购买的带宽是指出带宽, 即限制云主机出去的带宽. 当出带宽小于50Mbps时，入带宽固定为50Mbps。当出带宽不小于50Mbps时，入带宽等于出带宽。

可以在控制台中直接对外网弹性IP的带宽进行调整, 无需停机并实时生效.

通过购买带宽包的方式可以临时增加带宽.

支持，使用共享带宽即可。

可以的。EIP支持绑定在多种类型的云资源上，如ULB、云主机、NAT网关等。

通过云主机管理界面中应急登录功能进行登录。

通过在有外网的机器上架设VPN，具体参照 VPN应用指南

通过在有外网的机器配置端口映射访问

用户必须同时在同一机房拥有两台机器,且其中一台机器有外网IP 以Centos系统为例:

假设 A机器 内网IP:1.1.1.1 外网IP:2.2.2.2 B机器 内网IP:1.1.1.2

通过ssh命令将目标B机器ip的22端口映射到A机器的外网ip的某个端口上去

命令格式:

ssh -C -f -N -g -L 本地端口:目标IP:目标端口 用户名@目标IP

步骤:在先登录A机器，执行ssh命令:

ssh -C -f -N -g -L 5000:1.1.1.2:22 root@1.1.1.2

之后外网即可通过以下命令访问B机器:

ssh 2.2.2.2 -p 5000

可以通过第三方ping工具，例如ping.chinaz.com，检测服务器是否能多地可达。若都不可达，可排查服务器的服务是否正常运行。 若多地不可达，可能是骨干网络出现故障。若只是某地不可达，可能是该地本地路由的问题，可以找当地运营商申诉。

可以通过云知芯的高速通道(UDPN)实现，具体请咨询技术支持或客户经理。

不同用户间的2层、3层完全隔离, 无法使用抓包工具获取其他用户数据.

目前内网带宽无额外限制。但若有内网DDoS等异常流量，系统会自动限速和隔离。

不支持。

请先检查主机的负载是否很高？（比如CPU、内存、带宽是否用满）如果不是主机导致，可以联系技术支持协助排查。

请确认以下2点: (1) 防火墙规则已经应用到该台主机 (2) 主机内部iptables已经关闭. 端口是否打开可以通过nc命令查看,例如 nc -nv 10.3.1.2 22， 若端口已打开而服务不可用，请检查服务是否正常运行。

还有一种造成无法访问的情况是，ISP运营商由于高危端口等原因而主动封禁了某些端口，例如445端口。 目前从运营商处反馈的端口封锁列表有：

TCP：42,135,137,138,139,445,593,1025,1068,1434,3127,3130,3332,4444,5554,6669,9996,12345,31337,54321

UDP：135,445,593,1026,1027,1068,1434,4444,5554,9996

请确认以下两点: (1) 防火墙规则已经允许icmp，并应用到主机 (2) 主机内部iptables已经关闭

源IP写: 0.0.0.0/0

如果能获得恶意用户的访问IP，可以在主机防火墙中添加一条包含该源IP的阻止(Drop)规则

支持，网络ACL可实现子网级别的安全隔离。

云知芯的内网使用了软件定义网络（SDN）技术，以此来实现不同用户主机间的内网隔离

用户在使用防火墙的时候，有时会遇到修改后规则不生效的问题。这个原因是因为tcp长连接导致的。

通常情况下，防火墙规则是立即生效的。但某些场景下，防火墙场景并不会立即生效。

以Nginx为例，Nginx会在触发keepalivetimeout（默认为65秒）之后，发送FIN包，让nfconntracktcptimeoutestablished不再起作用，转而触发nfconntracktcptimeouttimewait的规则，而它的默认规则为120秒。

在这种场景，防火墙生效最多需要两分钟。

而对于类似于MySQL的长连接场景，由于nfconntracktcptimeoutestablished这个系统内核及参数设置其默认的失效时间为5天，这种场景一旦连接建立，通过修改防火墙的方式很难立即阻断连接。

如上面所提到的MySQL场景，其端口为3306。假设为了能够阻断来自于1.2.3.4的连接，可以在云主机中使用iptables的"RAW"表进行处理。

iptables -t raw -I PREROUTING -s 1.2.3.4 -p tcp -m tcp --dport 3306 -j DROP

该方法之所以能够生效，是因为Linux系统的Netfilter中，在PREROUTING以及OUTPUT这两个HOOK的conntrack之前，安插了一个优先级更高的RAW表。通过RAW表，就可以分离出不需要被conntrack的流量了。

防火墙不会阻断已建立的连接，所以不受防火墙影响

1.常规带宽模式下（非共享带宽），可申请流量计费IP，或将存量IP切换为流量计费，共享带宽模式不支持流量计费的外网IP；

流量计费IP计费分为两部分：

2.外网IP地址（无带宽）的费用，可按需. 按月、按年支付(裸IP)；

流量费用，不同地域价格不同，每天凌晨根据每个IP所使用流量进行结算，试用IP所产生流量不进行扣费.

3.流量计费的IP，不收取带宽费用；

4.流量统计仅统计出口流量，不统计入口流量；

5.将存量IP切换为流量计费IP，会对已购带宽进行自动退费；

6.流量计费IP，不支持绑定带宽包；

7.若当日扣费失败，则会在下一天再次进行扣费。

8.流量计费的IP，试用规则普通IP相同，试用IP的流量不进行扣费。

一般情况下, 5秒内生效.

可以绑定任意多个.

单个外网弹性IP只能绑在一个云主机上, 但可以通过解绑绑定的方式转给另一台云主机. 绑定多个主机的需求, 可考虑用NAT网关解决.

traceroute原理, 第N+1跳的丢包如小于第N跳的丢包, 则说明第N跳的丢包是路由器的ICMP限制或其他策略导致, 不是网络问题. 如果某跳后丢包呈持续增长, 则有可能是网络问题. 请联系技术支持处理.

请检查以下命令的结果是否为1:

sysctl -a | grep tw_recycle

结果为1会造成NAT后的客户端连接云主机时超时等情况. 目前大多数上网场景都是NAT的, 例如家中上网(通过无线路由), 公司上网(通过网关) 超时原因是Linux的tw_recycle与NAT不兼容. Linux对使用timestamp的socket中的timestamp值有要求. Windows没有问题的原因是, Windows没有使用到TCP timestamp这一功能.

云主机的流量可分为纵向流量: 外网流量以及ULB/UDB/UMem访问流量. 横向流量: 云主机间内网通讯. 默认路由修改到做网关的云主机后, 所有流量都会变为横向流量, 不仅影响纵向流量的效率, 也会导致无法和ULB/UDB/UMem通讯(因为内网IP伪造的安全规则会不通过). 解决方法是添加静态路由.

Linux添加路由示例 :

# 网关为10.4.0.1
ip ro add 10.255.0.0/16 via 10.4.0.1
ip ro add 10.4.0.0/16 via 10.4.0.1
echo "ip ro add 10.255.0.0/16 via 10.4.0.1" >> /etc/rc.local
echo "ip ro add 10.4.0.0/16 via 10.4.0.1" >> /etc/rc.local

note:

上述写入rc.local的方法在CentOS 7下无效，需要直接写入 /etc/sysconfig/network-scripts/route-eth0

Windows添加路由示例 :

# 网关为10.4.0.1
route add 10.255.0.0 mask 255.255.0.0 10.4.0.1 /p
route add 10.4.0.0 mask 255.255.0.0 10.4.0.1 /p

云安全系统会对云平台进行实时监测，监测机制主要通过对网络包量监测进行对外攻击行为的发现。

当安全系统发现资源对外访问包量超过正常阈值时，则系统会对该资源的网络数据包进行行为分析，若分析结果表明存在攻击行为，则会触发对资源的安全防护机制，即资源会进入防护期。

注意：

当资源触发防护机制时，资源仍然会正常运行并对外提供服务，但可能出现网络波动，所以若您接收到安全告警时，请您及时进行处理。如有任何问题，请联系技术支持。