某局點現場TECS控制節點的TECSClient平面使用雙棧配置，同時使用IPv4和IPv6。

運維人員在維護過程中，通過TECSClient IPv6地址能夠使用SSH方式正常連接到控制節點虛擬機操作系統中，但是通過TECSClient IPv4地址SSH連接控制節點虛擬機操作系統，會提示Connection refused，無法使用SSH正常訪問虛擬機操作系統。

報錯信息如下圖所示。

通過TECSClient IPv6地址能夠使用SSH方式正常連接到控制節點虛擬機操作系統中，表明操作系統目前是正常狀態。分析無法通過TECSClient IPv4地址正常訪問控制節點虛擬機操作系統的可能原因如下：

服務器地址丟失導致無法訪問。

地址沖突導致無法訪問。

防火墻配置錯誤導致無法訪問。

服務器系統內部文件配置錯誤導致無法訪問。

問題分析過程如下：

1.排查TECSClient IPv4地址是否正常。

使用堡壘機的cmd命令行，執行Ping命令，能夠正常Ping通TECSClient IPv4地址，表明堡壘機到TECSClient IPv4對應的地址是正常的，如下圖所示。

2.排查是否由于TECSClient IPv4地址和現網其他運維地址沖突，導致該IPv4地址無法正常SSH登錄。

屏蔽TECS對應的IPv4地址，通過堡壘機嘗試Ping對應的IPv4地址，進一步判斷地址是否沖突。具體操作如下：

a.通過TECSClient IPv6地址SSH訪問控制節點虛擬機。

b.執行ip a|grep xxxx 命令，確認TECSClient IPv4地址對應的網卡是eth_MANA.702，如下圖所示。

a.執行ifdown eth_MANA.702命令，關閉TECSClient IPv4地址。

c.使用堡壘機的cmd命令行，執行Ping命令，已無法正常Ping通TECSClient IPv4地址，如下圖所示。表明當前TECSClient IPv4地址和現網其他運維地址沒有沖突。

d.通過TECSClient IPv6地址SSH訪問控制節點虛擬機，執行ifup eth_MANA.702命令，恢復TECSClient IPv4地址。

e.使用堡壘機的cmd命令行，執行Ping命令，能夠正常Ping通TECSClient IPv4地址。

3.排查是否由于防火墻屏蔽，導致無法正常通過TECSClient IPv4地址SSH登錄。

聯系安全廠家確認防火墻未做相關該IP地址的端口訪問限制。

4.排查是否為控制節點虛擬機操作系統自身的限制問題，有特殊配置禁止堡壘機地址段的SSH訪問。

a.執行ssh vtu@-vvv命令，提示連接拒絕報錯。

b.-vvv可進入SSH調試模式，v越多表明調試信息越詳細。通過如下信息查看，為控制節點虛擬機操作系統自身限制了IPv4的SSH訪問，如下圖所示。

5.檢查控制節點虛擬機操作系統的SSH配置文件。

6.在節點上執行cat /etc/ssh/sshd_config命令，檢查SSH地址的配置只有IPv6地址，缺少對應IPv4地址。證實是由于該配置導致無法通過TECSClient IPv4地址SSH連接控制節點虛擬機操作系統，如下圖所示。

1.執行vi /etc/ssh/sshd_config命令，編輯sshd_config配置文件，將IPv4地址加入到列表中，如圖7所示。

2.編輯完成后執行wq!命令，保存退出配置。

3.在操作系統中執行systemctl restart sshd.service命令，重啟SSH服務，使修改的配置能夠正常生效。



4.完成SSH服務重啟后，通過TECSClient IPv4地址SSH連接控制節點虛擬機操作系統，能夠正常SSH訪問，如下圖所示。



檢查其他節點是否有相同問題，執行相同配置操作。