备案控制台
文档
产品文档
输入文档关键字查找
首页 VPN网关 操作指南 监控与运维 VPN网关自助诊断 使用路径分析

使用路径分析

更新时间:
一键部署
产品详情
相关技术圈
我的收藏

VPN网关接入网络智能服务NIS(Network Intelligence Service),支持路径分析功能。使用VPN网关建立网络连接的资源可以通过路径分析功能诊断网络连通性。

背景信息

使用路径分析时需要您指定源资源和目的资源,在您指定源资源和目的资源后,系统会构建源资源和目的资源之间的网络配置模型,然后基于配置模型分析源资源和目的资源之间的网络是否可以正常连通,如果源资源和目的资源之间网络无法正常互通,系统会给您返回相关原因,您可以根据原因排查问题。系统分析过程中不会发送真实数据包,不会影响您当前的业务。

例如,指定一个阿里云账号下的云服务器ECS(Elastic Compute Service)实例作为源资源,指定该阿里云账号下的另一个ECS实例作为目的资源,设置22作为目的端口、TCP作为协议,即可以通过路径分析功能验证源ECS实例是否可以通过SSH连接到目的ECS实例。关于路径分析的更多信息,请参见使用路径分析

本文以下述四个应用场景为例介绍在使用VPN网关产品过程中如何通过路径分析功能诊断资源之间的网络连通性。

前提条件

  • 在使用路径分析功能诊断IPsec-VPN连接网络连通性前,如果IPsec-VPN连接显示协商失败,请先根据VPN网关管理控制台提示的错误码和IPsec连接的日志信息以及VPN网关实例诊断功能排查IPsec-VPN连接协商问题。具体操作,请参见自主排查IPsec-VPN连接问题诊断VPN网关实例

  • 在使用路径分析功能诊断SSL-VPN连接网络连通性前,如果客户端未成功连接至VPN网关。请先根据客户端的日志信息、VPN网关管理控制台SSL-VPN连接的日志信息自主排查问题,确保客户端已成功连接至VPN网关。具体操作,请参见自主排查SSL-VPN连接问题诊断VPN网关实例

示例1:使用IPsec-VPN连接实现云下IDC与VPC互通

IDCtoVPC-场景示例

如上图所示,在使用IPsec-VPN连接实现本地数据中心IDC(Internet Data Center)和阿里云VPC互通的场景中,如果IPsec-VPN连接已经协商成功,但是IDC和VPC之间无法互相访问,您可以使用路径分析功能诊断IDC和VPC之间的网络连通性问题。

  1. 登录网络智能服务管理控制台
  2. 在左侧导航栏,选择自助诊断 > 路径分析

  3. 路径分析页面,单击发起分析

  4. 发起分析页面,配置以下参数信息,然后单击发起分析

    以下内容从流量传输的两个方向分别介绍如何创建路径分析。

    流量从IDC去往VPC方向IDCtoVPC-路径分析1

    配置

    说明

    选择源类型

    本文选择VPN网关,然后选择与IDC建立IPsec-VPN连接的VPN网关实例vpn-uf6xkloc****,再输入IDC服务器的私网IP地址172.16.0.201

    目的

    选择目的类型

    本文选择ECS,然后选择与IDC互通的VPC下的ECS实例i-uf6a****

    协议

    选择检测的协议类型。

    本文使用默认值TCP协议。

    说明

    您可以根据您的实际网络环境选择适合的检测协议和目的端口。

    目的端口

    输入目的资源的端口号。

    本文使用默认值80

    保存路径

    选择是否保存当前路径分析,后续可快速重复分析该路径。默认值:

    如果您选择保存该路径分析,可以定义该路径分析的名称以及为该路径分析添加标签。

    流量从VPC去往IDC方向IDCtoVPC-路径分析2

    配置

    说明

    选择源类型

    本文选择ECS,然后选择与IDC互通的VPC下的ECS实例i-uf6a****

    目的

    选择目的类型

    本文选择VPN网关,然后选择与IDC建立IPsec-VPN连接的VPN网关实例vpn-uf6xkloc****,再输入IDC中服务器的私网IP地址172.16.0.201

    协议

    选择检测的协议类型。

    本文使用默认值TCP协议。

    说明

    您可以根据您的实际网络环境选择适合的检测协议和目的端口。

    目的端口

    输入目的资源的端口号。

    本文使用默认值80

    保存路径

    选择是否保存当前路径分析,后续可快速重复分析该路径。默认值:

    如果您选择保存该路径分析,可以定义该路径分析的名称以及为该路径分析添加标签。

  5. 在路径分析详情页面查看路径分析结果。

    请根据路径分析结果排查问题,然后重新发起路径分析确保路径可达。

  6. 如果系统显示路径已可达,通常IDC和VPC之间已经可以互相通信,您可以在IDC和VPC之间发起访问。

    如果IDC和VPC之间依旧无法互通,您可以查阅IPsec-VPN常见问题文档排查问题。更多信息,请参见IPsec-VPN连接常见问题

示例2:使用IPsec-VPN连接实现同账号跨地域VPC互通

重要

如果您的应用场景是通过IPsec-VPN连接实现跨账号跨地域VPC互通,则创建路径分析的操作,请参见示例1

VPCtoVPC-场景示例

如上图所示,在使用IPsec-VPN连接实现同账号跨地域VPC互通的场景中,如果IPsec-VPN连接已经协商成功,但是两个VPC下的ECS实例无法互相访问,您可以使用路径分析功能诊断VPC之间的网络连通性问题。

  1. 登录网络智能服务管理控制台
  2. 在左侧导航栏,选择自助诊断 > 路径分析

  3. 路径分析页面,单击发起分析

  4. 发起分析页面,配置以下参数信息,然后单击发起分析

    VPCtoVPC-创建路径

    配置

    说明

    选择源类型

    本文选择ECS,然后选择ECS1。

    目的

    选择目的类型

    本文选择ECS,然后选择ECS2。

    协议

    选择检测的协议类型。

    本文使用默认值TCP协议。

    说明

    您可以根据您的实际网络环境选择适合的检测协议和目的端口。

    目的端口

    输入目的资源的端口号。

    本文使用默认值80

    保存路径

    选择是否保存当前路径分析,后续可快速重复分析该路径。默认值:

    如果您选择保存该路径分析,可以定义该路径分析的名称以及为该路径分析添加标签。

  5. 在路径分析详情页面查看路径分析结果。

    VPCtoVPC

    如上图所示,导致ECS1和ECS2之间无法互通的原因是ECS2的安全组规则拒绝了ECS1的访问,请排查ECS2应用的安全组规则,然后重新发起路径分析确保路径可达。

    VPCtoVPC-路径可达

  6. 如果系统显示路径已可达,通常VPC下的ECS实例已经可以互相通信,您可以在VPC之间发起访问。

    如果VPC下的ECS实例依旧无法互通,您可以查阅IPsec-VPN常见问题文档排查问题。更多信息,请参见IPsec-VPN连接常见问题

示例3:使用IPsec-VPN连接实现多站点互通

IDC之间通过VPN互通-场景示例

如上图所示,在使用IPsec-VPN连接实现多站点互通的场景中,如果IPsec-VPN连接均已经协商成功,但是站点之间无法互相访问,您可以使用路径分析功能诊断站点之间的网络连通性问题。

  1. 登录网络智能服务管理控制台
  2. 在左侧导航栏,选择自助诊断 > 路径分析

  3. 路径分析页面,单击发起分析

  4. 发起分析页面,配置以下参数信息,然后单击发起分析

    配置

    说明

    选择源类型

    本文选择VPN网关,然后选择和上海办公点建立IPsec-VPN连接的VPN网关实例vpn-uf6xkloc****,再输入上海办公点中服务器1的私网IP地址172.16.0.221

    目的

    选择目的类型

    本文选择VPN网关,然后选择和宁波办公点建立IPsec-VPN连接的VPN网关实例vpn-uf6xkloc****,再输入宁波办公点中服务器2的私网IP地址192.168.0.169

    协议

    选择检测的协议类型。

    本文使用默认值TCP协议。

    说明

    您可以根据您的实际网络环境选择适合的检测协议和目的端口。

    目的端口

    输入目的资源的端口号。

    本文使用默认值80

    保存路径

    选择是否保存当前路径分析,后续可快速重复分析该路径。默认值:

    如果您选择保存该路径分析,可以定义该路径分析的名称以及为该路径分析添加标签。

  5. 在路径分析详情页面查看路径分析结果。

    请根据路径分析结果排查问题,然后重新发起路径分析确保路径可达。

  6. 如果系统显示路径已可达,通常站点之间已经可以互相通信,您可以在站点之间发起访问。

    如果站点之间依旧无法互通,您可以查阅IPsec-VPN常见问题文档排查问题。更多信息,请参见IPsec-VPN连接常见问题

示例4:使用SSL-VPN连接实现客户端与VPC互通

SSL-VPN路径分析

如上图所示,在使用SSL-VPN连接实现客户端与VPC互通的场景中,如果客户端已成功连接VPN网关,但是客户端却无法访问VPC下的资源,您可以使用路径分析功能诊断客户端和VPC之间的网络连通性问题。

重要

在为SSL-VPN连接创建路径分析的过程中,需要使用VPN网关为客户端分配的私网IP地址,因此您需要确保客户端已成功连接至VPN网关,并已经获得私网IP地址。您可以在VPN网关管理控制台查看系统为客户端分配的私网IP地址。具体操作,请参见查看SSL客户端的连接信息

  1. 登录网络智能服务管理控制台
  2. 在左侧导航栏,选择自助诊断 > 路径分析

  3. 路径分析页面,单击发起分析

  4. 发起分析页面,配置以下参数信息,然后单击发起分析

    流量从客户端去往VPC方向

    配置

    说明

    选择源类型

    本文选择VPN网关,然后选择与客户端建立SSL-VPN连接的VPN网关实例vpn-bp18q****,再输入VPN网关为客户端分配的私网IP地址10.0.0.6

    目的

    选择目的类型

    本文选择ECS,然后选择VPC下的ECS实例。

    协议

    选择检测的协议类型。

    本文使用默认值TCP协议。

    说明

    您可以根据您的实际网络环境选择适合的检测协议和目的端口。

    目的端口

    输入目的资源的端口号。

    本文使用默认值80

    保存路径

    选择是否保存当前路径分析,后续可快速重复分析该路径。默认值:

    如果您选择保存该路径分析,可以定义该路径分析的名称以及为该路径分析添加标签。

    流量从VPC去往客户端方向

    配置

    说明

    选择源类型

    本文选择ECS,然后选择VPC下的ECS实例。

    目的

    选择目的类型

    本文选择VPN网关,然后选择与客户端建立SSL-VPN连接的VPN网关实例vpn-bp18q****,再输入VPN网关为客户端分配的私网IP地址10.0.0.6

    协议

    选择检测的协议类型。

    本文使用默认值TCP协议。

    说明

    您可以根据您的实际网络环境选择适合的检测协议和目的端口。

    目的端口

    输入目的资源的端口号。

    本文使用默认值80

    保存路径

    选择是否保存当前路径分析,后续可快速重复分析该路径。默认值:

    如果您选择保存该路径分析,可以定义该路径分析的名称以及为该路径分析添加标签。

  5. 在路径分析详情页面查看路径分析结果。

    请根据路径分析结果排查问题,然后重新发起路径分析确保路径可达。

  6. 如果系统显示路径已可达,通常客户端和VPC之间已经可以互相通信,您可以在客户端发起访问。

    如果客户端和VPC之间依旧无法互通,您可以查阅SSL-VPN常见问题文档排查问题。更多信息,请参见SSL-VPN连接常见问题

文档推荐
  • 本页导读 (1)
文档反馈