TECS资源池SSH控制节点虚机提示connection refused的问题处理

某局点现场TECS控制节点的TECSClient平面使用双栈配置，同时使用IPv4和IPv6。

运维人员在维护过程中，通过TECSClient IPv6地址能够使用SSH方式正常连接到控制节点虚拟机操作系统中，但是通过TECSClient IPv4地址SSH连接控制节点虚拟机操作系统，会提示Connection refused，无法使用SSH正常访问虚拟机操作系统。

报错信息如下图所示。

通过TECSClient IPv6地址能够使用SSH方式正常连接到控制节点虚拟机操作系统中，表明操作系统目前是正常状态。分析无法通过TECSClient IPv4地址正常访问控制节点虚拟机操作系统的可能原因如下：

服务器地址丢失导致无法访问。

地址冲突导致无法访问。

防火墙配置错误导致无法访问。

服务器系统内部文件配置错误导致无法访问。

问题分析过程如下：

1.排查TECSClient IPv4地址是否正常。

使用堡垒机的cmd命令行，执行Ping命令，能够正常Ping通TECSClient IPv4地址，表明堡垒机到TECSClient IPv4对应的地址是正常的，如下图所示。

2.排查是否由于TECSClient IPv4地址和现网其他运维地址冲突，导致该IPv4地址无法正常SSH登录。

屏蔽TECS对应的IPv4地址，通过堡垒机尝试Ping对应的IPv4地址，进一步判断地址是否冲突。具体操作如下：

a.通过TECSClient IPv6地址SSH访问控制节点虚拟机。

b.执行ip a|grep xxxx 命令，确认TECSClient IPv4地址对应的网卡是eth_MANA.702，如下图所示。

a.执行ifdown eth_MANA.702命令，关闭TECSClient IPv4地址。

c.使用堡垒机的cmd命令行，执行Ping命令，已无法正常Ping通TECSClient IPv4地址，如下图所示。表明当前TECSClient IPv4地址和现网其他运维地址没有冲突。

d.通过TECSClient IPv6地址SSH访问控制节点虚拟机，执行ifup eth_MANA.702命令，恢复TECSClient IPv4地址。

e.使用堡垒机的cmd命令行，执行Ping命令，能够正常Ping通TECSClient IPv4地址。

3.排查是否由于防火墙屏蔽，导致无法正常通过TECSClient IPv4地址SSH登录。

联系安全厂家确认防火墙未做相关该IP地址的端口访问限制。

4.排查是否为控制节点虚拟机操作系统自身的限制问题，有特殊配置禁止堡垒机地址段的SSH访问。

a.执行ssh vtu@-vvv命令，提示连接拒绝报错。

b.-vvv可进入SSH调试模式，v越多表明调试信息越详细。通过如下信息查看，为控制节点虚拟机操作系统自身限制了IPv4的SSH访问，如下图所示。

5.检查控制节点虚拟机操作系统的SSH配置文件。

6.在节点上执行cat /etc/ssh/sshd_config命令，检查SSH地址的配置只有IPv6地址，缺少对应IPv4地址。证实是由于该配置导致无法通过TECSClient IPv4地址SSH连接控制节点虚拟机操作系统，如下图所示。

1.执行vi /etc/ssh/sshd_config命令，编辑sshd_config配置文件，将IPv4地址加入到列表中，如图7所示。

2.编辑完成后执行wq!命令，保存退出配置。

3.在操作系统中执行systemctl restart sshd.service命令，重启SSH服务，使修改的配置能够正常生效。



4.完成SSH服务重启后，通过TECSClient IPv4地址SSH连接控制节点虚拟机操作系统，能够正常SSH访问，如下图所示。



检查其他节点是否有相同问题，执行相同配置操作。