Identifica y soluciona problemas de ICMP

En este instructivo, se muestra cómo usar las pruebas de conectividad de forma iterativa para identificar y solucionar un problema con la conectividad de red.

En este caso, las reglas de firewall de la nube privada virtual (VPC) evitan que la dirección IP externa de una instancia de máquina virtual (VM) use el protocolo ICMP para hacer ping a la dirección IP externa de otra VM.

Debido a que los problemas de comunicación de VM a VM suelen ser problemas de conectividad de red, las pruebas de conectividad pueden proporcionarte información sobre posibles problemas de configuración para que puedas solucionarlos. Luego, puedes volver a ejecutar las pruebas de conectividad para verificar la corrección.

Descripción general

En este caso, has configurado dos instancias de VM en la misma subred de tu red de VPC. Ambas VM tienen direcciones IP externas. Cuando pruebes la conectividad entre ellas mediante el envío de un paquete ping desde la vm1 a la dirección IP externa de la vm2, el ping no funciona.

Solución de problemas de un ping denegado entre dos VM
Solución de problemas de un ping denegado entre dos VM

Antes de comenzar

Antes de comenzar el instructivo, sigue todos los pasos en la sección Before you begin de Crea y ejecuta pruebas de conectividad.

También puede ser útil revisar cómo funcionan las reglas de firewall de VPC.

Configura recursos de red

En esta sección, configurarás los recursos de Google Cloud en la ruta de acceso de la prueba.

Configura una red de VPC

Puedes usar una red y subred existentes que contengan las VM o puedes crear una red y subred nuevas.

Configura dos instancias de VM

  1. Las instancias de VM en este instructivo están ubicadas en la misma red de VPC y subred. Puedes usar VM existentes o crear VM nuevas.
  2. Asigna la vm1 y la vm2 a una dirección IP externa cuando las crees. Toma nota de las direcciones, ya que las usarás más adelante.

Crea una regla de firewall default-deny-outgoing-ping

Después de crear las VM, crea una regla de firewall de VPC de salida llamada default-deny-outgoing-ping. Esta regla rechaza el protocolo ICMP de la vm1 a la vm2. Asegúrate de que no haya reglas de firewall en esta red que anulen esta regla. Además, asegúrate de que ninguna regla de políticas jerárquicas de firewall anule esta regla. Para obtener más detalles, consulta Descripción general de las políticas jerárquicas de firewall.

Usa los valores de la siguiente tabla para configurar esta regla de firewall de VPC.

Campo de la regla de firewall de VPC Valor
Nombre default-deny-outgoing-ping
Red Usa la red de VPC en la que se encuentran las VM.
Prioridad 1000
Dirección del tráfico Salida
Acción en caso de coincidencia Denegar
Destinos Selecciona Todas las instancias de la red.
Rangos de IP de destino Usa la dirección IP externa de la vm2.
Puertos y protocolos especificados Selecciona la casilla de verificación Otros protocolos y, luego, ingresa icmp.

Crea una regla de firewall default-deny-ingress-to-vm2

Crea una regla de firewall de entrada llamada default-deny-ingress-to-vm2 para denegar el protocolo ICMP a la dirección IP externa de la vm2. Asegúrate de que no haya reglas de firewall en esta red que anulen esta regla. Además, asegúrate de que ninguna regla de políticas jerárquicas de firewall anule esta regla. Para obtener más detalles, consulta Descripción general de las políticas jerárquicas de firewall.

Usa los valores de la siguiente tabla para crear la regla.

Campo de la regla de firewall de VPC Valor
Nombre default-deny-ingress-to-vm2
Red Usa la red de VPC en la que se encuentran las VM.
Prioridad 65534
Dirección del tráfico Entrada
Acción en caso de coincidencia Denegar
Destinos Selecciona Todas las instancias de la red.
Rangos de IP de origen Usa la dirección IP externa de la vm1.
Puertos y protocolos especificados Selecciona la casilla de verificación Otros protocolos y, luego, ingresa icmp.

Ejecuta el primer seguimiento

Con Google Cloud Console, ejecuta un seguimiento para determinar si un paquete ICMP (ping) puede viajar vm1 a la dirección IP externavm2. Después de ejecutar este seguimiento, las Pruebas de conectividad te informan que el paquete de seguimiento se descartó debido a la regla de firewall default-deny-outgoing-ping.

Usa la siguiente tabla para los valores de entrada del seguimiento.

Nombre del campo Valor
Protocol icmp
Dirección IP de origen

Usa la dirección IP externa de la vm1.

Selecciona la casilla de verificación Esta es una dirección IP que se usa en Google Cloud.

Dirección IP o proyecto de servicio de origen Verifica el nombre del proyecto de la vm1.
Dirección IP de destino

Usa la dirección IP externa de la vm2.

Selecciona la casilla de verificación Esta es una dirección IP que se usa en Google Cloud.

Dirección IP o proyecto de servicio de destino Verifica el nombre del proyecto de la vm2.

La siguiente instantánea de Cloud Console muestra que el paquete de seguimiento se descartó en la regla de firewall default-deny-outgoing-ping.

Instantánea de la interfaz de usuario de la consola del seguimiento que contiene el ping saliente denegado.
Instantánea de la interfaz de usuario de la consola de el seguimiento que contiene el ping saliente denegado

Ejecute un segundo seguimiento después de inhabilitar la regla de firewall default-deny-outgoing-ping

  1. Para permitir que la prueba de ping vm2 inhabilite temporalmente la regla del firewall default-deny-outgoing-ping.
  2. Después de que la configuración se actualice correctamente, vuelva a ejecutar el seguimiento.
  3. El seguimiento falla nuevamente. El paquete se descartó debido a que esta regla de firewall niega un paquete ICMP de entrada a la dirección IP externa de vm2.

La siguiente instantánea de Cloud Console muestra que un paquete de seguimiento entrante puede pasar a través de Cloud NAT, pero no puede alcanzar vm2 debido a la regla de firewall mencionada anteriormente.

La instantánea de IU de la consola del seguimiento no pudo alcanzar a la vm2.
Instantánea de la IU de Console del seguimiento que no llega a la vm2

Cree la regla de firewall allow-ping-from-known-ranges

Para permitir la entrada a la dirección IP externa de vm2, configura una nueva regla de firewall de VPC llamada allow-ping-from-known-ranges. Debido a que permitir todos los paquetes ICMP de entrada en tu red de VPC es un riesgo de seguridad, especifica solo un pequeño conjunto de rangos de origen que puedan enviar paquetes ICMP a la dirección IP externa de vm2.

A los fines de este instructivo, este rango de origen incluye solo la dirección IP externa de vm1, pero verifica las reglas de firewall o prioridades de reglas existentes para asegurarte de que no anulen esta regla nueva. Además, asegúrate de que ninguna regla de política jerárquica de firewall anule esta regla. Para obtener más detalles, consulta Descripción general de las políticas jerárquicas de firewall.

Usa los valores de la siguiente tabla para configurar la regla.

Campo de la regla de firewall de VPC Valor
Nombre allow-ping-from-known-ranges
Red Usa el nombre de la red que contiene ambas VM.
Prioridad 1000
Dirección del tráfico Entrada
Acción en caso de coincidencia Permitir
Destinos Selecciona Todas las instancias de la red.
Filtro de fuente Rangos de IP
Rangos de IP de origen Usa la dirección IP externa de la vm1.
Puertos y protocolos especificados Selecciona la casilla de verificación Otros protocolos y, luego, ingresa icmp.

Ejecuta un tercer seguimiento

Después de crear la regla de firewall allow-ping-from-known-ranges, vuelve a hacer ping a la dirección IP externa de la vm2. El ping funciona y el problema está resuelto.

Un ping permitido entre dos VM.
Un ping permitido entre dos VM

Puedes verificar este resultado si realizas otro seguimiento en la configuración actualizada que contiene la regla de firewall nueva. Esta vez, las pruebas de conectividad te indican que el paquete se entregó a la vm2 y que la regla de firewall coincidente, allow-ping-from-known-ranges, permite un paquete ICMP entrante a la dirección IP externa de la vm2.

Instantánea de la IU de la consola de un seguimiento exitoso a la vm2.
Instantánea de la IU de Console de un seguimiento correcto a la vm2

Limpia

Si es necesario, puedes inhabilitar o borrar cualquiera de los siguientes recursos de Google Cloud que creaste para este instructivo. Asegúrate de que estos no sean recursos de producción. Si decides inhabilitar recursos, consulta la página de precios de Compute Engine y la página de precios de todas las redes para asegurarte de que no se te facture por ellos.

  1. Inhabilita o borra reglas de firewall.
  2. Inhabilita o borra VM.
  3. Borra las subredes de VPC.
  4. Borra la red de VPC

¿Qué sigue?