监控是维护IPsec-VPN连接可靠性、可用性和性能的重要组成部分。VPN网关产品支持监控IPsec-VPN连接隧道协商状态、出入方向的流量传输速率等,让您直观了解IPsec-VPN连接运行状况和带宽的使用情况,帮助您快速识别网络带宽瓶颈、及时发现网络故障或异常情况,提高网络的可靠性和可用性。VPN网关产品监控能力已集成到云监控服务中,方便您在云监控控制台对阿里云资源进行统一监控和管理。
监控IPsec-VPN连接隧道状态
VPN网关产品支持监控隧道维度的状态变化,您可以在VPN网关控制台查看隧道的当前状态,也可以通过订阅系统事件或为监控指标设置阈值报警规则来及时感知隧道的状态变化。
-
查看IPsec-VPN连接隧道状态
单击查看操作步骤
登录VPN网关管理控制台,选择IPsec连接所属的地域。在左侧导航栏,选择IPsec连接:
-
双隧道模式IPsec-VPN连接
在IPsec连接页面,单击IPsec连接实例ID,进入IPsec连接详情页面。在Tunnel页签的连接状态列,查看主备隧道的协商状态。在IPsec-VPN连接的隧道管理页面,选择Tunnel页签可查看隧道列表。列表包含隧道主/备角色、网关IP、预共享密钥、隧道网段、本端BGP地址、连接状态、用户网关、状态等信息。当两条隧道的连接状态均显示第一阶段协商未成功时,表示VPN协商存在问题,需进一步排查。可单击查看详情了解协商异常原因,或单击查看日志查看隧道日志。
-
单隧道模式IPsec-VPN连接
在IPsec连接页面,找到目标IPsec连接,在连接状态列查看IPsec-VPN连接(隧道)的协商状态。在IPsec连接列表页面,查看连接状态列,当隧道连接状态显示绿色圆点及第二阶段协商成功时,表示IPsec-VPN隧道协商正常。
说明如果IPsec-VPN连接(隧道)状态异常,您可以根据控制台提示的错误码自助排查问题。
-
-
VPN网关产品系统事件
VPN网关产品系统事件由VPN网关产品定义,用于记录和通知隧道协商状态和健康检查状态。您可以在云监控控制台查看VPN网关产品产生的系统事件,并通过订阅系统事件及时了解资源状态变化以快速做出响应。
单击查看VPN网关产品支持的系统事件
仅在资源发生状态变化时才会产生系统事件。
例如您为IPsec连接配置健康检查后,新配置的IPsec连接健康检查的初始状态为失败,则系统默认不会产生health check failed系统事件,仅在IPsec连接健康检查状态由失败变为成功或由成功变为失败时,系统才会产生health check success或health check failed系统事件,您订阅了系统事件后,系统才会向您发送系统事件报警通知。
|
资源 |
事件名称 |
事件描述 |
说明 |
事件类型 |
事件等级 |
|
双隧道IPsec-VPN连接 |
ipsec_tunnel_nego_success |
IPsec隧道协商成功 |
在使用双隧道模式IPsec-VPN连接的场景中,IPsec连接下一条隧道协商成功。 |
状态通知 |
通知(Info) |
|
ipsec_tunnel_nego_failed |
IPsec隧道协商失败 |
在使用双隧道模式IPsec-VPN连接的场景中,IPsec连接下一条隧道协商失败。 |
状态通知 |
告警(Warning) |
|
|
ipsec_vco_tunnel_all_nego_failed |
IPsec连接隧道全部协商失败 |
在使用双隧道模式IPsec-VPN连接的场景中,IPsec连接下的两条隧道均协商失败。 |
状态通知 |
告警(Warning) |
|
|
单隧道IPsec-VPN连接 |
ipsec_phase1_nego_failed |
IPsec第一阶段协商失败 |
在IPsec连接绑定VPN网关实例的场景下,IPsec连接第一阶段协商失败。 |
状态通知 |
告警(Warning) |
|
ipsec_phase1_nego_success |
IPsec第一阶段协商成功 |
在IPsec连接绑定VPN网关实例的场景下,IPsec连接第一阶段协商成功。 |
状态通知 |
通知(Info) |
|
|
ipsec_phase2_nego_failed |
IPsec第二阶段协商失败 |
在IPsec连接绑定VPN网关实例的场景下,IPsec连接第二阶段协商失败。 |
状态通知 |
告警(Warning) |
|
|
ipsec_phase2_nego_success |
IPsec第二阶段协商成功 |
在IPsec连接绑定VPN网关实例的场景下,IPsec连接第二阶段协商成功。 |
状态通知 |
通知(Info) |
|
|
ipsec_health_check_failed |
health check failed |
在IPsec连接绑定VPN网关实例的场景下,IPsec连接健康检查失败。 |
状态通知 |
告警(Warning) |
|
|
ipsec_health_check_success |
health check success |
在IPsec连接绑定VPN网关实例的场景下,IPsec连接健康检查成功。 |
状态通知 |
通知(Info) |
|
|
vpn_connection_hc_failed |
VPN连接健康检查失败 |
在IPsec连接绑定转发路由器的场景下,IPsec连接健康检查失败。 |
状态通知 |
告警(Warning) |
|
|
vpn_connection_hc_success |
VPN连接健康检查成功 |
在IPsec连接绑定转发路由器的场景下,IPsec连接健康检查成功。 |
状态通知 |
通知(Info) |
|
|
vpn_connection_ph1_failed |
VPN连接一阶段协商失败 |
在IPsec连接绑定转发路由器的场景下,IPsec连接第一阶段协商失败。 |
状态通知 |
告警(Warning) |
|
|
vpn_connection_ph1_success |
VPN连接一阶段协商成功 |
在IPsec连接绑定转发路由器的场景下,IPsec连接第一阶段协商成功。 |
状态通知 |
通知(Info) |
|
|
vpn_connection_ph2_failed |
VPN连接二阶段协商失败 |
在IPsec连接绑定转发路由器的场景下,IPsec连接第二阶段协商失败。 |
状态通知 |
告警(Warning) |
|
|
vpn_connection_ph2_success |
VPN连接二阶段协商成功 |
在IPsec连接绑定转发路由器的场景下,IPsec连接第二阶段协商成功。 |
状态通知 |
通知(Info) |
|
|
SSL-VPN连接 |
CertKeyExpired |
证书到期 |
SSL客户端证书已到期。 |
异常 |
严重(Critical) |
-
IPsec-VPN连接隧道状态监控指标
VPN网关产品提供了隧道状态相关的监控指标,您也可以为监控指标设置阈值报警规则,及时了解隧道状态变化。
单击查看隧道状态监控指标
资源
指标名称
指标描述
说明
vpn(VPN网关)
表示绑定VPN网关的IPsec-VPN连接。
ipsec.state
VPN网关中IPsec连接协商状态
单隧道模式IPsec-VPN连接的协商状态,指标数据为
0表示IPsec-VPN连接协商异常,指标数据为1表示IPsec-VPN连接协商正常。tun.state
VPN网关中IPsec连接其中一条隧道的协商状态
双隧道模式IPsec-VPN连接下某一条隧道的协商状态,指标数据为0表示隧道协商异常,指标数据为1表示隧道协商正常。
ipsec.bgp_state
VPN网关IPsec连接的BGP协商状态
单隧道模式VPN网关 IPsec连接的BGP协商状态,
0表示BGP协商异常,1表示BGP协商正常tun.bgp_state
VPN网关IPsec隧道的BGP协商状态
双隧道模式VPN网关IPsec隧道的BGP协商状态,
0表示BGP协商异常,1表示BGP协商正常vpnconnection(VPN连接)
表示绑定转发路由器的IPsec-VPN连接。
vpn_connection.state
VpnAttachment的IPsec连接协商状态
单隧道模式IPsec-VPN连接的协商状态,指标数据为
0表示IPsec-VPN连接协商异常,指标数据为1表示IPsec-VPN连接协商正常。vpn_connection_tun.state
VpnAttachment其中一条隧道的协商状态
双隧道模式IPsec-VPN连接下某一条隧道的协商状态,指标数据为
0表示隧道协商异常,指标数据为1表示隧道协商正常。vpn_connection.bgp_state
VPN连接IPsec连接的BGP协商状态
单隧道模式VPN连接IPsec连接的BGP协商状态,
0表示BGP协商异常,1表示BGP协商正常vpn_connection_tun.bgp_state
VPN连接IPsec隧道的BGP协商状态
双隧道模式VPN连接IPsec隧道的BGP协商状态,
0表示BGP协商异常,1表示BGP协商正常
监控IPsec-VPN流量速率
VPN网关产品支持查看VPN网关实例维度、单个IPsec-VPN连接维度和隧道维度的出入方向流量速率、数据包速率或带宽使用率,方便您快速识别网络中的拥堵点或异常流量,帮助您优化网络带宽利用率。
-
查看IPsec-VPN连接流量速率
以下介绍如何在VPN网关控制台查看流量速率信息。云监控控制台也支持查看IPsec-VPN流量速率信息,请参见云产品监控 。
查看IPsec-VPN连接和隧道流量速率
登录VPN网关管理控制台,选择IPsec连接所属的地域。在左侧导航栏,选择IPsec连接,在IPsec连接页面,单击IPsec连接实例ID。在IPsec连接实例详情页面的监控页签下查看流量速率信息。
对于双隧道模式的IPsec-VPN连接,可通过选择维度,查看隧道的流量速率信息。
监控维度
监控项
说明
IPsec连接
IPsec连接入方向数据包速率
IPsec连接接收数据包的速率。单位:pps。
IPsec连接出方向数据包速率
IPsec连接发出数据包的速率。单位:pps。
IPsec连接入方向速率
IPsec连接接收流量的速率。单位:bps。
IPsec连接出方向速率
IPsec连接向外发送流量的速率。单位:bps。
隧道
隧道入方向数据包速率
隧道接收数据包的速率。单位:pps。
隧道出方向数据包速率
隧道发出数据包的速率。单位:pps。
隧道入方向流量速率
隧道接收流量的速率。单位:bps。
隧道出方向流量速率
隧道向外发送流量的速率。单位:bps。
查看VPN网关实例流量速率
若一个VPN网关实例下存在多个IPsec-VPN连接,可通过查看VPN网关实例维度的流量速率信息,了解多个IPsec-VPN连接传输的总流量速率。
登录VPN网关管理控制台,选择VPN网关实例所属的地域。在VPN网关页面单击VPN网关实例ID,在VPN网关实例详情页面的监控页签查看VPN网关实例流量速率信息。
如果VPN网关实例下同时存在SSL-VPN连接,则监控项也将一并统计SSL-VPN连接下的流量速率。
监控项
说明
VPN网关入方向数据包速率
VPN网关实例接收数据包的速率。单位:pps。
VPN网关出方向数据包速率
VPN网关实例发出数据包的速率。单位:pps。
VPN网关入方向流量速率
VPN网关实例接收流量的速率。单位:bps。
VPN网关出方向流量速率
VPN网关实例向外发送流量的速率。单位:bps。
SSL client连接数量
与VPN网关实例建立SSL-VPN连接的客户端的数量。单位:个。
vpn网关流入带宽使用率
VPN网关实例接收流量时占用的带宽百分比。
vpn网关流出带宽使用率
VPN网关实例发送流量时占用的带宽百分比。
-
为流量速率指标创建阈值报警规则
推荐您在云监控控制台为IPsec-VPN的流量速率指标创建阈值报警规则,在IPsec-VPN的流量速率超出您设置的阈值后,系统会立即向您发送报警,方便您及时响应并处理问题。
单击查看流量速率监控指标
产品
监控资源
监控指标及说明
VPN网关
指IPsec连接绑定VPN网关场景。
VPN网关实例
-
vpn网关流入带宽使用率(in_bandwidth_utilization):表示监控VPN网关实例接收流量时占用的带宽百分比。
-
vpn网关流出带宽使用率(out_bandwidth_utilization):表示监控VPN网关实例发送流量时占用的带宽百分比。
-
网关流入包速率(net.rxPkgs):表示监控VPN网关实例接收数据包的速率。
-
网关流出包速率(net.txPkgs):表示监控VPN网关实例发出数据包的速率。
-
连接个数(ssl_client.count):表示监控与VPN网关实例建立SSL-VPN连接的客户端的数量。
-
网关流入带宽(net_rx.rate):表示监控VPN网关实例接收流量的速率。
-
网关流出带宽(net_tx.rate):表示监控VPN网关实例向外发送流量的速率。
IPsec-VPN连接
-
IPSec连接流入包速率(ipsec.rxPkgs):表示监控IPsec连接接收到的数据包的速率。
-
IPSec连接流出包速率(ipsec.txPkgs):表示监控IPsec连接发出的数据包的速率。
-
IPSec连接流入带宽(ipsec_rx.rate):表示监控IPsec连接接收到的流量速率。
-
IPSec连接流出带宽(ipsec_tx.rate):表示监控IPsec连接向外发送的流量速率。
-
vpn网关IPSec连接的BGP协商状态(ipsec.bgp_state):
0表示BGP协商异常,1表示BGP协商正常。 -
VPN网关中IPSec连接协商状态(ipsec.state):
0表示连接协商异常,1表示连接协商正常。
隧道
-
ipsec tunnel入方向数据包速率(tun.rx_pps):表示监控隧道接收到的数据包的速率。
-
ipsec tunnel出方向数据包速率(tun.tx_pps):表示监控隧道发出的数据包的速率。
-
ipsec tunnel入方向流量速率(tun.rx_bps):表示监控隧道接收到的流量速率。
-
ipsec tunnel出方向流量速率(tun.tx_bps):表示监控隧道向外发送的流量速率。
-
vpn网关IPSec隧道的BGP协商状态(tun.bgp_state):
0表示BGP协商异常,1表示BGP协商正常。 -
VPN网关中IPSec连接其中一条单隧道的协商状态(tun.state):
0表示隧道协商异常,1表示隧道协商正常。
VPN连接
指IPsec连接绑定转发路由器场景
IPsec-VPN连接
-
vpn连接流入包速率(vpn_connection.rxPkgs):表示监控IPsec连接接收到的数据包的速率。
-
vpn连接流出包速率(vpn_connection.txPkgs):表示监控IPsec连接发出的数据包的速率。
-
vpn连接流入带宽(vpn_connection_rx.rate):表示监控IPsec连接接收到的流量速率。
-
vpn连接流出带宽(vpn_connection.tx.rate):表示监控IPsec连接向外发送的流量速率。
-
vpn连接IPSec连接的BGP协商状态(vpn_connection.bgp_state):
0表示BGP协商异常,1表示BGP协商正常。 -
VpnAttachment的IPSec连接协商状态(vpn_connection.state):
0表示连接协商异常,1表示连接协商正常。
隧道
-
vpn连接单隧道流入包速率(vpn_connection_tun.rxPkgs):表示监控隧道接收到的数据包的速率。
-
vpn连接单隧道流出包速率(vpn_connection_tun.txPkgs):表示监控隧道发出的数据包的速率。
-
vpn连接单隧道流入带宽(vpn_connection_tun.rx.rate):表示监控隧道接收到的流量速率。
-
vpn连接单隧道流出带宽(vpn_connection_tun.tx.rate):表示监控隧道向外发送的流量速率
-
vpn连接IPSec隧道的BGP协商状态(vpn_connection_tun.bgp_state):
0表示BGP协商异常,1表示BGP协商正常。 -
VpnAttachment中I其中一条隧道的协商状态(vpn_connection_tun.state):
0表示隧道协商异常,1表示隧道协商正常。
-
查询分析IPsec-VPN流量信息
监控IPsec-VPN连接的过程中,如果您需要进一步了解IPsec-VPN连接传输的具体流量信息,例如流量的源目IP地址、源目端口、流量协议等,您可以使用流日志功能来记录出入方向流量信息,然后再通过查询分析流日志来了解IPsec-VPN流量信息:
-
IPsec连接绑定VPN网关实例场景,可以使用VPC流日志功能记录VPN网关实例出入方向流量信息。相关教程,请参见通过ENI流日志查询分析VPN网关实例传输的流量。
-
IPsec连接绑定转发路由器场景,可以使用转发路由器流日志功能记录VPN连接的出入方向流量信息。相关教程,请参见通过流日志查询跨地域TOP流量。
相关文档
如果需要通过调用API查询IPsec-VPN资源的监控指标数据,您可以通过云监控的API实现。
-
云监控提供的API,请参见云产品监控。
-
调用API时需提供的Namespace、MetricName、Dimensions和Period数据,请参见附录1 云产品监控指标文档获取。