【HCI-VN】虚拟机网络异常之EDR拦截

更新时间：2023-01-05

所属模块网络问题 | 虚拟网络

适用版本通用

虚拟机之间存在2小时左右不通，一段时间之后恢复。OA应用服务器地址为76，OA文件服务器地址为77，中午听客户讲我们进行了两台服务器处于同一vxlan的测试，出现76访问不到77，可以访问到同一网段其他的服务器，77可以访问到76，导致OA应用不能查阅文件

无vxlan告警

1.分析清楚现象：是单向不通，在两个多小时之后恢复，中间过程客户有重启虚拟机，和修改ip操作没有用，都出现了无法访问，然后突然恢复正常

2.vxlan正常说明物理网络层面和北研转发面没有问题，因为76到其他虚拟机是通的，只是到77不通，而当时没有做77到其他虚拟机ping的测试，可能是77虚拟机网卡队列异常导致，检查北研和qemu日志都没有发现异常，排除虚拟网卡异常

3.检查77虚拟机的防火墙，客户说防火墙已经关闭了

4.检查edr的安全日志记录，发现有网络防护拦截日志记录，转edr的人排查，说是有一个手动封锁ip的动作导致，封锁的原因是几天前有通过76来破解77

edr拦截了虚拟机访问，每次拦截是2个小时，拦截时间到了之后自动解封了

edr后续版本根据这种场景进行修改

出现虚拟机单向不通的问题可以优先排查虚拟机内部防火墙以及edr等封锁软件

虚拟机防火墙、edr安全拦截日志

{{contentObj.name||'--'}}