Identifica y soluciona problemas de ICMP

En este instructivo, se muestra cómo usar las pruebas de conectividad de forma iterativa para identificar y solucionar un problema con la conectividad de red.

En este caso, las reglas de firewall de la nube privada virtual (VPC) evitan que la dirección IP externa de una instancia de máquina virtual (VM) use el protocolo ICMP para hacer ping a la dirección IP externa de otra VM.

Debido a que los problemas de comunicación de VM a VM suelen ser problemas de conectividad de red, las pruebas de conectividad pueden brindarte información sobre posibles problemas de configuración para que puedas solucionarlos. Luego, puedes volver a ejecutar las pruebas de conectividad para verificar la corrección.

Descripción general

En este caso, configuraste dos instancias de VM en la misma subred de tu red de VPC. Ambas VMs tienen direcciones IP externas. Cuando pruebas la conectividad entre ellas enviando un paquete ping desde la vm1 hasta la dirección IP externa de la vm2, el ping no funciona.

Solución de problemas de un ping denegado entre dos VMs.
Solución de problemas de un ping denegado entre dos VMs

Antes de comenzar

Antes de comenzar el instructivo, sigue todos los pasos de la sección Before you begin en Crea y ejecuta pruebas de conectividad.

También puede ser útil revisar cómo funcionan las reglas de firewall de VPC.

Configura recursos de red

En esta sección, configurarás los recursos de Google Cloud en la ruta de prueba.

Configura una red de VPC

Puedes usar una red y subred existentes que contengan las VMs o puedes crear una red y subred nuevas.

Configura dos instancias de VM

  1. Las instancias de VM en este instructivo están ubicadas en la misma red y subred de VPC. Puedes usar VMs existentes o crear nuevas.
  2. Asigna la vm1 y la vm2 a una dirección IP externa cuando las crees. Toma nota de las direcciones, ya que las usarás más adelante.

Crea una regla de firewall default-deny-outgoing-ping

Después de crear las VMs, crea una regla de firewall de VPC de salida llamada default-deny-outgoing-ping. Esta regla rechaza el protocolo ICMP de la vm1 a la vm2. Asegúrate de que no haya reglas de firewall en la red que anulen esta regla. Además, asegúrate de que ninguna regla de política de firewall jerárquica anule esta regla. Para obtener más detalles, consulta Descripción general de las políticas de firewall jerárquicas.

Usa los valores de la siguiente tabla para configurar esta regla de firewall de VPC.

Campo de la regla de firewall de VPC Valor
Nombre default-deny-outgoing-ping
Red Usa la red de VPC en la que se encuentran las VMs.
Prioridad 1000
Dirección del tráfico Salida
Acción en caso de coincidencia Denegar
Destinos Selecciona Todas las instancias de la red.
Rangos de IP de destino Usa la dirección IP externa de la vm2.
Protocolos y puertos especificados Selecciona la casilla de verificación Otros protocolos y, luego, ingresa icmp.

Crea una regla de firewall default-deny-ingress-to-vm2

Crea una regla de firewall de entrada llamada default-deny-ingress-to-vm2 para denegar el protocolo ICMP a la dirección IP externa de la vm2. Asegúrate de que no haya reglas de firewall en la red que anulen esta regla. Además, asegúrate de que ninguna regla de política de firewall jerárquica anule esta regla. Para obtener más detalles, consulta Descripción general de las políticas de firewall jerárquicas.

Usa los valores de la siguiente tabla para crear la regla.

Campo de la regla de firewall de VPC Valor
Nombre default-deny-ingress-to-vm2
Red Usa la red de VPC en la que se encuentran las VMs.
Prioridad 65534
Dirección del tráfico Entrada
Acción en caso de coincidencia Denegar
Destinos Selecciona Todas las instancias de la red.
Rangos de IP de origen Usa la dirección IP externa de la vm1.
Protocolos y puertos especificados Selecciona la casilla de verificación Otros protocolos y, luego, ingresa icmp.

Ejecuta el primer seguimiento

Con la consola de Google Cloud , ejecuta un seguimiento para determinar si un paquete ICMP (ping) puede viajar desde vm1 hasta la dirección IP externa de vm2. Después de ejecutar este seguimiento, las pruebas de conectividad te informan que el paquete de seguimiento se descartó debido a la regla de firewall de VPC default-deny-outgoing-ping.

Usa la siguiente tabla para los valores de entrada del seguimiento.

Nombre del campo Valor
Protocolo icmp
Dirección IP de origen

Usa la dirección IP externa de la vm1.

Selecciona la casilla de verificación Esta es una dirección IP que se usa en Google Cloud.
Proyecto de servicio o dirección IP de origen Verifica el nombre del proyecto de la vm1.
Dirección IP de destino

Usa la dirección IP externa de la vm2.

Selecciona la casilla de verificación Esta es una dirección IP que se usa en Google Cloud.
Proyecto de servicio o dirección IP de destino Verifica el nombre del proyecto de la vm2.

En la siguiente instantánea de la consola de Google Cloud , se muestra que el paquete de seguimiento se descartó en la regla de firewall default-deny-outgoing-ping.

Instantánea de la IU de la consola del seguimiento que contiene el ping saliente denegado.
Instantánea de la IU de la consola del seguimiento que contiene el ping saliente denegado

Ejecuta un segundo seguimiento después de inhabilitar la regla de firewall default-deny-outgoing-ping

  1. Para permitir la prueba de ping a la vm2, inhabilita temporalmente la regla de firewall de VPC default-deny-outgoing-ping.
  2. Después de que la configuración se actualice de forma correcta, vuelve a ejecutar el seguimiento.
  3. El seguimiento falla otra vez. El paquete se descartó debido a que esta regla de firewall niega un paquete ICMP de entrada a la dirección IP externa de vm2.

En la siguiente instantánea de la consola de Google Cloud , se muestra que un paquete de seguimiento entrante puede pasar a través de Cloud NAT, pero no puede alcanzar la vm2 debido a la regla de firewall mencionada anteriormente.

Instantánea de la IU de la consola del seguimiento que no pudo alcanzar la vm2.
Instantánea de IU de la consola del seguimiento que no pudo alcanzar la vm2

Crea la regla de firewall allow-ping-from-known-ranges

Para permitir la entrada a la dirección IP externa de vm2, configura una nueva regla de firewall de VPC llamada allow-ping-from-known-ranges. Debido a que permitir todos los paquetes ICMP de entrada en tu red de VPC es un riesgo de seguridad, especifica solo un pequeño conjunto de rangos de origen que puedan enviar paquetes ICMP a la dirección IP externa de vm2.

A los fines de este instructivo, el rango de origen incluye solo la dirección IP externa de vm1, pero verifica las reglas de firewall o las prioridades de reglas existentes y asegúrate de que no anulen esta regla nueva. Además, asegúrate de que ninguna regla de política de firewall jerárquica anule esta regla. Para obtener más detalles, consulta Descripción general de las políticas de firewall jerárquicas.

Usa los valores de la siguiente tabla para configurar la regla.

Campo de la regla de firewall de VPC Valor
Nombre allow-ping-from-known-ranges
Red Usa el nombre de la red que contiene ambas VMs.
Prioridad 1000
Dirección del tráfico Entrada
Acción en caso de coincidencia Permitir
Destinos Selecciona Todas las instancias de la red.
Filtro de fuente Rangos de IP
Rangos de IP de origen Usa la dirección IP externa de la vm1.
Protocolos y puertos especificados Selecciona la casilla de verificación Otros protocolos y, luego, ingresa icmp.

Ejecuta un tercer seguimiento

Después de crear la regla de firewall allow-ping-from-known-ranges, vuelve a hacer ping a la dirección IP externa de la vm2. El ping funciona y el problema está resuelto.

Un ping permitido entre dos VMs.
Un ping permitido entre dos VMs

Puedes verificar este resultado realizando otro seguimiento en la configuración actualizada que contiene la regla de firewall nueva. Esta vez, las pruebas de conectividad te indican que el paquete se entregó a la vm2 y que la regla de firewall coincidente, allow-ping-from-known-ranges, permite un paquete ICMP entrante a la dirección IP externa de la vm2.

Instantánea de la IU de la consola. Muestra un seguimiento exitoso a la vm2.
Instantánea de la IU de la consola. Muestra un seguimiento exitoso a la vm2

Realiza una limpieza

Si es necesario, puedes inhabilitar o borrar cualquiera de los siguientes recursos de Google Cloud que creaste para este instructivo. Asegúrate de que estos no sean recursos de producción. Si decides inhabilitar recursos, consulta la página de precios de Compute Engine y la página de precios de todas las redes para asegurarte de que no se te facture por ellos.

  1. Inhabilita o borra las reglas de firewall.
  2. Inhabilita o borra las VMs.
  3. Borra las subredes de VPC.
  4. Borra la red de VPC.

¿Qué sigue?