网络诊断

网络诊断能力介绍

内网访问网络诊断能力主要是为了帮助您，诊断当前企业的网络是否通过SASE集群与企业办公应用的网络通道打通，并提供可视化的链路展示。当企业的网络的通路存在异常，可以根据可视化的网络链路图和问题描述信息，定位到具体的问题并进行网络排查。

支持配置全链路的网络诊断和应用的网络诊断：

• 全链路诊断：诊断安装并登录SASE客户端的企业员工的办公终端，通过SASE集群的POP接入点与办公应用所在的源站服务器进行网络通信。

  

• 应用诊断：只诊断SASE集群的POP接入点与办公应用所在的源站服务器进行网络通信。

  

前提条件

• 企业办公终端安装的SASE App的版本不低于4.4.1。

• 已根据业务形态打通网络通道。具体操作，请参见：

  • 业务资源部署在VPC实例（未关联CEN场景）

  • 业务资源部署在VPC实例（关联CEN场景）

  • 使用SASE连接器

  • 使用阿里云其他网络实例（VBR、CCN、VPN网关）

• 已添加需要管控的办公应用。具体步骤，请参见配置办公应用。

• 已配置零信任策略。具体步骤，请参见配置零信任策略 。

创建诊断任务

1. 登录办公安全平台控制台。

2. 在左侧导航栏，选择内网访问 > 网络诊断。

3. 在网络诊断页面，单击创建任务。在创建诊断任务面板，根据下表介绍配置相关字段。

   配置项	说明
   任务类型	支持配置两种诊断链路，根据业务情况选择适合的一种即可。 全链路诊断：诊断企业员工的办公终端与源站服务器之间全链路的网络通信情况。 应用诊断：只诊断SASE的POP集群与源站服务器之间的网络通信情况。应用诊断时，零信任策略配置的安全基线在诊断过程中不生效。
   任务对象	配置任务的诊断对象，包含人员范围和应用。 具体设备或者用户组 如果您使用全链路诊断，您的任务对象是具体的企业员工，所以需要选择具体设备。 如果您使用应用诊断，由于应用的策略下发粒度是用户组，所以您需要选择某个用户组。 应用协议：当前支持的应用协议为TCP和UDP。 应用地址 如果您的应用协议为UDP，除了填写应用地址和端口外，还可以配置探测请求和返回结果，用来验证您的数据包是否传到目标源站服务器，并且获取到设置的目标源站服务器的返回结果。如果不填写探测请求，SASE会自动发送预设的请求。而如不填写返回结果，则会接受任何返回结果。
   接入点	SASE集群的POP接入点。建议您选择距离目标源站服务器（业务服务器）最近的接入点，以减少网络时延。 全链路诊断时支持自动选路，而应用诊断则需手动指定POP接入点。

4. 单击确定。网络诊断任务创建成功后，会自动执行。

查看诊断结果

1. 待任务执行完成后，单击操作列查看，可以查看网络诊断的结果。

   诊断结果以全链路可视化形式展示网络路径，依次包含客户端（用户名、IP地址、运营商信息）、POP节点（节点地址、DNS服务器、解析结果）、ENI出口（IP、VPC ID、地域）和目标源站服务（地址、VPC ID），各节点之间标注链路延迟（单位ms）。任务列表包含下发时间、用户配置、应用地址、任务类型、任务状态和操作列，可筛选任务类型和用户名。

2. 如果网络的通路存在异常，您可以根据可视化的网络链路图和问题提示信息，定位到具体的问题并进行网络排查。

   诊断结果以可视化链路拓扑图展示各节点（源节点、POP集群、公网出口、目标源站服务）之间的连通状态及延迟。当某段链路异常时，对应连接线变为红色虚线并显示错误标识，页面顶部提示错误信息（例如 Target server is unreachable, please check your network or server status），可据此定位故障发生在公网出口到目标源站服务之间，并针对性排查。

3. 待问题解决后，您可以单击操作列重试，对该任务重新诊断。

删除诊断任务

如果您的业务不再需要该诊断任务，可以单击操作列删除，将诊断任务数据删除掉。