从你描述的情况来看,异常服务器的tunl0接口缺少了brd 172.22.132.134这个广播地址配置。虽然这看起来是个小差异,但确实可能导致IPIP隧道数据包处理异常。
问题分析
广播地址的作用:
brd 172.22.132.134指定了广播地址- 在IPIP隧道中,正确的广播地址配置有助于内核正确处理目标地址
可能的影响:
- 内核路由表可能无法正确识别tunl0接口的广播范围
- IPIP数据包可能被错误地路由或丢弃
- ARP相关处理可能出现问题(尽管tunl0标记为NOARP)
解决方案
方法1:修复tunl0配置
# 删除现有的tunl0接口
ip tunnel del tunl0
# 重新创建并正确配置
ip tunnel add tunl0 mode ipip
ip addr add 172.22.132.134/32 brd 172.22.132.134 scope global dev tunl0
ip link set tunl0 up
方法2:检查系统配置差异
# 检查两服务器的内核参数差异
sysctl -a | grep -i ipip
sysctl -a | grep -e rp_filter -e forward
# 检查路由表
ip route show table all | grep tunl0
# 检查iptables规则
iptables -L -v -n
方法3:验证数据包流向
# 在异常服务器上监控tunl0流量
tcpdump -i tunl0 -n
# 检查内核是否收到包但未传递到应用层
cat /proc/net/dev | grep tunl0
方法4:临时测试修复
# 临时添加广播地址测试效果
ip addr change 172.22.132.134/32 brd 172.22.132.134 scope global dev tunl0
建议排查步骤
首先执行方法4的临时修复,看是否能立即解决问题
如果问题解决,说明确实是广播地址配置问题,需要永久修复配置
如果问题依旧,进一步排查: “`bash
检查conntrack状态(如果有的话)
conntrack -L | grep 172.22.132.134
# 检查应用层socket绑定状态 netstat -tulpn | grep 172.22.132.134
# dmesg查看内核日志是否有相关错误 dmesg | grep -i ipip|tunl0 “`
4.考虑防火墙/SELinux因素 “`bash #临时关闭防火墙测试
systemctl stop firewalld
#或对于iptables
iptables -F
#检查SELinux
getenforce
setenforce Permissive
```
请先尝试这些解决方案,如果问题仍然存在,可能需要更详细地分析网络拓扑和具体应用配置。
内容由零声教学AI助手提供,问题来源于学员提问
![异常服务器收到的包如下0:38.316208 IP (tos 0x0, ttl 112, id 0, offset 0, flags [DF], proto IPIP (4), length 72)
172.22.132.131 > 10.26.211.160: IP (tos 0x0, ttl 118, id 12337, offset 0, flags [DF], proto TCP (6), length 52)
121.35.103.108.5816 > 172.2...](https://linuxcpp.0voice.com/zb_users/upload/2023/05/202305162224299866311.png)
