VPN网关支持一键诊断功能,一键诊断可以检测VPN连接的配置问题、配额问题、路由冲突问题以及网络连通性问题,帮助您快速定位VPN连接建立失败的原因,然后您可以根据原因自助排查VPN连接的故障。

前提条件

  • 目前,VPN网关一键诊断功能白名单开放。如需使用,请提交工单
  • 开启一键诊断功能前,请确保您已经创建了VPN网关,并在该VPN网关中创建了IPsec连接。具体操作,请参见创建VPN网关创建IPsec连接

背景信息

目前,VPN网关仅支持一键诊断IPsec连接,不支持一键诊断SSL-VPN连接。一键诊断功能支持以下诊断项:
诊断项 说明
VPN网关IPsec连接配额 系统会检测所选VPN网关下已经创建的IPsec连接的数量和您账号下单个VPN网关支持创建的IPsec连接的配额数量,并计算所选VPN网关下已经创建的IPsec连接数量占您账号下单个VPN网关支持创建的IPsec连接配额数量的比例。
  • 如果所占比例未超过80%,则诊断结果为normal
  • 如果所占比例超过80%,则诊断结果为warning
例如,您的VPN网关支持创建的IPsec连接的配额数量为10:
  • 如果您已经在该VPN网关下创建了8条IPsec连接,则该VPN网关IPsec连接配额的诊断结果为normal
  • 如果您已经在该VPN网关下创建了9条IPsec连接,则该VPN网关IPsec连接配额的诊断结果为warning
说明 默认情况下,单个VPN网关支持创建的IPsec连接的数量为10个。
您可以通过以下任意方式自助提升配额:
VPN网关策略路由配额 系统会检测所选VPN网关下已经创建的策略路由的数量和您账号下单个VPN网关支持创建的策略路由的配额数量,并计算所选VPN网关下已经创建的策略路由的数量占您账号下单个VPN网关支持创建的策略路由配额数量的比例。
  • 如果所占比例未超过80%,则诊断结果为normal
  • 如果所占比例超过80%,则诊断结果为warning
例如,您的VPN网关支持创建的策略路由的配额数量为20:
  • 如果您已经在该VPN网关下创建了16条策略路由,则该VPN网关策略路由配额的诊断结果为normal
  • 如果您已经在该VPN网关下创建了17条策略路由,则该VPN网关策略路由配额的诊断结果为warning
说明 默认情况下,单个VPN网关支持创建的策略路由的数量为20个。
您可以通过以下任意方式自助提升配额:
VPN网关目的路由配额 系统会检测所选VPN网关下已经创建的目的路由的数量和您账号下单个VPN网关支持创建的目的路由的配额数量,并计算所选VPN网关下已经创建的目的路由数量占您账号下单个VPN网关支持创建的目的路由配额数量的比例。
  • 如果所占比例未超过80%,则诊断结果为normal
  • 如果所占比例超过80%,则诊断结果为warning
例如,您的VPN网关支持创建的目的路由的配额数量为20:
  • 如果您已经在该VPN网关下创建了16条目的路由,则该VPN网关目的路由配额的诊断结果为normal
  • 如果您已经在该VPN网关下创建了17条目的路由,则该VPN网关目的路由配额的诊断结果为warning
说明 默认情况下,单个VPN网关支持创建的目的路由的数量为20个。
您可以通过以下任意方式自助提升配额:
路由冲突 系统会检测指定的IPsec连接的路由(路由的下一跳为指定的IPsec连接),并判断其与所选VPN网关路由表中的路由是否冲突:
  • 如果VPN网关路由表中的路由,不存在与指定的IPsec连接的路由的目的地址相同的路由,且不存在与指定的IPsec连接路由的目的地址有包含和被包含关系的路由,则诊断结果为normal
  • 如果VPN网关路由表中的路由,存在与指定的IPsec连接的路由的目的地址相同的路由,或存在包含了指定的IPsec连接路由的目的地址的路由,则诊断结果为error
  • 如果指定的IPsec连接路由的目的地址,包含了所选VPN网关路由表中任一路由的目的地址,则诊断结果为warning
例如,您的IPsec连接路由的目的地址为172.23.0.0/16,下一跳为vco-1:
  • 如果您的VPN网关路由表中还存在一条目的地址为192.168.0.0/16的路由,无其他路由,则诊断结果为normal
  • 如果您的VPN网关路由表中还存在目的地址为172.23.0.0/16、下一跳为vco-2的路由,则诊断结果为error
  • 如果您的VPN网关路由表中还存在目的地址为172.23.1.0/24、下一跳为vco-3的路由,则诊断结果为warning
IPsec配置一致性 系统会检测所选VPN网关的IPsec连接配置和本地网关设备的IPsec连接配置是否一致:
  • 如果一致,则诊断结果为normal
  • 如果不一致,则诊断结果为error
说明 一键诊断功能如果检测不到本地网关设备的IPsec连接配置时,诊断结果也为normal
用户网关公网连通性 系统会发送公网连通性的探测包。
  • 如果探测包丢包率为0,则诊断结果为normal
  • 如果探测包丢包率为0~100%(不含0和100%),则诊断结果为warning
  • 如果探测包丢包率为100%,则诊断结果为error
私网连通性 系统会发送私网连通性的探测包。
  • 如果探测包丢包率为0,则诊断结果为normal
  • 如果探测包丢包率为0~100%(不含0和100%),则诊断结果为warning
  • 如果探测包丢包率为100%,则诊断结果为error
说明 诊断私网连通性需要您配置源地址和目的地址,如果未配置,则不会进行私网连通性诊断。

操作步骤

  1. 登录VPN网关管理控制台
  2. 在顶部菜单栏处,选择VPN网关的地域。
  3. VPN网关页面,找到目标VPN网关,在其操作列下,选择更多图标 > 一键诊断
  4. 一键诊断对话框,根据以下信息配置一键诊断,然后单击下一步
    配置 说明
    IPsec连接 选择要进行一键诊断的IPsec连接。
    私网连通性检查
    源地址 输入VPC侧的IP地址,该IP地址为私网连通性检查的源地址。
    目的地址 输入本地数据中心侧的IP地址,该IP地址为私网连通性检查的目的地址。
  5. 诊断结果区域,查看IPsec连接的诊断结果。