我之前也碰到过一模一样的情况，核心原因是操作系统默认会用主私有IP作为所有外出流量的源地址——哪怕你把EIP绑定到了辅助IP，回程流量会被IGW导向辅助IP，但实例发出去的流量源还是主IP，导致会话不匹配，自然就ping不通外网了。下面是具体的排查和解决步骤：

1. 先确认当前的路由规则 #

先看看系统里有没有针对辅助IP的源路由策略：

ip rule show

默认情况下，你只会看到针对主IP（10.0.0.12）的规则，没有辅助IP的专属路由配置。

2. 添加源地址路由规则 #

我们需要给辅助IP单独配置路由表，让从这个IP发出的流量用自己的源地址：

• 第一步，先在路由表配置文件里新增一个表项：

  echo "200 auxip" >> /etc/iproute2/rt_tables
  

  这里200是路由表的编号，auxip是自定义的表名，方便识别。
• 第二步，添加规则，让来自辅助IP的流量使用这个新路由表：

  ip rule add from 10.0.0.200 table auxip
  

• 第三步，给这个路由表设置默认网关（一般是你子网的第一个IP，比如10.0.0.1，你可以从主IP的路由里确认）：

  ip route add default via 10.0.0.1 dev eth0 table auxip
  

3. 验证配置是否生效 #

先检查规则是否添加成功：

ip rule show

你应该能看到一条from 10.0.0.200 lookup auxip的规则。然后用辅助IP作为源地址ping外网测试：

ping -I 10.0.0.200 8.8.8.8

如果能ping通，说明配置生效了。

4. 让配置永久生效 #

上面的配置重启实例后会丢失，所以要把命令加到启动脚本里：

• 编辑/etc/rc.d/rc.local文件，添加以下内容：

  ip rule add from 10.0.0.200 table auxip
  ip route add default via 10.0.0.1 dev eth0 table auxip
  

• 给rc.local添加执行权限：

  chmod +x /etc/rc.d/rc.local
  

额外排查点（可选） #

如果配置后还是不通，可以检查：

• 子网的网络ACL：确保允许辅助IP的外出（比如0.0.0.0/0的TCP/UDP/ICMP）和入站流量
• 实例的安全组：同样要允许对应方向的流量
• 确认EIP确实正确绑定到了辅助IP（可以在AWS控制台的EC2实例详情里查看）

内容的提问来源于stack exchange，提问作者appleleaf