openstack为何你的实例ping不通外网 - -

为什么ping不通？开始实验课之后，很多同学都做了一个简单的实验，就是类似下面图1的拓扑图，然后尝试去从一台pc去ping另一台pc。

结果显示，很多同学都ping不通。

为什么呢？其实这属于静态路由实验的内容。

在现实中，静态路由一般都用在点对点的链路上面。

下面以Boson 模拟器为工具，带大家来慢慢解开这个谜底！图1 实验拓扑图一、ping命令的原理我在《配置命令讲义.doc》里面有提到，ping这个命令的原理。

现在摘录如下，大家先复习一下。

PING (Packet Internet Grope)，因特网包探索器，用于测试网络的连通性，即本机与目的主机的网络是否连接上。

Ping发送一个互联网控制信息协议ICMP回声(Echo)请求报文给目的地并报告是否在预定时间内收到所希望的ICMP回声(Echo)应答报文。

即：ping命令首先寄发一个Echo请求报文到目的地址，然后等待回复。

ping是成功的仅当ECHO请求达到目的地，并且目的地能在一个预定义的时间间隔之内回复一个ECHO应答报文到源地址。

即包括两个过程：（1）源主机的包要能去到目的主机（2）目的主机知道源主机在哪，并把包发回来。

ping命令可以在用户模式和特权模式下使用。

Ping 命令的提示信息包括：发送echo请教报文到那个目标地址，第几次发送echo请求报文(seq)，从发送到收到echo应答报文的总耗时(time)，生存期(ttl, time to live，实为站点计数，每遇到一个站点就减1，默认值为64)，成功与否(success/failed)。

如果敲入ping然后回车（扩展ping命令），会出现以对话的形式配置上述的部分参数。

也可能是综述性的信息：共发送几个到echo请求报文到什么目标地址，生存器，成功几率，最小平均最大耗时。

routerA#ping 129.0.0.2Type escape sequence to abortsending 5, 100-byte ICMP Echos to 129.0.0.2, timeout is 2 secondsSuccess rate is 100 percent(5/5),round-trip min/avg/max = 28/28/32ms如果这里的感叹号被点号（.）代替，说明routerA路由器不能与129.0.0.2连接。

openstack安装、配置过程中常见问题及解决办法：by-lilin== 问题一：由于网络节点只有2个物理网卡，当给网络节点配置虚拟子网（10.10.10.52，10.20.20.52）时，无法ping通计算节点网络（10.10.10.53/54/55，10.20.20.53/54/55）==解决方法：在网络节点其中一个物理网卡eth0安装虚拟网卡，构建虚拟vlan，实现同一个网卡分配2个不同网段的IP地址（10.10.10.52和10.20.20.52）。

安装步骤如下所示：**安装vlan(vconfig)和加载8021g模块:# aptitude install vlav# modprobe 8021g# lsmod |grep -i 8021q**使用linux cvonfig命令配置vlan（在eth0网卡上虚拟两个vlav端口，端口号为5、7）: # vconfig add eth0 5Added VLAN with VID == 5 to IF -:eth0# vconfig add eth0 7Added VLAN with VID == 7 to IF -:eth0**设置VLAN的REORDER_HDR参数，默认就行了:# vconfig set_flag eth0.5 1 1Set flag on device -:eth0.5:- Should be visible in /proc/net/vlan/eth0.5# vconfig set_flag eth0.7 1 1Set flag on device -:eth0.7:- Should be visible in /proc/net/vlan/eth0.7**可以使用cat /proc/net/vlan/eth0.5查看eth0.5参数:# cat /proc/net/vlan/eth0.5eth0.5 VID: 5 REORDER_HDR: 1 dev->priv_flags: 1total frames received 623total bytes received 32353Broadcast/Multicast Rcvd 606total frames transmitted 71total bytes transmitted 9420Device: eth0INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0EGRESS priority mappings:**在/etc/network/interface中修改eth0网络配置信息:auto eth0.5iface eth0.5 inet staticaddress 10.20.20.52netmask 255.255.255.0vlan_raw_device eth0auto eth0.7iface eth0.7 inet staticaddress 10.10.10.52netmask 255.255.255.0vlan_raw_device eth0**重启网络:/etc/init.d/networking restart== 问题二：网络节点如何使用桥接模式访问外网？（外网IP:192.168.5.*，gateway:192.168.5.253） ==解决方法：在网络节点的eth1网卡上搭建桥接网络端口br-ex，并进行相关网络参数配置: **安装openvswitch-switch、openvswitch-datapath-dkms软件包# apt-get install openvswitch-switch openvswitch-datapath-dkms**创建桥接网络br-ex：# ovs-vsctl add-br br-ex**查看桥接端口br-ex是否启用# ovs-vsctl list-brbr-exbr-intbr-tun**将桥接端口br-ex添加到eth1上# ovs-vsctl add-port br-ex eth1**在/etc/network/interface中修改eth1网络配置信息:auto eth1iface eth1 inet manualup ifconfig $IFACE 0.0.0.0 upup ip link set $IFACE promiss ondown ip link set $IFACE promiss offdown ifconfig $IFACE downauto br-exiface br-ex inet staticaddress 192.168.5.52netmask 255.255.255.0gateway 192.168.5.253dns-nameservers 8.8.8.8**重启网络:/etc/init.d/networking restart== 问题三：在openstack里启动openvswitch-switch服务service openvswitch-switch start的时候，出现ovs-brcompatd is not running的错误 ==解决方法：**安装openvswitch-controller、openvswitch-switch、openvswitch-brcompat软件包# apt-get install openvswitch-controller openvswitch-switch、openvswitch-brcompat **在/etc/default/openvswitch-switch中修改如下配置文件：BRCOMPAT=yes**重启网络：/etc/nit.d/openvswitch-switch restart*如果有提示：Bad luck, the kernel headers for the target kernel version could not be found and you did not specify other valid kernel headers to use...*这是头文件的问题， the kernel generic headers is missing the version.h file. *解决方法如下：ln -s /usr/src/linux-headers-`uname-r`/include/generated/uapi/linux/version.h /lib/modules/`uname-r`/build/include/linux/**重启网络，如果有提示：bridge module is loaded，not loading brcompat*需要先卸载bridge模块# lsmod | grep bridge 查看bridge模块# rmmod bridge 移除网桥模块*强制加载brcompat内核模块# /etc/init.d/openvswitch-switch force-reload-kmod**重启网络查看ovs-brcompatd、ovs-vswitchd、ovsdb-server三个服务是否启动# /etc/nit.d/openvswitch-switch restartovsdb-server is running with pid 17119ovs-vswitchd is running with pid 17128ovs-brcompatd is running with pid 17131== 问题四：登陆openstack的horizon界面，无法看到image镜像，无法创建volumes。

openstack入门高级篇为何你的实例ping不通外网【详述】日期：2015年06月05日原文链接：/thread-13508-1-1.html本篇是接着系列文章，版本（Juno为例）问题导读1.本文解决ping通外网的思路是什么？2.如何实现ping通外网？3.ping域名bad address该如何解决？前面是概述，这里给大家在详细说一下，openstack网络。

由于在安装部署中，我们遇到了实例ping不通外网、ping不通节点，ping不通域名。

而且有的甚至获取不到ip。

获取不到ip，一直没有遇到过这个问题，只要是完全按照about云openstack入门宝典应该不会遇到这个问题。

要么使用dhcp自动分配，要么是自己手工配置。

入门宝典采用的是自动分配。

学习openstack的过程中，为什么我们会遇到问题。

总结原因如下：1.存在专门跳坑现象刚开始学习，我们一般对一门技术理解的并不深刻，可能只是停留在皮毛阶段。

这时候我们所做的最多的是模仿。

当我们会走了之后，我们在学跑。

有的同学不是，是上来就想跑，结果到处往坑里掉。

有的同学，可能会想，我改动下，可以明白原理，这样理解更深刻。

道理是没有错的，但是这样会浪费你更多的时间，而且可能解决不了。

因为有很多问题，是跟自己的操作有关系。

对于新手最好的学习方式，是多找资料，然后模仿。

为什么要多找资料那，网上的资料是非常多的，同样书籍和视频也是不少的，但是如果你单纯的按照一个文档来操作，能操作正确，当然是好的。

但是从概率上来说，一个完全正确的文档几乎没有。

即使官方文档，比如openstack kilo官网文档，刚发布之后，也经过几次修改。

所以我们在学习的时候，一定要先积累资料，这样避免多次掉坑现象。

资料有了，我们开始学习和实践，特别是在实践的过程中，应避免在一知半解的情况改动。

比如在keystone部署的过程中，mysql都有默认的密码，我们觉得比较懂，就修改了密码，但是由于这个密码在多个组件中都是用，如果在配置的过程中，有一处没有修改，那么就会产生问题。

云计算管理平台之OpenStack⽹络服务neutron ⼀、简介 neutron的主要作⽤是在openstack中为启动虚拟机实例提供⽹络服务，对于neutron来讲，它可以提供两种类型的⽹络；第⼀种是provider network，这种⽹络就是我们常说的桥接⽹络，虚拟机内部⽹络通常是通过bridge的⽅式直接桥接到宿主机的某块物理⽹卡上，从⽽实现虚拟机可以正常的访问外部⽹络，同时虚拟机外部⽹络也可以访问虚拟机的内部⽹络；第⼆种是self-service networks，这种⽹络就是nat⽹络；nat⽹络的实现是通过在虚拟机和宿主机之间实现了虚拟路由器，在虚拟机内部可以是⼀个私有地址连接⾄虚拟路由器的⼀个接⼝上，⽽虚拟路由器的另外⼀端通过⽹桥桥接到宿主机的某⼀张物理⽹卡；所以nat⽹络很好的隐藏了虚拟机的地址，它能够实现虚拟机访问外部⽹络，⽽外⽹⽤户是不能够直接访问虚拟机的；但在openstack中，它能够实现虚拟机和外部的⽹络做⼀对⼀nat绑定，从⽽实现从虚拟机外部⽹络访问虚拟机； self-service network ⽰意图 提⽰：self-service network 和provide network最⼤的区别是⾃服务⽹络中有虚拟路由器；有路由器就意味着虚拟机要和外⽹通信，⽹络报⽂要⾛三层，⽽对于provide network 来讲，它的⽹络报⽂就可以直接⾛⼆层⽹络；所以在openstack上这两种类型的⽹络实现⽅式和对应的组件也有所不同； provide network 实现所需组件 Provider networks - Overview Provider networks 连接⽰意图 提⽰：桥接⽹络也叫共享⽹络，虚拟机实例⽹络是通过桥接的⽅式直接共享宿主机⽹络；虚拟机和宿主机通信，就类似宿主机同局域⽹的其他主机通信⼀样；所以虚拟机和宿主机通信报⽂都不会到三层，所以这⾥⾯就不涉及三层⽹络相关的操作和配置； self-service network实现所需组件 Self-service networks - Overview Self-service networks连接⽰意图 对⽐上⾯两种⽹络的实现所需组件，我们可以发现self-service network的实现要⽐provide network要多⼀个networking L3 Agent插件；这个插件⽤作实现3层⽹络功能，⽐如，提供或管理虚拟路由器；从上⾯的两种⽹络连接⽰意图也可以看出，self-service network是包含provide network，也就是说我们选择使⽤self-service network这种类型的⽹络结构，我们即可以创建⾃服务⽹络，也可以创建桥接⽹络；对于⾃服务⽹络来讲，我们在计算节点启动的虚拟机，虚拟机想要访问外部⽹络，它会通过计算节点的vxlan接⼝，这⾥的vxlan我们可以理解为在计算节点内部实现的虚拟交换机，各虚拟机实例通过连接不同的vni(⽹络标识符，类似vlan id⼀样)的vxlan来实现⽹络的隔离，同时vxlan这个虚拟接⼝通常是桥接在本地管理⽹络接⼝上，这个管理⽹络⼀般是不能够和外部⽹络通信；虚拟机访问外部⽹络，通过vxlan接⼝实现的vxlan隧道，这个隧道是⼀头是和计算节点的管理⽹络接⼝连接，⼀头是和控制节点的管理⽹络接⼝连接；虚拟机访问外部⽹络是通过vxlan隧道，再通过控制节点中的虚拟路由器，将请求通过路由规则，路由到控制节点能够上外⽹的接⼝上，然后发出去，从⽽实现虚拟机能够和外部⽹络进⾏交互；⽽对于外部⽹络要访问虚拟机，在openstack上是通过⼀对⼀nat绑定实现；也就说在控制节点能够上外⽹的接⼝上配置很多ip地址，这些IP地址都是可以正常访问外部⽹络的，在虚拟机访问外部⽹络时，在控制节点的虚拟机路由器上就固定的把计算节点的某个虚拟机的流量通过固定SNAT的⽅式进⾏数据发送，对于这个固定地址在控制节点上再做固定的DNAT，从⽽实现外部⽹络访问控制节点上的这个固定ip，通过DNAT规则把外部流量引⼊到虚拟机，从⽽实现外部⽹络和虚拟机通信； neutron⼯作流程 neutron服务主要由neutron-server、neutron agents、neutron plugins这三个组件组成，这三者都依赖消息队列服务；其中neutron server主要⽤来接收⽤户的请求，⽐如创建或管理⽹络；当neutron server接收到客户端（openstack其他服务，如nova，neutron专有客户端）请求后，它会把请求丢到消息队列中去，然后neutron agents负责从消息队列中取出客户端的请求，在本地完成⽹络创建或管理，并把对应的操作的结果写到neutron 数据库中进⾏保存；这⾥需要说明⼀点neutron agents是指很多agent，每个agent都负责完成⼀件事，⽐如DHCP agent负责分配ip地址，network manage agent负责管理⽹络；⽽对于neutron plugins 主要⽤来借助外部插件的⽅式提供某种服务；⽐如ML2 plugin ⽤来提供2层虚拟⽹络服务的；如果neutron agents在创建或管理⽹络需要⽤到某个插件服务时，它会把请求插件的消息丢到消息队列，然后neutron plugins 从消息队列取出消息，并响应请求，把结果丢到消息队列，同时也会写到数据库中； ⼆、neutron服务的安装、配置 1、准备neutron 数据库、⽤户以及授权⽤户对neutron数据库下的所有表有所有权限；[root@node02 ~]# mysqlWelcome to the MariaDB monitor. Commands end with ; or \g.Your MariaDB connection id is 184Server version: 10.1.20-MariaDB MariaDB ServerCopyright (c) 2000, 2016, Oracle, MariaDB Corporation Ab and others.Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.MariaDB [(none)]> CREATE DATABASE neutron;Query OK, 1 row affected (0.00 sec)MariaDB [(none)]> GRANT ALL PRIVILEGES ON neutron.* TO 'neutron'@'%' IDENTIFIED BY 'neutron';Query OK, 0 rows affected (0.01 sec)MariaDB [(none)]> flush privileges;Query OK, 0 rows affected (0.00 sec)MariaDB [(none)]> 验证：⽤其他主机⽤neutron⽤户，看看是否可以正常连接数据库？[root@node01 ~]# mysql -uneutron -pneutron -hnode02Welcome to the MariaDB monitor. Commands end with ; or \g.Your MariaDB connection id is 185Server version: 10.1.20-MariaDB MariaDB ServerCopyright (c) 2000, 2016, Oracle, MariaDB Corporation Ab and others.Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.MariaDB [(none)]> show databases;+--------------------+| Database |+--------------------+| information_schema || neutron || test |+--------------------+3 rows in set (0.00 sec)MariaDB [(none)]> 2、在控制节点安装配置neutron 导出admin环境变量，创建neutron⽤户，设置其密码为neutron[root@node01 ~]# source admin.sh[root@node01 ~]# openstack user create --domain default --password-prompt neutronUser Password:+---------------------+----------------------------------+| Field | Value |+---------------------+----------------------------------+| domain_id | 47c0915c914c49bb8670703e4315a80f || enabled | True || id | e7d0eae696914cc19fb8ebb24f4b5b0f || name | neutron || options | {} || password_expires_at | None |+---------------------+----------------------------------+[root@node01 ~]# 将neutron⽤户添加⾄service项⽬，并授权为admin⾓⾊[root@node01 ~]# openstack role add --project service --user neutron admin[root@node01 ~]# 创建neutron服务[root@node01 ~]# openstack service create --name neutron \> --description "OpenStack Networking" network+-------------+----------------------------------+| Field | Value |+-------------+----------------------------------+| description | OpenStack Networking || enabled | True || id | 3dc79e6a21e2484e8f92869e8745122c || name | neutron || type | network |+-------------+----------------------------------+[root@node01 ~]# 创建neutron服务端点（注册neutron服务） 公共端点[root@node01 ~]# openstack endpoint create --region RegionOne \> network public http://controller:9696+--------------+----------------------------------+| Field | Value |+--------------+----------------------------------+| enabled | True || id | 4a8c9c97417f4764a0e61b5a7a1f3a5f || interface | public || region | RegionOne || region_id | RegionOne || service_id | 3dc79e6a21e2484e8f92869e8745122c || service_name | neutron || service_type | network || url | http://controller:9696 |+--------------+----------------------------------+[root@node01 ~]# 私有端点[root@node01 ~]# openstack endpoint create --region RegionOne \> network internal http://controller:9696+--------------+----------------------------------+| Field | Value |+--------------+----------------------------------+| enabled | True || id | 1269653296e14406920bc43db65fd8af || interface | internal || region | RegionOne || region_id | RegionOne || service_id | 3dc79e6a21e2484e8f92869e8745122c || service_name | neutron || service_type | network || url | http://controller:9696 |+--------------+----------------------------------+[root@node01 ~]# 管理端点[root@node01 ~]# openstack endpoint create --region RegionOne \> network admin http://controller:9696+--------------+----------------------------------+| Field | Value |+--------------+----------------------------------+| enabled | True || id | 8bed1c51ed6d4f0185762edc2d5afd8a || interface | admin || region | RegionOne || region_id | RegionOne || service_id | 3dc79e6a21e2484e8f92869e8745122c || service_name | neutron || service_type | network || url | http://controller:9696 |+--------------+----------------------------------+[root@node01 ~]# 安装neutron服务组件包[root@node01 ~]# yum install openstack-neutron openstack-neutron-ml2 openstack-neutron-linuxbridge ebtables -y 编辑neutron服务的配置⽂件/etc/neutron/neutron.conf的【DEFAULT】配置段配置连接rabbitmq相关信息以及核⼼插件和⽹络插件等； 提⽰：我这⾥选择使⽤⾃服务⽹络类型；所以这⾥要配置service_plugins = router 并且启⽤叠加⽹络选项； 在【database】配置段配置连接neutron数据库相关信息 在【keystone_authtoken】配置段配置使⽤keystone做认证的相关信息 在【DEFAULT】配置段配置⽹络通知相关选项 在【nova】配置段配置nova服务相关信息 在【oslo_concurrency】配置段配置锁路径 neutron.conf的最终配置[root@node01 ~]# grep -i ^"[a-z\[]" /etc/neutron/neutron.conf[DEFAULT]transport_url = rabbit://openstack:openstack123@node02allow_overlapping_ips = trueauth_strategy = keystonenotify_nova_on_port_status_changes = truenotify_nova_on_port_data_changes = true[agent][cors][database]connection = mysql+pymysql://neutron:neutron@node02/neutron[keystone_authtoken]www_authenticate_uri = http://controller:5000auth_url = http://controller:5000memcached_servers = node02:11211auth_type = passwordproject_domain_name = defaultuser_domain_name = defaultproject_name = serviceusername = neutronpassword = neutron[matchmaker_redis][nova]auth_url = http://controller:5000auth_type = passwordproject_domain_name = defaultuser_domain_name = defaultregion_name = RegionOneproject_name = serviceusername = novapassword = nova[oslo_concurrency]lock_path = /var/lib/neutron/tmp[oslo_messaging_amqp][oslo_messaging_kafka][oslo_messaging_notifications][oslo_messaging_rabbit][oslo_messaging_zmq][oslo_middleware][oslo_policy][quotas][ssl][root@node01 ~]# 配置ML2插件 编辑配置⽂件/etc/neutron/plugins/ml2/ml2_conf.ini ，在【ml2】配置段配置⽀持flat（平⾯⽹络），vlan和vxlan 提⽰：配置ML2插件之后，删除type_drivers选项中的值可能会导致数据库不⼀致；意思是初始化数据库后，如果在删除上⾯的值，可能导致数据库不⼀致的情况； 在【ml2】配置段开启租户⽹络类型为vxlan 在【ml2】配置段启⽤Linux桥接和⼆层填充机制 在【ml2】配置段中启⽤端⼝安全扩展驱动程序 在【ml2_type_flat】配置段配置flat_networks = provider 提⽰：这⾥主要是指定平⾯⽹络的名称，就是虚拟机内部⽹络叫什么名，这个名称可以⾃定义，但后⾯会⽤到把该⽹络桥接到物理⽹卡中的配置，以及后续的创建⽹络都要⽤到这名称，请确保后续的名称和这⾥的名称保持⼀致； 在【ml2_type_vxlan】配置段中配置vxlan的标识范围 在【securitygroup】配置段启⽤ipset ml2_conf.ini的最终配置[root@node01 ~]# grep -i ^"[a-z\[]" /etc/neutron/plugins/ml2/ml2_conf.ini[DEFAULT][l2pop][ml2]type_drivers = flat,vlan,vxlantenant_network_types = vxlanmechanism_drivers = linuxbridge,l2populationextension_drivers = port_security[ml2_type_flat]flat_networks = provider[ml2_type_geneve][ml2_type_gre][ml2_type_vlan][ml2_type_vxlan]vni_ranges = 1:1000[securitygroup]enable_ipset = true[root@node01 ~]# 配置linux bridge agent 编辑/etc/neutron/plugins/ml2/linuxbridge_agent.ini，在【linux_bridge】配置段配置provider⽹络映射到物理的那个接⼝ 提⽰：这⾥主要是配置把把虚拟机内部的那个⽹络和物理接⼝的桥接映射，请确保虚拟机内部⽹络名称和这⾥配置的保持⼀致；冒号前指定虚拟机内部⽹络名称，冒号后⾯指定要桥接的物理⽹卡接⼝名称； 在【vxlan】配置段配置启⽤vxlan，并配置本地管理ip地址和开启l2_population 提⽰：local_ip写控制节点的管理ip地址（如果有多个ip地址的话）； 在【securitygroup】配置段配置启⽤安全组并配置Linux bridge iptables防⽕墙驱动程序 linuxbridge_agent.ini的最终配置[root@node01 ~]# grep -i ^"[a-z\[]" /etc/neutron/plugins/ml2/linuxbridge_agent.ini[DEFAULT][agent][linux_bridge]physical_interface_mappings = provider:ens33[network_log][securitygroup]enable_security_group = truefirewall_driver = neutron.agent.linux.iptables_firewall.IptablesFirewallDriver[vxlan]l2_population = true[root@node01 ~]# 确定br_netfilter内核模块是加载启⽤，若没加载，加载内核模块并配置相关内核参数[root@node01 ~]# lsmod |grep br_netfilter[root@node01 ~]# modprobe br_netfilter[root@node01 ~]# lsmod |grep br_netfilterbr_netfilter 22209 0bridge 136173 1 br_netfilter[root@node01 ~]# 配置相关内核参数[root@node01 ~]# sysctl -pnet.bridge.bridge-nf-call-iptables = 1net.bridge.bridge-nf-call-ip6tables = 1[root@node01 ~]# 配置L3 agent 编辑/etc/neutron/l3_agent.ini配置⽂件，在【DEFAULT】配置段⽹络接⼝驱动为linuxbridge[DEFAULT]interface_driver = linuxbridge 配置DHCP agent 编辑/etc/neutron/dhcp_agent.ini配置⽂件，在【DEFAULT】配置段配置⽹络接⼝驱动为linuxbridge,启⽤元数据隔离，并配置dhcp驱动程序[DEFAULT]interface_driver = linuxbridgedhcp_driver = neutron.agent.linux.dhcp.Dnsmasqenable_isolated_metadata = true 配置metadata agent 编辑/etc/neutron/metadata_agent.ini配置⽂件，在【DEFAULT】配置段配置metadata server地址和共享密钥[DEFAULT]nova_metadata_host = controllermetadata_proxy_shared_secret = METADATA_SECRET 提⽰：metadata_proxy_shared_secret 这个是配置共享密钥的参数，后⾯的密钥可以随机⽣成，也可以设定任意字符串； 配置nova服务使⽤neutron服务 编辑/etc/nova/nova.conf配置⽂件，在【neutron】配置段配置neutron相关信息[neutron]url = http://controller:9696auth_url = http://controller:5000auth_type = passwordproject_domain_name = defaultuser_domain_name = defaultregion_name = RegionOneproject_name = serviceusername = neutronpassword = neutronservice_metadata_proxy = truemetadata_proxy_shared_secret = METADATA_SECRET 提⽰：这⾥的metadata_proxy_shared_secret要和上⾯配置的metadata agent中配置的密钥保持⼀致即可； 将ml2的配置⽂件软连接到/etc/neutron/plugin.ini[root@node01 ~]# ln -s /etc/neutron/plugins/ml2/ml2_conf.ini /etc/neutron/plugin.ini[root@node01 ~]# ll /etc/neutron/total 132drwxr-xr-x 11 root root 260 Oct 31 00:03 conf.d-rw-r----- 1 root neutron 10867 Oct 31 01:23 dhcp_agent.ini-rw-r----- 1 root neutron 14466 Oct 31 01:23 l3_agent.ini-rw-r----- 1 root neutron 11394 Oct 31 01:30 metadata_agent.ini-rw-r----- 1 root neutron 72285 Oct 31 00:25 neutron.conflrwxrwxrwx 1 root root 37 Oct 31 01:36 plugin.ini -> /etc/neutron/plugins/ml2/ml2_conf.inidrwxr-xr-x 3 root root 17 Oct 31 00:03 plugins-rw-r----- 1 root neutron 12689 Feb 28 2020 policy.json-rw-r--r-- 1 root root 1195 Feb 28 2020 rootwrap.conf[root@node01 ~]# 初始化neutron数据库[root@node01 ~]# su -s /bin/sh -c "neutron-db-manage --config-file /etc/neutron/neutron.conf \> --config-file /etc/neutron/plugins/ml2/ml2_conf.ini upgrade head" neutronINFO [alembic.runtime.migration] Context impl MySQLImpl.INFO [alembic.runtime.migration] Will assume non-transactional DDL.Running upgrade for neutron ...INFO [alembic.runtime.migration] Context impl MySQLImpl.INFO [alembic.runtime.migration] Will assume non-transactional DDL.INFO [alembic.runtime.migration] Running upgrade -> kiloINFO [alembic.runtime.migration] Running upgrade kilo -> 354db87e3225INFO [alembic.runtime.migration] Running upgrade 354db87e3225 -> 599c6a226151INFO [alembic.runtime.migration] Running upgrade 599c6a226151 -> 52c5312f6bafINFO [alembic.runtime.migration] Running upgrade 52c5312f6baf -> 313373c0ffeeINFO [alembic.runtime.migration] Running upgrade 313373c0ffee -> 8675309a5c4fINFO [alembic.runtime.migration] Running upgrade 8675309a5c4f -> 45f955889773INFO [alembic.runtime.migration] Running upgrade 45f955889773 -> 26c371498592INFO [alembic.runtime.migration] Running upgrade 26c371498592 -> 1c844d1677f7INFO [alembic.runtime.migration] Running upgrade 1c844d1677f7 -> 1b4c6e320f79INFO [alembic.runtime.migration] Running upgrade 1b4c6e320f79 -> 48153cb5f051INFO [alembic.runtime.migration] Running upgrade 48153cb5f051 -> 9859ac9c136INFO [alembic.runtime.migration] Running upgrade 9859ac9c136 -> 34af2b5c5a59INFO [alembic.runtime.migration] Running upgrade 34af2b5c5a59 -> 59cb5b6cf4dINFO [alembic.runtime.migration] Running upgrade 59cb5b6cf4d -> 13cfb89f881aINFO [alembic.runtime.migration] Running upgrade 13cfb89f881a -> 32e5974ada25INFO [alembic.runtime.migration] Running upgrade 32e5974ada25 -> ec7fcfbf72eeINFO [alembic.runtime.migration] Running upgrade ec7fcfbf72ee -> dce3ec7a25c9INFO [alembic.runtime.migration] Running upgrade dce3ec7a25c9 -> c3a73f615e4INFO [alembic.runtime.migration] Running upgrade c3a73f615e4 -> 659bf3d90664INFO [alembic.runtime.migration] Running upgrade 659bf3d90664 -> 1df244e556f5INFO [alembic.runtime.migration] Running upgrade 19f26505c74f -> 15be73214821INFO [alembic.runtime.migration] Running upgrade 15be73214821 -> b4caf27aae4INFO [alembic.runtime.migration] Running upgrade b4caf27aae4 -> 15e43b934f81INFO [alembic.runtime.migration] Running upgrade 15e43b934f81 -> 31ed664953e6INFO [alembic.runtime.migration] Running upgrade 31ed664953e6 -> 2f9e956e7532INFO [alembic.runtime.migration] Running upgrade 2f9e956e7532 -> 3894bccad37fINFO [alembic.runtime.migration] Running upgrade 3894bccad37f -> 0e66c5227a8aINFO [alembic.runtime.migration] Running upgrade 0e66c5227a8a -> 45f8dd33480bINFO [alembic.runtime.migration] Running upgrade 45f8dd33480b -> 5abc0278ca73INFO [alembic.runtime.migration] Running upgrade 5abc0278ca73 -> d3435b514502INFO [alembic.runtime.migration] Running upgrade d3435b514502 -> 30107ab6a3eeINFO [alembic.runtime.migration] Running upgrade 30107ab6a3ee -> c415aab1c048INFO [alembic.runtime.migration] Running upgrade c415aab1c048 -> a963b38d82f4INFO [alembic.runtime.migration] Running upgrade kilo -> 30018084ec99INFO [alembic.runtime.migration] Running upgrade 30018084ec99 -> 4ffceebfadaINFO [alembic.runtime.migration] Running upgrade 4ffceebfada -> 5498d17be016INFO [alembic.runtime.migration] Running upgrade 5498d17be016 -> 2a16083502f3INFO [alembic.runtime.migration] Running upgrade 2a16083502f3 -> 2e5352a0ad4dINFO [alembic.runtime.migration] Running upgrade 2e5352a0ad4d -> 11926bcfe72dINFO [alembic.runtime.migration] Running upgrade 11926bcfe72d -> 4af11ca47297INFO [alembic.runtime.migration] Running upgrade 4af11ca47297 -> 1b294093239cINFO [alembic.runtime.migration] Running upgrade 1b294093239c -> 8a6d8bdae39INFO [alembic.runtime.migration] Running upgrade 8a6d8bdae39 -> 2b4c2465d44bINFO [alembic.runtime.migration] Running upgrade 2b4c2465d44b -> e3278ee65050INFO [alembic.runtime.migration] Running upgrade e3278ee65050 -> c6c112992c9INFO [alembic.runtime.migration] Running upgrade c6c112992c9 -> 5ffceebfadaINFO [alembic.runtime.migration] Running upgrade 5ffceebfada -> 4ffceebfcdcINFO [alembic.runtime.migration] Running upgrade 4ffceebfcdc -> 7bbb25278f53INFO [alembic.runtime.migration] Running upgrade 7bbb25278f53 -> 89ab9a816d70INFO [alembic.runtime.migration] Running upgrade 89ab9a816d70 -> c879c5e1ee90INFO [alembic.runtime.migration] Running upgrade c879c5e1ee90 -> 8fd3918ef6f4INFO [alembic.runtime.migration] Running upgrade 8fd3918ef6f4 -> 4bcd4df1f426INFO [alembic.runtime.migration] Running upgrade 4bcd4df1f426 -> b67e765a3524INFO [alembic.runtime.migration] Running upgrade a963b38d82f4 -> 3d0e74aa7d37INFO [alembic.runtime.migration] Running upgrade 3d0e74aa7d37 -> 030a959ceafaINFO [alembic.runtime.migration] Running upgrade 030a959ceafa -> a5648cfeeadfINFO [alembic.runtime.migration] Running upgrade a5648cfeeadf -> 0f5bef0f87d4INFO [alembic.runtime.migration] Running upgrade 0f5bef0f87d4 -> 67daae611b6eINFO [alembic.runtime.migration] Running upgrade 67daae611b6e -> 6b461a21bcfcINFO [alembic.runtime.migration] Running upgrade 6b461a21bcfc -> 5cd92597d11dINFO [alembic.runtime.migration] Running upgrade 5cd92597d11d -> 929c968efe70INFO [alembic.runtime.migration] Running upgrade 929c968efe70 -> a9c43481023cINFO [alembic.runtime.migration] Running upgrade a9c43481023c -> 804a3c76314cINFO [alembic.runtime.migration] Running upgrade 804a3c76314c -> 2b42d90729daINFO [alembic.runtime.migration] Running upgrade 2b42d90729da -> 62c781cb6192INFO [alembic.runtime.migration] Running upgrade 62c781cb6192 -> c8c222d42aa9INFO [alembic.runtime.migration] Running upgrade c8c222d42aa9 -> 349b6fd605a6INFO [alembic.runtime.migration] Running upgrade 349b6fd605a6 -> 7d32f979895fINFO [alembic.runtime.migration] Running upgrade 7d32f979895f -> 594422d373eeINFO [alembic.runtime.migration] Running upgrade 594422d373ee -> 61663558142cINFO [alembic.runtime.migration] Running upgrade 61663558142c -> 867d39095bf4, port forwarding INFO [alembic.runtime.migration] Running upgrade b67e765a3524 -> a84ccf28f06aINFO [alembic.runtime.migration] Running upgrade a84ccf28f06a -> 7d9d8eeec6adINFO [alembic.runtime.migration] Running upgrade 7d9d8eeec6ad -> a8b517cff8abINFO [alembic.runtime.migration] Running upgrade a8b517cff8ab -> 3b935b28e7a0INFO [alembic.runtime.migration] Running upgrade 3b935b28e7a0 -> b12a3ef66e62INFO [alembic.runtime.migration] Running upgrade b12a3ef66e62 -> 97c25b0d2353INFO [alembic.runtime.migration] Running upgrade 97c25b0d2353 -> 2e0d7a8a1586INFO [alembic.runtime.migration] Running upgrade 2e0d7a8a1586 -> 5c85685d616dOK[root@node01 ~]# 验证：连接neutron数据库中是否有表⽣成？MariaDB [(none)]> use neutronReading table information for completion of table and column namesYou can turn off this feature to get a quicker startup with -ADatabase changedMariaDB [neutron]> show tables;+-----------------------------------------+| Tables_in_neutron |+-----------------------------------------+| address_scopes || agents || alembic_version || allowedaddresspairs || arista_provisioned_nets || arista_provisioned_tenants || arista_provisioned_vms || auto_allocated_topologies || bgp_peers || bgp_speaker_dragent_bindings || bgp_speaker_network_bindings || bgp_speaker_peer_bindings || bgp_speakers || brocadenetworks || brocadeports || cisco_csr_identifier_map || cisco_hosting_devices || cisco_ml2_apic_contracts || cisco_ml2_apic_host_links || cisco_ml2_apic_names || cisco_ml2_n1kv_network_bindings || cisco_ml2_n1kv_network_profiles || cisco_ml2_n1kv_policy_profiles || cisco_ml2_n1kv_port_bindings || cisco_ml2_n1kv_profile_bindings || cisco_ml2_n1kv_vlan_allocations || cisco_ml2_n1kv_vxlan_allocations || cisco_ml2_nexus_nve || cisco_ml2_nexusport_bindings || cisco_port_mappings || cisco_router_mappings || consistencyhashes || default_security_group || dnsnameservers || dvr_host_macs || externalnetworks || extradhcpopts || firewall_policies || firewall_rules || firewalls || flavors || flavorserviceprofilebindings || floatingipdnses || floatingips || ha_router_agent_port_bindings || ha_router_networks || ha_router_vrid_allocations || healthmonitors || ipallocations || ipamallocationpools || ipamallocations || ipamsubnets || ipsec_site_connections || ipsecpeercidrs || ipsecpolicies || logs || lsn || lsn_port || maclearningstates || members || meteringlabelrules || meteringlabels || ml2_brocadenetworks || ml2_brocadeports || ml2_distributed_port_bindings || ml2_flat_allocations || ml2_geneve_allocations || ml2_geneve_endpoints || ml2_gre_allocations || ml2_gre_endpoints || ml2_nexus_vxlan_allocations || ml2_nexus_vxlan_mcast_groups || ml2_port_binding_levels || ml2_port_bindings || ml2_ucsm_port_profiles || ml2_vlan_allocations || ml2_vxlan_allocations || ml2_vxlan_endpoints || multi_provider_networks || networkconnections || networkdhcpagentbindings || networkdnsdomains || networkgatewaydevicereferences || networkgatewaydevices || networkgateways || networkqueuemappings || networkrbacs || networks || networksecuritybindings || networksegments || neutron_nsx_network_mappings || neutron_nsx_port_mappings || neutron_nsx_router_mappings || neutron_nsx_security_group_mappings | | nexthops || nsxv_edge_dhcp_static_bindings || nsxv_edge_vnic_bindings || nsxv_firewall_rule_bindings || nsxv_internal_edges || nsxv_internal_networks || nsxv_port_index_mappings || nsxv_port_vnic_mappings || nsxv_router_bindings || nsxv_router_ext_attributes || nsxv_rule_mappings || nsxv_security_group_section_mappings | | nsxv_spoofguard_policy_network_mappings | | nsxv_tz_network_bindings || nsxv_vdr_dhcp_bindings || nuage_net_partition_router_mapping || nuage_net_partitions || nuage_provider_net_bindings || nuage_subnet_l2dom_mapping || poolloadbalanceragentbindings || poolmonitorassociations || pools || poolstatisticss || portbindingports || portdataplanestatuses || portdnses || portforwardings || portqueuemappings || ports || portsecuritybindings || providerresourceassociations || provisioningblocks || qos_bandwidth_limit_rules || qos_dscp_marking_rules || qos_fip_policy_bindings || qos_minimum_bandwidth_rules || qos_network_policy_bindings || qos_policies || qos_policies_default || qos_port_policy_bindings || qospolicyrbacs || qosqueues || quotas || quotausages || reservations || resourcedeltas || router_extra_attributes || routerl3agentbindings || routerports || routerroutes || routerrules || routers || securitygroupportbindings || securitygrouprules || securitygroups || segmenthostmappings || serviceprofiles || sessionpersistences || standardattributes || subnet_service_types || subnetpoolprefixes || subnetpools || subnetroutes || subnets || subports || tags || trunks || tz_network_bindings || vcns_router_bindings || vips || vpnservices |+-----------------------------------------+167 rows in set (0.00 sec)MariaDB [neutron]>[root@node01 ~]# systemctl restart openstack-nova-api.service[root@node01 ~]# ss -tnlState Recv-Q Send-Q Local Address:Port Peer Address:PortLISTEN 0 128 *:9292 *:*LISTEN 0 128 *:22 *:*LISTEN 0 100 127.0.0.1:25 *:*LISTEN 0 100 *:6080 *:*LISTEN 0 128 *:8774 *:*LISTEN 0 128 *:8775 *:*LISTEN 0 128 *:9191 *:*LISTEN 0 128 :::80 :::*LISTEN 0 128 :::22 :::*LISTEN 0 100 ::1:25 :::*LISTEN 0 128 :::5000 :::*LISTEN 0 128 :::8778 :::*[root@node01 ~]# 提⽰：重启确保nova-api服务的8774和8775端⼝正常监听； 启动neutron相关服务，并将其设置为开机启动[root@node01 ~]# systemctl start neutron-server.service \> neutron-linuxbridge-agent.service neutron-dhcp-agent.service \> neutron-metadata-agent.service[root@node01 ~]# systemctl enable neutron-server.service neutron-linuxbridge-agent.service neutron-dhcp-agent.service neutron-metadata-agent.serviceCreated symlink from /etc/systemd/system/multi-user.target.wants/neutron-server.service to /usr/lib/systemd/system/neutron-server.service.Created symlink from /etc/systemd/system/multi-user.target.wants/neutron-linuxbridge-agent.service to /usr/lib/systemd/system/neutron-linuxbridge-agent.service.Created symlink from /etc/systemd/system/multi-user.target.wants/neutron-dhcp-agent.service to /usr/lib/systemd/system/neutron-dhcp-agent.service.Created symlink from /etc/systemd/system/multi-user.target.wants/neutron-metadata-agent.service to /usr/lib/systemd/system/neutron-metadata-agent.service.[root@node01 ~]# ss -tnlState Recv-Q Send-Q Local Address:Port Peer Address:PortLISTEN 0 128 *:9292 *:*LISTEN 0 128 *:22 *:*LISTEN 0 100 127.0.0.1:25 *:*LISTEN 0 128 *:9696 *:*LISTEN 0 100 *:6080 *:*LISTEN 0 128 *:8774 *:*LISTEN 0 128 *:8775 *:*LISTEN 0 128 *:9191 *:*LISTEN 0 128 :::80 :::*LISTEN 0 128 :::22 :::*LISTEN 0 100 ::1:25 :::*LISTEN 0 128 :::5000 :::*LISTEN 0 128 :::8778 :::*[root@node01 ~]# 提⽰：请确保9696端⼝正常监听； 如果我们选⽤的是self-service network 我们还需要启动L3 agent 服务，并将其设置为开机启动[root@node01 ~]# systemctl start neutron-l3-agent.service[root@node01 ~]# systemctl enable neutron-l3-agent.serviceCreated symlink from /etc/systemd/system/multi-user.target.wants/neutron-l3-agent.service to /usr/lib/systemd/system/neutron-l3-agent.service.[root@node01 ~]# 到此控制节点的neutron服务就配置好了 3、在计算节点安装配置neutron服务 安装neutron相关服务包[root@node03 ~]# yum install openstack-neutron-linuxbridge ebtables ipset -y 编辑/etc/neutron/neutron.conf，在【DEFAULT】配置段配置连接rabbitmq相关信息，以及配置认证策略为keystone 在【keystone_authtoken】配置段配置keystone认证相关信息 在【oslo_concurrency】配置段配置锁路径 neutron.conf最终配置[root@node03 ~]# grep -i ^"[a-z\[]" /etc/neutron/neutron.conf[DEFAULT]transport_url = rabbit://openstack:openstack123@node02auth_strategy = keystone[agent][cors][database][keystone_authtoken]www_authenticate_uri = http://controller:5000auth_url = http://controller:5000memcached_servers = node02:11211auth_type = passwordproject_domain_name = defaultuser_domain_name = defaultproject_name = serviceusername = neutronpassword = neutron[matchmaker_redis][nova][oslo_concurrency]lock_path = /var/lib/neutron/tmp[oslo_messaging_amqp][oslo_messaging_kafka][oslo_messaging_notifications][oslo_messaging_rabbit][oslo_messaging_zmq][oslo_middleware][oslo_policy][quotas][ssl][root@node03 ~]# 配置linux bridge agent 编辑/etc/neutron/plugins/ml2/linuxbridge_agent.ini配置⽂件，在【linux_bridge】配置段配置provider⽹络映射到物理的那个接⼝ 提⽰：这⾥冒号前边的是虚拟机内部⽹络名称，这个名称请确保和控制节点上配置的虚拟机内部⽹络名称相同；冒号后⾯的是配置要桥接的物理接⼝名称； 在【vxlan】配置段配置启⽤vxlan，并配置本地管理ip地址和开启l2_population 在【securitygroup】配置段配置启⽤安全组并配置Linux bridge iptables防⽕墙驱动程序。

ping不通的⼏种可能原因平时使⽤中常常会碰到ping不通的情况，ping不通的原因有⾮常多，⽐⽅路由设置问题，⽐⽅⽹络问题，下⾯列出⼏点原因：1.太⼼急。

即⽹线刚插到交换机上就想Ping通⽹关，忽略了⽣成树的收敛时间。

当然，较新的交换机都⽀持⾼速⽣成树，或者有的管理员⼲脆把⽤户port(access port)的⽣成树协议关掉，问题就攻克了。

　2.某些路由器port是不同意⽤户Ping的。

　3.訪问控制。

⽆论中间跨越了多少跳，仅仅要有节点(包含端节点)对ICMP进⾏了过滤，Ping不通是正常的。

最常见的就是防⽕墙的⾏为。

4.多路由负载均衡场合。

⽐⽅Ping远端⽬的主机，成功的reply和timed out交错出现，结果发如今⽹关路由器上存在两条到⽬的⽹段的路由，两条路由权重相等，但经查⼀条路由存在问题。

　5.⽹络因设备间的时延太⼤，造成ICMPecho报⽂⽆法在缺省时间(2秒)内收到。

时延的原因有若⼲，⽐⽅线路(卫星⽹时延上下星为540毫秒)，⾹港server租⽤路由器处理时延，或路由设计不合理造成迂回路径。

使⽤扩展Ping，添加timedout时间，可Ping通的话就属路由时延太⼤问题。

6.引⼊NAT的场合会造成单向Ping通。

NAT能够起到隐蔽内部地址的作⽤，当由内Ping外时，能够Ping通是由于NAT表的映射关系存在，当由外发起Ping内⽹主机时，就⽆从查找边界路由器的NAT表项了。

　7.指定源地址的扩展Ping.登陆到路由器上，Ping远程主机，当ICMP echorequest从串⾏⼴域⽹接⼝发出去的时候，路由器会指定某个IP 地址作为源IP，这个IP地址可能不是此接⼝的IP或这个接⼝根本没有IP地址。

⽽某个下游路由器可能并没有到这个IP⽹段的路由，导致不能Ping通。

能够採⽤扩展Ping，指定好源IP地址。

　8.IP地址分配不连续。

地址规划出现故障象是在⽹络中埋了地雷，地址重叠或掩码划分不连续都可能在Ping时出现故障。

ping不通ip的解决方法
一、ping不通的一般原因
1. 被Ping的主机不存在或不可达
2. 网络故障，比如断线等导致网络不通
3. 路由器防火墙对ICMP协议的拦截
4. 受Ping的主机的防火墙的设置
二、解决方法
1. 检查网络连接是否正常。

2. 如果已经确定被ping的主机存在和可达，可能是因为路由器或防火墙设置影响了ICMP协议，检查路由器和防火墙设置。

对于windows系统，如果使用了防火墙，可以依次点击：开始-设置-控制面板-网络和internet连接-网络连接，右键点击有问题的网络连接，在弹出的菜单中点击属性；在弹出的窗口中选择“安全”选项卡，点击“允许无线设备通过internet发现和配置安全设置”及“对所有连接使用简单网络管理协议”。

3. 如果是使用了Linux或FreeBSD，可以在拨号后或者引导启动系统后，运行sudo /sbin/iptables –F 。

OpenStack云平台的网络模式及其工作机制网络，是OpenStack的部署中最容易出问题的，也是其结构中难以理清的部分。

经常收到关于OneStack部署网络方面问题和OpenStack网络结构问题的邮件。

下面根据自己的理解，谈一谈OpenStack的虚拟网络、网络拓扑和网络流。

个人理解有限，仅抛砖引玉，有问题请指正，谢谢。

一、相关概念和要点（可跳过）1、OpenStack中nova-network的作用OpenStack平台中有两种类型的物理节点，控制节点和计算节点。

控制节点包括网络控制、调度管理、api服务、存储卷管理、数据库管理、身份管理和镜像管理等，计算节点主要提供nova-compute服务。

控制节点的服务可以分开在多个节点，我们把提供nova-network服务的节点称为网络控制器。

OpenStack的网络由nova-network（网络控制器）管理，它会创建虚拟网络，使主机之间以及与外部网络互相访问。

OpenStack的API服务器通过消息队列分发nova-network提供的命令，这些命令之后会被nova-network处理，主要的操作有：分配ip地址、配置虚拟网络和通信。

区分以下两个概念：控制节点和网络控制器在最简单的情况下，所有服务都部署在一个主机，这就是all-in-one；稍微复杂点，除了nova-compute外所有服务都部署在一个主机，这个主机进行各种控制管理，因此也就是控制节点（本文把2个或以上节点的部署都称为“多节点”）；但是，很多情况下（比如为了高可用性），需要把各种管理服务分别部署在不同主机（比如分别提供数据库集群服务、消息队列、镜像管理、网络控制等）。

这个时候网络控制器（运行nova-network）只是控制节点群中的一部分。

2、OpenStack中network的2种ip、3种管理模式Nova有固定IP和浮动IP的概念。

固定IP被分发到创建的实例不再改变，浮动IP是一些可以和实例动态绑定和释放的IP地址。

Ping不通的十大原因知识重点：Ping不通的十大原因这种情况主要出现在Ping外部网络地址时才出现。

因为当网关设置错误时，Ping发出的数据包无法经网关进行转发。

因此需要检查本机的网关设置以及远程网关的配置是否正确。

一.Ping不通的十大原因这种情况主要出现在Ping外部网络地址时才出现。

因为当网关设置错误时，Ping发出的数据包无法经网关进行转发。

因此需要检查本机的网关设置以及远程网关的配置是否正确。

一般来说，只有在排除上述原因之外，才能够根据“Request Timed Out”初步判断网络连接可能有问题。

二、Destination Host Unreachable出现“Destination Host Unreachable”错误信息时表示对方主机不存在或者没有跟对方建立连接。

看起来好像与“Request Timed Out”差不多，但两者却有关本质的区别。

如果Ping命令所发出的数据包经过路由器，并经路由表到达目标的路由，但是因为其它原因（例如防火墙拦截等）导致不可达，那么就是“Request Timed Out”的提示了；相反如果路由表中没有到达目标的路由信息，那么就会出现“Destination Host Unreachable”。

出现这种情况主要有以下一些方面的原因：对于使用DHCP自动分配IP 地址的网络，很可能是DHCP服务器出错或不能正常工作，这样客户机无法与DHCP 正常通讯并获得正确的IP地址，对此只需要修复DHCP服务器即可；另外则可能是子网掩码设置错误，对此只需要修改成正确的即可。

三、Unknown host该提示表示无法识别的主机，出现这个问题之后是不是就表示目标主机一定有问题呢？当然不能！因为我们使用Ping命令去连接目标主机名称时，主要使用DNS来负责将名称转换成IP地址。

例如“Ping ”，我们看到的返回信息是“Reply from 220.181.28.42: bytes=32 time=59ms TTL=54”，而不是“Reply from : bytes=32 time=59ms TTL=54”，这就说明我们IP设置中的DNS服务器将成功转换为220.181.28.42。

一、网络问题-network更多网络原理机制可以参考《OpenStack云平台的网络模式及其工作机制》。

1.1、控制节点与网络控制器区别OpenStack平台中有两种类型的物理节点，控制节点和计算节点。

控制节点包括网络控制、调度管理、api服务、存储卷管理、数据库管理、身份管理和镜像管理等，计算节点主要提供nova-compute服务。

控制节点的服务可以分开在多个节点，我们把提供nova-network服务的节点称为网络控制器。

1.2、OpenStack中nova-network的作用OpenStack的网络由nova-network（网络控制器）管理，它会创建虚拟网络，使主机之间以及与外部网络互相访问。

OpenStack的API服务器通过消息队列分发nova-network提供的命令，这些命令之后会被nova-network处理，主要的操作有：分配ip地址、配置虚拟网络和通信。

1.3、OpenStack中Flat与FlatDHCP区别Flat（扁平）：所有实例桥接到同一个虚拟网络，需要手动设置网桥。

FlatDHCP：与Flat（扁平）管理模式类似，这种网络所有实例桥接到同一个虚拟网络，扁平拓扑。

不同的是，正如名字的区别，实例的ip提供dhcp获取（nova-network节点提供dhcp服务），而且可以自动帮助建立网桥。

1.4、OpenStack中Flat与vLAN区别在两种Flat模式里，网络控制器扮演默认网关的角色，实例都被分配了公共的IP地址（扁平式结构，都在一个桥接网络里）。

vLAN模式功能丰富，很适合提供给企业内部部署使用。

但是，需要支持vLAN的switches 来连接，而且相对比较复杂，在小范围实验中常采用FlatDHCP模式。

1.5、OpenStack中网络流向是怎样的，都经过网络控制器吗多节点时，网络控制器与计算节点分别在不同主机，普通部署方式下（不是multi_host），只有nova-network控制网络，而它仅仅在控制节点运行。

Ping不通的十大原因九Ping不通的十大原因电脑知识爱好者互联网本站整理2008-4-1 12:20:16知识重点：Ping不通的十大原因这种情况主要出现在Ping外部网络地址时才出现。

因为当网关设置错误时，Ping发出的数据包无法经网关进行转发。

因此需要检查本机的网关设置以及远程网关的配置是否正确。

一..Ping不通的十大原因这种情况主要出现在Ping外部网络地址时才出现。

因为当网关设置错误时，Ping发出的数据包无法经网关进行转发。

因此需要检查本机的网关设置以及远程网关的配置是否正确。

一般来说，只有在排除上述原因之外，才能够根据“Request Timed Out”初步判断网络连接可能有问题。

二、Destination Host Unreachable出现“Destination Host Unreachable”错误信息时表示对方主机不存在或者没有跟对方建立连接。

看起来好像与“Request Timed Out”差不多，但两者却有关本质的区别。

如果Ping命令所发出的数据包经过路由器，并经路由表到达目标的路由，但是因为其它原因（例如防火墙拦截等）导致不可达，那么就是“Request Timed Out”的提示了；相反如果路由表中没有到达目标的路由信息，那么就会出现“Destination Host Unreachable”。

出现这种情况主要有以下一些方面的原因：对于使用DHCP自动分配IP地址的网络，很可能是DHCP服务器出错或不能正常工作，这样客户机无法与DHCP正常通讯并获得正确的IP地址，对此只需要修复DHCP服务器即可；另外则可能是子网掩码设置错误，对此只需要修改成正确的即可。

三、Unknown host该提示表示无法识别的主机，出现这个问题之后是不是就表示目标主机一定有问题呢？当然不能！因为我们使用Ping命令去连接目标主机名称时，主要使用DNS来负责将名称转换成IP地址。

例如“Ping ”，我们看到的返回信息是“Reply from 220.181.28.42: bytes=32 time=59ms TTL=54”，而不是“Reply from : bytes=32 time=59ms TTL=54”，这就说明我们IP设置中的DNS服务器将成功转换为220.181.28.42。

设置了虚拟服务器无法使用外网访问怎么办相对于真实主机而言，虚拟服务器是指采用特殊的软硬件技术把一台完整的服务器主机分成若干个主机。

虚拟服务器很多用户会发现在TP-LinK云路由中设置了虚拟服务器之后，出现无法使用外网访问服务器的情况，该如何处理呢?请参见下文。

方法步骤1、确认服务器网络参数可能原因：服务器网络参数不正确。

解决办法：确认服务器网络参数设置正确(IP地址、子网掩码、默认网关)，如下图：如果服务器是一台主机，确定服务器通过本路由器可以正常上网。

2、确认服务器搭建成功可能原因：服务器搭建不成功。

解决办法：确认内网电脑可以访问到服务器，如果内网电脑无法访问成功，建议排查服务器原因。

3、关闭防火墙及杀毒软件可能原因：服务器的防火墙和杀毒软件可能会将外网地址列为非信任区域地址，导致外网地址不能访问内网服务器。

解决办法：关闭服务器的系统防火墙和杀毒软件。

1、检查虚拟服务器规则设置可能原因：虚拟服务器规则中的服务器端口或服务器IP地址填写错误。

解决办法：确认规则中的内部端口是服务器的真实端口(外部端口是外网用户访问服务器时使用的端口，可以和内部端口不一样)，IP地址是服务器的IP地址。

2、DMZ主机测试可能原因：虚拟服务器规则开放的服务器端口不完全，没有包含服务器的所有端口。

解决办法：尝试开启DMZ主机测试。

在路由器管理界面点击应用管理 >> DMZ主机，DMZ主机选择开，DMZ主机IP地址中输入服务器的IP地址，点击保存，如下图所示：若开启DMZ主机后，外网可以访问成功，则可能是部分端口没有开放导致。

如网络摄像机以及特殊的应用软件(如ERP系统)等，如果不清楚服务器的服务端口，可咨询服务器软件服务商。

1、服务商屏蔽对应端口可能原因：部分宽带运营商可能会屏蔽80等常用服务端口。

解决办法：修改外部端口为运营商非屏蔽端口，建议修改9000以上，外网用户使用修改后的外部端口访问服务器。

2、WAN口IP地址是否为公网IP地址可能原因：WAN口IP地址不是公网IP地址，无法进行虚拟服务器映射。

PING不通的问题检查步骤Ping不通问题是网上经常出现的问题，并且这种问题涉及多个设备，有些可能是配置问题，有些可能是设备问题。

以下简单介绍一下一般的检查步骤，但这些步骤仅仅是定位问题的一个框架，具体还要根椐当时的组网和你的实际的直觉进行相关的操作。

定位的顺序也要根椐当时现场的具体情况作相应的调整。

首先要排除一些低级问题1 某些设备不支持ping功能2 设备上将ping报文进行过滤3 通过某些防火墙，或者有ASPF只支持单向通过4 端口配置NAT首先要采用遂段排除法，确定是哪一个设备出了问题。

1 一般的IP转发可使用tracert2 MPLS VPN,使用遂跳ping的方法,确定在是私网设备,还是在公网的设备。

一普通IP转发不通1 查看路由表是否正常执行display ip routing 查看路由信息，路由较多的情况下可以使用相应的过滤条件。

如果没有相应的路由，就必须检查配置是否正确，检查这条路由是应当如何生成，根椐静态BGP，OSPF，RIP协议故障定位手册，查询具体的原因。

2 查看转发表(FIB)是否正常这一步容易遗漏，主控板与业务板转发表有可能不同步，因此一定要同时检查检查主控板和业务板（VIU/LPU）的转发表(FIB)。

若发现转发表项丢失请及时通知相关人员进行定位.。

NE05/08/16执行命令display fib <slot-number> 查看转表NE40/80RPS执行display fib查看转表在诊断模式下使用display table slotnum { 7(掩码长度大于16的路由) | 8 }查看对应接口板fib是否正常.还可以使用disp efu fib slotnum ipaddress mask 察看到具体ip地址的路由另外可以执行efu fib sum slotnum:查看对应板fib表插入、删除、更新的次数，以及总的fib数4 查看网络层及链路层收发是否正常ETHER检查ARP表项是否正常，一般会可能是ARP表项已满。

为什么ping不通1、ping不通也有好几种返回信息的——Ping不成功的返回信息有"Request Timed Out"、"Destination Net Unreachable"和"Bad IP address"还有"Source quench received"。

"Request Timed Out"这个信息表示对方主机可以到达到TIME OUT，这种情况通常是为对方拒绝接收你发给它的数据包造成数据包丢失。

大多数的原因可能是对方装有防火墙或已下线。

"Destination Net Unreachable"这个信息表示对方主机不存在或者没有跟对方建立连接。

这里要说明一下"destination host unreachable"和"time out"的区别，如果所经过的路由器的路由表中具有到达目标的路由，而目标因为其它原因不可到达，这时候会出现"time out"，如果路由表中连到达目标的路由都没有，那就会出现"destination host unreachable"。

"Bad IP address"这个信息表示你可能没有连接到DNS服务器所以无法解析这个IP地址，也可能是IP地址不存在。

"Source quench received"信息比较特殊，它出现的机率很少。

它表示对方或中途的服务器繁忙无法回应。

2、一般的防火墙现在都可以防止网络内的ping，因为有ICMP协议层的病毒；: ~~~~~~~~~~这句话说得可能不太准确，我只是想说你这种情况完全可能是防火墙的原因二、那么怎样使用Ping这命令来测试网络连通呢？连通问题是由许多原因引起的，如本地配置错误、远程主机协议失效等，当然还包括设备等造成的故障。

【整理】虚拟机和主机ping不通解决办法，虚拟机ping不通外⽹的解决⽅法检查⼏个⽅⾯：1.检查虚拟⽹卡有没有被禁⽤2.检查虚拟机与物理机是否在⼀个VMNet中3.检查虚拟机的IP地址与物理机对应的VMNet是否在⼀个⽹段4.检查虚拟机与物理机的防⽕墙是否允许PING，不⾏的话⼲脆全部关闭vm的联⽹⽅式⼀般有3种⽅式：NAT、bridged 、host-Only。

如下图：虚拟机和主机ping不通解决办法 - danshiming - danshiming的博客图1Bridged⽅式：在图1中Network connection中选中第1项，即在vm ware虚拟机属性⾥⾯设置⽹卡为桥接，这样启动虚拟机后，虚拟系统就会通过⽹卡桥接到局域⽹。

⼀般地宿主机是⾃动获取局域⽹ip，那么虚拟机也设置为⾃动获取局域⽹ip；如果宿主机不是⾃动设置为局域⽹ip，那么就给虚拟机设置⼀个和宿主机（其IP为:10.232.70.9）同⼀⽹段的真实IP，如设置为10.232.70.235，就可以了，⼀样上⽹，跟本机⽆任何区别。

采⽤bridged⽅式需要有你的局域⽹⽹段的ip，这种⽅式不需要Vm1、Vm8同样可以上外⽹。

Nat⽅式：在图1中Network connection中选中第2项使⽤nat⽅式默认的虚拟机配置下使⽤dhcp⾃动获取ip即可。

如果要⾃⼰定义静态ip的话，进⼊edit->virtual network setting->host virtual network mapping->vmnet8，点后⾯的>，subnet可以看到nat所在的⽹段，⾃⼰设置⼀个该⽹段的ip也可以（也可以在此修改为其他⽹段，保证虚拟机中的⽹段和这⾥⼀致），虚拟机⽹关ip在nat标签下可以看到。

个⼈⽐较喜欢⽤nat⽅式，不⽤受限于局域⽹环境。

但是只能虚拟机访问外部⽹络，外部除了主机外其他不能访问虚拟机（但是可以通过设置端⼝映射实现）。

1.检查硬件连接，网络是否连接好。

2.检查TCP/IP协议，ip地址是否在一个局域网内。

3.检查防火墙等软件设置，防火墙是否关闭。

4.如果设置了VLAN，看是否是同一VLAN内.5.一、用高级设置法预防Ping默认情况下，所有Internet控制消息协议(ICMP)选项均被禁用。

如果启用ICMP选项，您的网络将在 Internet 中是可视的，因而易于受到攻击。

如果要启用ICMP，必须以管理员或Administrators 组成员身份登录计算机，右击“网上邻居”，在弹出的快捷菜单中选择“属性”即打开了“网络连接”，选定已启用Internet 连接防火墙的连接，打开其属性窗口，并切换到“高级”选项页，点击下方的“设置”，这样就出现了“高级设置”对话窗口，在“ICMP”选项卡上，勾选希望您的计算机响应的请求信息类型，旁边的复选框即表启用此类型请求，如要禁用请清除相应请求信息类型即可。

二、用网络防火墙阻隔Ping使用防火墙来阻隔Ping是最简单有效的方法，现在基本上所有的防火墙在默认情况下都启用了ICMP过滤的功能。

在此，以金山网镖2003和天网防火墙2.50版为蓝本来说明。

对于使用金山网镖2003的网友，请用鼠标右击系统托盘中的金山网镖2003图标，在弹出的快捷菜单中选择“实用工具”中的“自定义IP规则编辑器”，在出现的窗口中选中“防御ICMP类型攻击”规则，消除“允许别人用ping命令探测本机”规则，保存应用后就发挥效应。

如果您用的是天网防火墙，在其主界面点击“自定义IP规则”，然后不勾选“防止别人用ping命令探测”规则，勾选“防御ICMP攻击”规则，然后点击“保存/应用”使IP规则生效。

三、启用IP安全策略防PingIP安全机制（IP Security）即IPSec 策略，用来配置 IPSec 安全服务。

这些策略可为多数现有网络中的多数通信类型提供各种级别的保护。

您可配置 IPSec 策略以满足计算机、应用程序、组织单位、域、站点或全局企业的安全需要。