VPN网关接入网络智能服务NIS(Network Intelligence Service),支持诊断VPN网关实例并能根据诊断出的异常项提供修复建议。您可以使用该功能排查使用VPN网关过程中遇到的问题,例如IPsec-VPN连接协商问题、VPN网关路由配置问题、VPN网关实例状态问题等。诊断VPN网关实例的过程不会影响您的业务。
VPN网关诊断项说明
下表为您介绍VPN网关实例支持的诊断项。
诊断项分类 | 诊断项 | 诊断项说明 |
配置诊断 | 实例配置检查 | 检查VPN网关实例是否处于配置状态。 如果VPN网关实例处于配置状态,请等待VPN网关实例变为正常状态后再操作。 |
版本检查 | 检查VPN网关实例的版本是否为最新版本。 建议您将VPN网关版本自助升级至最新版以体验更多功能。具体操作,请参见升级VPN网关。 | |
隧道协商状态检查 | 检查VPN网关实例下每个IPsec连接第一阶段和第二阶段的协商状态。 如果系统检测到IPsec连接协商状态异常,您可以根据控制台提供的建议排查问题或参见相关文档排查问题。更多信息,请参见自主排查IPsec-VPN连接问题。 | |
VPN隧道配置完整性检查 | 检查VPN网关实例下IPsec-VPN连接是否已经完成IPsec连接的配置或SSL-VPN连接是否已经完成SSL服务端的配置。 如果系统检测到VPN网关实例缺少配置,请您根据网络互通需求添加相关配置:
| |
系统网段冲突检查 | 检查VPN网关实例下策略路由、目的路由和BGP路由的目标网段是否与100.64.0.0/10网段冲突。 100.64.0.0/10是阿里云系统网段,需确保VPN网关实例下策略路由、目的路由和BGP路由的目标网段不与100.64.0.0/10(包含其子网)网段冲突,否则会造成VPN网关实例无法正常工作。 如果系统检测到系统网段冲突,请修改网段配置或使用NAT网关产品进行地址转换。更多信息,请参见VPC NAT网关联动VPN网关实现云上与云下私网互访。 | |
SSL虚连接检查 | 检查VPN网关实例下是否存在不可靠的SSL-VPN连接。 SSL服务端使用UDP协议存在不可靠连接占用连接数的情况,建议修改SSL服务端协议为TCP,使用TCP协议可以规避该问题,且TCP协议可靠性更好。具体操作,请参见修改SSL服务端。 | |
VPC内网段冲突检查 | 检查SSL服务端配置的本端网段和客户端网段是否与VPC下交换机的网段冲突。 如果系统检测到网段冲突,建议修改SSL服务端的网段配置。具体操作,请参见修改SSL服务端。 | |
网段不足检查 | 检查SSL服务端配置的客户端网段包含的IP地址数量是否可以满足SSL-VPN连接数的需求。 如果系统检测到客户端网段IP地址不足,请修改客户端网段。具体操作,请参见修改SSL服务端。 需确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。 例如:您指定的客户端网段为192.168.0.0/24,系统在为客户端分配IP地址时,会先从192.168.0.0/24网段中划分出一个子网掩码为30的子网段,例如192.168.0.4/30,然后从192.168.0.4/30中分配一个IP地址供客户端使用,剩余三个IP地址会被系统占用以保证网络通信,此时一个客户端会耗费4个IP地址。因此,为保证您的客户端均能分配到IP地址,请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。 | |
公网地址冲突检查 | 检查SSL服务端的客户端网段配置为公网网段时,该公网网段是否被指定为VPC的用户网段。 如果系统检测到SSL服务端的客户端网段为公网网段时,您需要将该公网网段设置为VPC的用户网段。关于用户网段的更多信息,请参见什么是用户网段?和如何配置用户网段?。 | |
BGP一致性检查 | 检查IPsec连接是否存在第二阶段协商成功但BGP协议协商失败的情况。 如果系统检测到IPsec连接存在上述情况,请排查IPsec连接BGP配置及BGP协议报文收发情况。更多信息,请参见IPsec连接状态为“第二阶段协商成功”,但BGP路由协议的协商状态为“异常”怎么办?。 | |
IPsec共享一阶段检查 | 检查在多个IPsec连接共享一阶段的情况下,多个IPsec连接的相关配置是否相同。 如果一个VPN网关实例下存在多个IPsec连接,多个IPsec连接关联相同的用户网关,且多个IPsec连接的IKE版本相同,则这些IPsec连接就会共享一阶段。在共享一阶段场景下,所有IPsec连接的预共享密钥以及IKE配置阶段的所有参数配置(包含版本、协商模式、加密算法、认证算法、DH分组、SA生存周期(秒))需相同,以确保在IPsec协议协商时可以共享任意一个IPsec连接IKE配置阶段的配置。 您可以根据需要修改IPsec连接配置,以确保多个IPsec连接的相关配置相同。具体操作,请参见修改IPsec连接。 | |
容量超限诊断 | VPN网关带宽使用率检查 | 检查VPN网关实例的带宽利用率是否已达VPN网关实例带宽规格的80%。 如果VPN网关实例的带宽利用率已达VPN网关实例带宽规格的80%,您可以根据实际网络需求提升VPN网关实例带宽规格。具体操作,请参见变配VPN网关实例。 |
VPN连接数检查 | 检查VPN网关实例下的SSL-VPN连接数是否已达VPN网关实例SSL-VPN连接数规格的80%。 如果VPN网关实例下的SSL-VPN连接数已达VPN网关实例SSL-VPN连接数规格的80%,您可以根据实际网络需求提升VPN网关实例SSL-VPN连接数规格。具体操作,请参见修改SSL并发连接数。 | |
证书诊断 | SSL客户端证书过期检查 | 检查SSL客户端证书是否已过期。 SSL客户端证书默认有效期为3年。如果系统检测到SSL客户端证书已到期,请删除当前SSL客户端证书,然后新建SSL客户端证书并安装在客户端中。相关文档,请参见创建和管理SSL客户端证书和配置客户端。 |
SSL客户端证书预过期检查 | 检查SSL客户端证书是否将在60天内过期。 如果系统检测到SSL客户端证书即将到期,建议删除当前SSL客户端证书,然后新建SSL客户端证书并安装在客户端中,以免SSL客户端证书到期影响您的使用。相关文档,请参见创建和管理SSL客户端证书和配置客户端。 | |
费用诊断 | 欠费状态告警 | 检查VPN网关实例是否处于欠费状态。 |
欠费到期预警 | 检查VPN网关实例是否将在7天内到期。 如果系统检测到VPN网关实例将在7天内到期,请及时为VPN网关实例续费。具体操作,请参见续费VPN网关实例。 | |
路由诊断 | 未发布路由检查 | 检查VPN网关实例下是否存在未发布的策略路由或目的路由。 如果系统检测到VPN网关实例存在未发布的策略路由或目的路由,请根据网络互通需求发布路由或删除路由。具体操作,请参见发布策略路由、删除策略路由、发布目的路由和删除目的路由。 |
BGP欠佳配置检查 | 在IPsec-VPN连接使用BGP动态路由协议的情况下,检查VPN网关实例的BGP配置是否为最佳。
| |
VPN路由配置完整性检查 |
| |
目的路由间冲突检查 | 检查VPN网关实例下目的路由的目标网段之间是否有重叠。 如果系统检测到目的路由的目标网段之间有重叠,请删除目的路由重新创建,确保目的路由的目标网段之间没有重叠。具体操作,请参见使用目的路由。 您也可以使用BGP动态路由协议实现组网。更多信息,请参见建立VPC到本地数据中心的连接(单隧道模式和BGP路由)。 | |
策略路由间冲突检查 | 检查VPN网关实例下策略路由的目标网段之间是否有重叠。 如果系统检测到策略路由的目标网段之间有重叠,请删除策略路由重新创建,确保策略路由的目标网段之间没有重叠。具体操作,请参见配置策略路由。 您也可以使用BGP动态路由协议实现组网。更多信息,请参见建立VPC到本地数据中心的连接(单隧道模式和BGP路由)。 | |
BGP路由冲突检查 |
如果BGP路由的目标网段与其他路由的目标网段重叠,请根据控制台建议进行操作。 | |
vpc路由与vpn路由匹配检查 | 检查VPC路由表中指向VPN网关实例的路由的目标网段是否与VPN网关实例下策略路由的目标网段有重叠。 需确保策略路由的目标网段包含VPC路由表中指向VPN网关实例的路由的目标网段。 如果系统检测到当前配置不满足需求,您需要修改策略路由的目标网段,请先删除策略路由然后重新创建。具体操作,请参见配置策略路由。 |
发起诊断
- 登录VPN网关管理控制台。
在顶部菜单栏,选择VPN网关实例所属的地域。
在VPN网关页面,找到目标VPN网关实例,在实例诊断列单击发起诊断。
在实例健康诊断面板,查看诊断详情。
序号
说明
①
异常诊断项将会直接在该面板中显示出来,您可以直接查看异常诊断项说明、关联的资源以及处理建议。
②
在诊断项详情区域,选中显示全部诊断项,您可以查看当前VPN网关实例被检测的全部诊断项信息。
③
在实例健康诊断面板上方,单击前往NIS查看历史诊断,即可跳转至网络智能服务控制台的概览页面,查看当前VPN网关实例的历史诊断报告。更多信息,请参见概览。
VPN网关实例诊断示例
IPsec-VPN诊断示例
对于本地数据中心通过IPsec-VPN连接访问阿里云VPC资源的场景,在您部署好IPsec-VPN连接正式传输业务流量前,您可以通过诊断VPN网关实例检测IPsec-VPN连接的配置情况,确保后续IPsec-VPN连接可以正常传输业务流量。
对VPN网关实例发起诊断。具体操作,请参见发起诊断。
在实例健康诊断面板查看诊断结果,并根据诊断结果排查问题。
如上图所示,系统诊断出IPsec-VPN连接第一阶段协商未成功。您可以在诊断结果列单击第一阶段协商未成功查看更详细的诊断说明,然后根据诊断说明排查问题。
您也可以在IPsec连接页面通过IPsec连接的错误码排查问题。对于IPsec-VPN连接第一阶段协商失败以及第二阶段协商失败的问题,系统均会在IPsec连接页面提供相应的错误码帮助您排查问题。更多信息,请参见自主排查IPsec-VPN连接问题。
如上图所示,导致IPsec-VPN连接两端提议不匹配的原因是两端的预共享密钥不一致,需要修改IPsec-VPN连接两端配置的预共享密钥确保两端一致。
解决问题后,对VPN网关实例再次发起诊断,确保VPN网关实例下已不存在问题。
如果您的VPN网关实例下不存在问题,但是在使用IPsec-VPN连接过程仍遇到问题(例如本地数据中心和VPC之间测试流量不通),您可以查阅VPN网关常见问题文档排查问题。更多信息,请参见IPsec-VPN连接常见问题。
SSL-VPN诊断示例
对于客户端通过SSL-VPN连接访问阿里云VPC资源的场景,在遇到客户端连接失败等问题的情况下,您可以通过诊断VPN网关实例检测SSL-VPN连接的配置来帮助您排查问题。
对VPN网关实例发起诊断。具体操作,请参见发起诊断。
在实例健康诊断面板查看诊断结果,并根据诊断结果排查问题。
如上图所示,系统诊断出SSL服务端使用UDP协议建立SSL-VPN连接,可能会存在不可靠连接占用连接数的情况导致客户端连接失败,您可以根据诊断建议修改SSL服务端的协议为TCP以避免该问题。
修改配置后,对VPN网关实例再次发起诊断,确保VPN网关实例下已不存在问题。
如果您的VPN网关实例下不存在问题,但是在使用SSL-VPN连接过程仍遇到问题(例如客户端和VPC之间流量不通),您可以通过SSL-VPN连接日志以及SSL-VPN连接常见问题文档自助排查问题。更多信息,请参见自主排查SSL-VPN连接问题和SSL-VPN连接常见问题。
- 本页导读 (1)