一、事件背景

本调查报告是2025年9月12日本站阿里香港节点回国链路故障的详细分析，由本站站长CLAM，186526共同讨论完成，由AI润色。

关于此次故障的处理过程，可移步这篇文章，未经润色的原文可在此处下载。

阿里云香港地域的国际出口链路主要依赖香港本地运营商及国际运营商，包括：

• 香港 CTG（中国电信国际）

• CUG（中国联通国际）

• CMI（中国移动国际）

在正常情况下，该区域的跨境与国际流量通过多条链路承载，并由 BGP 路由策略进行动态调度与负载均衡，具体表现为基于动态 ACL（访问控制列表）的路由控制机制。

二、历史配置变更情况

数月前，阿里云为缓解香港地域带宽资源紧张、客户投诉国际访问质量不稳定的问题，对部分用户的跨国出口流量进行了策略调整：

将部分原本经由香港出口的流量通过东京 POP（内网传输节点）转发，再经东京 CUG 国际出口回到国际互联网。

该调整属于流量绕行与出口重定向方案。

但在该次配置实施过程中：

• 工程师在系统中未留存任何变更日志（log）

• 也未向中国联通东京数据中心同步或报备该项调整

这一历史遗留配置成为后续故障的关键隐患。

三、网络技术背景

当前全球绝大多数运营商级数据中心均部署了 URPF（Unicast Reverse Path Forwarding） 机制，用于防止源地址欺骗，其工作原理是：

只允许“源 IP 所属网络应当从该接口进来”的数据包通过，否则丢弃。

由于：

• 阿里云香港地域的 IP 地址属于香港本地数据中心

• 但流量被绕行经东京出口发送

在外部运营商视角中：

这些来自“香港 IP”的数据包，却从“东京方向”进入，违反了 URPF 校验规则。

四、直接触发原因

在最近一次东京联通对 URPF 相关策略进行更新时，系统对上述异常路径进行了“纠正性清理”：

• 该历史绕行路径被识别为异常源路径

• 被错误地当作非法路由路径清除

• 导致原有的动态 ACL 被失效或置空

由于该 ACL 原本并未配置任何静态兜底规则，一旦动态策略被清空：

路由表中将不再存在任何可用的国际出口路径

从而导致：

• 香港地域服务器大规模失去国际连通性

• 出现“对外网络完全中断”的严重故障

五、故障修复困难的原因

在故障排查与修复过程中，问题被进一步放大，原因是：

• 当初实施流量绕行和出口重定向时

• 阿里云未保留任何操作日志或配置变更记录

这导致工程师在恢复时：

• 无法快速确认历史网络设计

• 不清楚哪些 ACL、BGP 或 URPF 规则被人为修改过

• 只能通过反向排查、重建路径来恢复服务

直接结果是：

故障定位困难、恢复路径复杂，修复时间被显著拉长。

六、事件责任结论

综合分析，本次阿里云香港地域大规模网络故障的根本原因在于：

1. 早期对流量路径的违规式绕行改造（香港 → 东京 → 中国大陆）

2. 该改造未进行规范的变更管理与日志留存

3. 后续 URPF 策略更新触发历史隐患暴露

4. 动态 ACL 被清空后无任何静态兜底机制

最终造成部分用户香港区域国际网络出口瘫痪。

七、事故责任认定

事故责任方：阿里云

阿里云在本次事件中存在：

• 网络架构设计不规范

• 变更流程不合规

• 关键配置缺乏审计与回滚能力

应对本次香港地域服务中断事件承担全部技术与管理责任。