由于机房存在大量不同客户的服务器,允许二层互访存在较大风险,服务器容易被入侵或者受到ARP攻击,出于对客户服务器安全考虑,机房内服务器之间默认均会进行二层安全隔离。
机房普通IP段的服务器使用同一C段IP地址进行访问是无法访问的。
如上图所示:
【服务器1】和【服务器2】都有23.234.20.0/24这个地址段的IP。由于端口安全隔离的原因,他们相互之间是无法访问的。
【服务器1】是无法访问同一个机房内其他配置有23.234.20.x这个IP地址的服务器的。
我们发现一些客户会遇到服务器之间不能互通,比如下面这种情况:客户说2台服务器无法访问。在【服务器1】上ping不通【服务器2】的IP.
由于【服务器1】和【服务器2】都有23.234.19.0/24这个网段的IP,所以他们直接访问会直通通过二层交换来进行,由于交换机对二层交换进隔离,结果导致不通。
使用ping检测的时候,报错提示中会显示一个本机的IP,说明是二层隔离原因导致的无法通信。
正常ping检测不通的错误提示是请求超时:
疑问:
为什么在【服务器1】上ping【服务器2】的其他网段的IP(比如23.252.162.2)也不通呢?
当【服务器1】ping 23.252.162.2的时候,交换机是不会对其进行二层隔离的,所以数据包发送到【服务器2】上去,但是【服务器2】在回复【服务器1】的通信的时候,会发现【服务器1】的IP和自己的一个IP在同一个网段上,回复时候就会被二层隔离掉。
解决方法:
1、(推荐)更换对应主机的IP地址,确保需要访问的主机之间不存在共一个网段的地址。这样服务器之间可以使用三层IP进行通信。
2、增加内网互通接口进行内网互联。(详细情况参考关于机房组建内网说明)
3、(不推荐)取消端口隔离。把服务器网口的二层安全隔离取消,服务器之间虽然可以进行互通,但是,每台服务器都增加被二层攻击入侵的风险。特别是ARP攻击,建议采用这个方法的客户务必自行安装相关的防御软件。
特别声明:
为客户服务器安全起见,HOSTSPACE从2015年5月12日开始不允许网维值班人员在故障处理时直接取消安全隔离,相关操作必须经过客户同意后再进行操作。
如您发现有值班人员未告知相关风险而直接操作,请于工作时间联系业务进行投诉。