为什么对等连接创建完成后不能互通？_虚拟私有云 VPC_常见问题_

问题描述

对等连接创建完成后，两个VPC还是不能互通。

排查思路

以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。

如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。

图1 排查思路

对等连接配置错误

图2 对等连接组网示意图

子网A和子网X需要通过添加路由来建立对等关系。路由表配置如图3所示。

图3 对等连接路由表

以图2中的组网为例，进行如下排查：

1. 检查对等连接的两个VPC是否已创建对等连接，主要检查对等连接的VPC ID。

   若未正确创建对等连接，请重新创建。

2. 检查是否正确添加了对等连接路由规则。例如，VPC1的路由规则目的网段应为VPC2下的子网网段。

   若对等连接路由规则有误，则需要在对等连接页面，添加本端路由和对端路由规则。将路由规则正确配置后，对等连接才可以正常工作。

3. 检查VPC1和VPC2下是否存在与对等连接重叠的子网。例如，当VPC1下也创建了CIDR为192.168.11.0/24的子网后，对等连接将失效，如图4所示。
   图4 错误配置举例
   

网络配置错误

1. 确认弹性云服务器使用的网卡安全组配置正确。

   在弹性云服务器详情页面中可以查看网卡使用的安全组。需要放通期望进行通信的对端VPC的子网网段。例如：对于图2中VPC1内的所有弹性云服务器，网卡使用的安全组必须至少配置如图5的规则。

   图5 安全组配置
   
2. 确认弹性云服务器使用的网卡所在子网的防火墙不会对流量进行拦截。否则需要放通防火墙的限制。
3. 确认对等连接涉及的子网流量未被网络ACL拦截，否则需要放通对等连接涉及的网络ACL规则。
4. 多网卡场景下，请务必确认弹性云服务器内部已经配置正确的策略路由，确保源IP不同的报文匹配各自的规则，从各自所在的网卡发出。

   操作步骤：例如，eth0的IP地址为192.168.1.10/24，eth1的IP地址为192.168.2.10/24，分别执行

   ping -I 192.168.1.10 192.168.1.1

   ping -I 192.168.2.10 192.168.2.1

   若都可以ping通，则双网卡策略路由配置无问题。

   否则需要为配置了多网卡的弹性云服务器配置策略路由，配置请参见：如何为配置了多网卡的弹性云服务器配置策略路由？

弹性云服务器基本网络功能异常

1. 确认弹性云服务器网卡已经正确分配到IP地址。

   登录弹性云服务器内部，使用命令ifconfig或ip address查看网卡的IP信息。

   Windows弹性云服务器可以在命令行中执行ipconfig查看。

   若未能分配到IP地址，可参考弹性云服务器IP获取不到时，如何排查？。

2. 从弹性云服务器内部ping所在子网的网关，确认基本通信功能是否正常。

   操作步骤：通常网关地址结尾为1，可以在VPC详情页面中确认。执行ping命令观察能否ping通即可。若无法ping通网关则需首先排查二三层网络问题，可参考二三层通信出现问题时，如何排查？。

对等连接的路由与专线、VPN路由的目的地址有重叠

查看对等连接两端的VPC下是否有VPN/云专线资源，排查路由规则的下一跳目的地址是否有重叠。

当对等连接的路由与云专线、VPN路由的目的地址有重叠时，此时路由有可能失效。

路由已存在

如果添加对等连接路由时，报错“路由已存在”，请检查：VPN、云专线、对等连接等路由的目的地址是否已存在。若已存在则对等连接无法生效。

提交工单

如果上述方法均不能解决您的疑问，请提交工单寻求更多帮助。

您需从对等连接一端的弹性云服务器使用ping命令向对端VPC下的弹性云服务器发送ICMP报文，并向技术支持人员提供如下表格中的信息：

Item	说明	您的值
VPC1 ID	VPC1的ID	-
VPC2 ID	VPC2的ID	-
VM1 ID	VPC1下的弹性云服务器ID	-
VM2 ID	VPC2下的弹性云服务器ID	-
Subnet1 ID	VM1 所在子网ID	-
Subnet2 ID	VM2 所在子网ID	-
IP1	VM1 IP地址	-
IP2	VM2 IP地址	-

ping命令后增加参数- t可以使Windows镜像持续发送ICMP报文。