专线连接用于搭建您本地数据中心(下文简称IDC)与云上私有网络(下文简称VPC)之间的高速、低时延、稳定安全的专属连接通道。当出现本地IDC内的服务器无法通过专线连接访问您云上VPC内的服务,或出现其他丢包、带宽不达标等问题时,您可以参考本文进行初步的问题排查。
说明
若参考本文档自助排查之后仍未解决您的专线故障问题,请提交工单联系火山引擎运维工程师协助排查。
检查专线链路连接状态
可能原因
专线链路连接状态异常。
排查方案
检查本地IDC的接入端口状态是否为DOWN。
- 如果本地IDC的接入端口状态是DOWN,请按照如下操作进行排查。
- 如果本地IDC的接入端口状态不是DOWN,请参考本文进行其他方面的排查。
当本地IDC的接入端口状态为DOWN时,您可按照如下步骤排查连接问题。
- 检查接入端口配置。
请确认您本地IDC接入设备端口已经处于激活状态。您需要查看相关配置,保证端口没有被执行shutdown命令或者陷入其他非激活状态,若有此类配置,请及时删除。 - 检查光模块状态。
请您检查您的光模块是否正常运作,包括收发光强度、电压等指标。具体情况如下:- 如果你是首次接入专线,建议使用来自同一生产商、相同规格的光模块对,可以避免由于设备兼容性问题导致的故障。
- 如果在使用过程中出现光模块异常,可能是光模块发生了故障。请确认本地IDC侧光模块的状态是否正常,同时联系售后服务经理检查专线网关光模块的状况。如果一切正常,问题可能出在传输链路上,此时请咨询您的网络运营商检查是否存在链路故障。
- 验证专线连通性。
如果是首次接入专线连接,您需要向专线运营商确认专线是否已经完成端到端的接入,并获得相关证明文档,包括专线施工完工证明和端到端的网络连通性测试报告。
- 检查接入端口配置。
检查是否存在CRC错包
可能原因
CRC错包。专线连接相关的CRC错包可能出现在如下两个位置:
- 本地IDC侧互联端口出现CRC错包。
- 火山引擎侧专线连接虚拟接口出现CRC错包。
您可通过火山引擎专线连接控制台的数据监控页面,查看火山引擎侧专线连接虚拟接口的CRC错包情况,如果CRC错误包的数量达到高风险阈值,平台会主动通知您。
排查方案
- 检查是否出现CRC错包问题。CRC错误通常源于数据传输的物理层,并可能与光模块状态异常有关。
- 出现CRC错包现象,请按照如下操作进行排查。
- 未出现CRC错包现象,请参考本文进行其他方面的排查。
- 当出现CRC错包问题时,您可按照如下步骤进行排查:
- 检查光模块的收发光强度、电压等关键指标是否处于正常范围内。如果发现数据指标异常,建议您首先尝试重新插拔光模块以判断是否能恢复正常。
- 如果问题依旧存在,需进一步测试光纤的光衰是否异常。
- 若光纤存在异常,请及时联系线缆供应商进行维修。
- 如果光纤正常,建议您考虑更换光模块。如需更换火山引擎提供的光模块,请提交工单。
检查网络配置
可能原因
网络问题原因导致的专线故障,可能为如下4种情况,您需要分别进行排查。
- 虚拟接口IP无法Ping通
- BGP 无法协商成功
- 协议无法正常工作
- Ping丢包问题
排查方案
排查点一、虚拟接口IP无法Ping通
- 从本地IDC侧Ping虚拟接口IP地址,检查虚拟接口IP是否可Ping通。
- 虚拟接口IP无法Ping通,请按照如下操作进行排查。
- 虚拟接口IP可Ping通,请进行后续BGP邻居协商状态的检查。
- 本地IDC机房设备的接口指示灯正常,但接入设备无法Ping通专线网关虚拟接口IP,请通过以下步骤排查该问题:
- IP 地址配置:请确保您已正确配置互联IP地址。
- 检查互联IP地址是否与虚拟接口配置的IP地址处于同一网段。
- 检查专线两端配置的IP地址是否唯一,没有出现IP地址重复使用的情况,并确保这些IP地址配置在正确的VLAN中。
- VLAN 配置:如果您在火山引擎控制台上创建虚拟接口时配置的VLAN ID不为0,您需要确保所有设备,包括本地IDC接入设备、运营商专线、专线网关设备以及它们之间的任何二层/三层设备都允许配置的VLAN ID通过。
- ARP表核查:请检查本地IDC设备的ARP表,确认是否已正确地学习到了专线网关虚拟接口的MAC地址条目。
- IP 地址配置:请确保您已正确配置互联IP地址。
说明
如果未学习到正确的ARP或上述步骤排查完之后均无问题但您仍无法Ping通专线网关虚拟接口,请提交工单咨询。
排查点二、BGP无法协商成功
如果IDC设备上配置的与专线网关之间的BGP peer 始终无法协商到Established状态,请通过以下步骤排查该问题:
检查BGP配置。
请确保在你的IDC设备上正确配置了BGP。本地IDC侧BGP Local ASN应和您在火山引擎控制台上创建虚拟接口时配置的ASN号一致,本地IDC侧BGP Remote ASN应为火山引擎的ASN:137718。同时,BGP peer的IP应设为专线网关的虚拟接口IP地址,BGP MD5认证密钥应设置与您在云控制台上配置的密钥一致。确认安全策略。
请检查您的IDC设备的安全策略是否已允许BGP报文和TCP 179端口(即BGP默认使用的端口)的通行。检查监视BGP peer状态机,请观察BGP peer的状态机状态。
状态 说明 Idle状态 如果BGP peer始终在此状态,BGP peer可能已被shutdown或被ignore,这将自动关闭所有连接。您需要检查设备的相关配置并尽可能删除这些命令。 Connect/Active状态 如果BGP peer处于Connect或Active状态,表明BGP的TCP连接失败。可能是链路通信故障,或者BGP peer的密码配置不正确。您需要检查相关配置。
说明
如果上述步骤排查完之后均无问题但BGP状态仍无法达到Established,请提交工单咨询。
排查点三、检测协议是否正常工作
如果启用了BFD协议,请检查IDC设备上是否正确配置了BFD,这需要您参考IDC交换机厂商提供的对应交换机型号的配置指南,并且检查安全策略已允许BFD 报文/UDP 3784/3785通过。
您可以观察BFD状态机,推测可能的情况。状态 说明 Admin Down 这个状态下,说明您的BFD被主动关闭了,需要删除如shutdwon等配置并打开BFD。 Down
Down状态出现在两个情况:
- 初始状态从未协商至UP状态。这很可能是因为配置不正确导致无法正确收发BFD报文。
- 曾经协商至UP状态,因为某些原因现在变为Down状态。此时需要通过Ping等工具检查链路连通性:
- 如果链路连通性没问题,可能是由于链路抖动或者时延增加导致BFD报文超时。
- 如果持续Down或者频繁出现震荡,请提交工单咨询。
Init Init状态是一个中间状态,通常不会有问题,如果持续维持在Init状态,很可能是对端的BFD状态机存在问题,请进行排查。 如果启用了NQA检测火山引擎侧的专线会使用NQA-ICMP进行路径检测,需要本地IDC设备上的安全策略允许ICMP报文通过。
排查点四、是否出现Ping丢包问题
当使用ping命令检测网络连接时,如果出现丢包或者时通时不通的情况,可以考虑以下方面的问题:
网络拥塞 :当您的专线带宽被打满时,可能因为拥塞导致Ping报文被丢弃,您可以前往火山引擎专线连接控制台,查看流量监控来确定是否是这个问题。
路由ECMP:Ping路径上存在路由ECMP,其中某一条路径可能存在故障。您需要检查本地IDC网络中是否存在这种情况,如果需要检查火山引擎侧排查是否有这种情况,可以提交工单协助排障。
检查路由配置
如果您在火山引擎控制台创建虚拟接口时,路由类型选择为静态路由,需要进行以下的检查:
- 在火山引擎控制台上检查,配置的静态路由是否被用于下云(即从云上VPC到本地IDC方向),您需要确认配置的静态路由的网段符合网络规划。
- 在本地IDC设备上检查,配置的静态路由是否被用于上云(即从本地IDC到云上VPC方向)。同样,您应检查路由的网段是否与网络规划相符。
如果您在火山引擎控制台创建虚拟接口时,路由类型选择为BGP路由,那么上云路由(即从本地IDC到云上VPC方向)在关联CEN时,会自动将CEN中的路由向本地IDC设备宣告,以实现BGP路由传播;下行路由(即从云上VPC到本地IDC方向)需要在本地IDC的BGP进行配置。
您可以在火山引擎控制台的“专线网关 > 路由信息”页面查看路由情况。
检查带宽是否符合预期
可能原因
带宽不达标导致的问题。
排查方案
如果您在使用专线连接时感觉专线带宽与购买的带宽不符合,您可以使用iPerf工具进行带宽测试,具体操作方法请参考使用iPerf3测试网络性能--云服务器-火山引擎。如果通过iPerf工具测试后发现带宽确实不达预期,您可以进行分段排查,具体如下图所示:
- 在第 1 点接入笔记本,测试IDC-PC到第 1 点速率,记录结果。
- 如果速率符合预期,请转步骤2。
- 如果速率不符合预期,请排查本地IDC内网。
- 在第 1 点接入笔记本,测试到火山VPC-ECS速率,记录结果。
- 如果速率符合预期,排查IDC-SW配置,接口协商速率,网线/光纤是否劣化。
- 如果速率不符合预期,请转步骤3。
- 在第 1 点和第 2 点同时接笔记本,测试笔记本1到笔记本2速率,记录结果。
- 如果速率符合预期,请转步骤4;
- 如果速率不符合预期,请报障运营商进行故障排查。
- 在第 2 点接入笔记本,测试到VPC-ECS速率,记录结果。
- 如果符合预期,请重点排查楼内线等。
- 如果速率不符合预期,需要重点排查DAS-VPC之间链路,请联系火山引擎运维团队协助您排查。