTSPACE从2015年5月12日开始不允许网维值班人员在故障处理时直接取消安全隔离，相关操作必须经过客户同意后再进行操作。

如您发现有值班人员未告知相关风险而直接操作，请于工作时间联系业务进行投诉。