VPN网关接入网络智能服务NIS(Network Intelligence Service),支持诊断VPN网关实例并能根据诊断出的异常项提供修复建议。您可以使用该功能排查使用SSL-VPN过程中遇到的问题,例如SSL-VPN连接协商问题、VPN网关实例状态问题等。诊断VPN网关实例的过程不会影响您的业务。
VPN网关诊断项说明
下表为您介绍VPN网关实例支持的诊断项。
诊断项分类 | 诊断项 | 诊断项说明 |
配置诊断 | 实例配置检查 | 检查VPN网关实例是否处于配置状态。 如果VPN网关实例处于配置状态,请等待VPN网关实例变为正常状态后再操作。 |
版本检查 | 检查VPN网关实例的版本是否为最新版本。 建议您将VPN网关版本自助升级至最新版以体验更多功能。具体操作,请参见升级VPN网关。 | |
VPN隧道配置完整性检查 | 检查VPN网关实例下SSL-VPN连接是否已经完成SSL服务端的配置。 如果系统检测到VPN网关实例缺少配置,请您根据网络互通需求添加相关配置,配置SSL服务端,请参见创建和管理SSL服务端。 | |
SSL虚连接检查 | 检查VPN网关实例下是否存在不可靠的SSL-VPN连接。 SSL服务端使用UDP协议存在不可靠连接占用连接数的情况,建议修改SSL服务端协议为TCP,使用TCP协议可以规避该问题,且TCP协议可靠性更好。具体操作,请参见修改SSL服务端。 | |
VPC内网段冲突检查 | 检查SSL服务端配置的本端网段和客户端网段是否与VPC下交换机的网段冲突。 如果系统检测到网段冲突,建议修改SSL服务端的网段配置。具体操作,请参见修改SSL服务端。 | |
网段不足检查 | 检查SSL服务端配置的客户端网段包含的IP地址数量是否可以满足SSL-VPN连接数的需求。 如果系统检测到客户端网段IP地址不足,请修改客户端网段。具体操作,请参见修改SSL服务端。 需确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。 例如:您指定的客户端网段为192.168.0.0/24,系统在为客户端分配IP地址时,会先从192.168.0.0/24网段中划分出一个子网掩码为30的子网段,例如192.168.0.4/30,然后从192.168.0.4/30中分配一个IP地址供客户端使用,剩余三个IP地址会被系统占用以保证网络通信,此时一个客户端会耗费4个IP地址。因此,为保证您的客户端均能分配到IP地址,请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。 | |
公网地址冲突检查 | 检查SSL服务端的客户端网段配置为公网网段时,该公网网段是否被指定为VPC的用户网段。 如果系统检测到SSL服务端的客户端网段为公网网段时,您需要将该公网网段设置为VPC的用户网段。关于用户网段的更多信息,请参见什么是用户网段?和如何配置用户网段?。 | |
容量超限诊断 | VPN网关带宽使用率检查 | 检查VPN网关实例的带宽利用率是否已达VPN网关实例带宽规格的80%。 如果VPN网关实例的带宽利用率已达VPN网关实例带宽规格的80%,您可以根据实际网络需求提升VPN网关实例带宽规格。具体操作,请参见变配VPN网关实例。 |
VPN连接数检查 | 检查VPN网关实例下的SSL-VPN连接数是否已达VPN网关实例SSL-VPN连接数规格的80%。 如果VPN网关实例下的SSL-VPN连接数已达VPN网关实例SSL-VPN连接数规格的80%,您可以根据实际网络需求提升VPN网关实例SSL-VPN连接数规格。具体操作,请参见修改SSL并发连接数。 | |
证书诊断 | SSL客户端证书过期检查 | 检查SSL客户端证书是否已过期。 SSL客户端证书默认有效期为3年。如果系统检测到SSL客户端证书已到期,请删除当前SSL客户端证书,然后新建SSL客户端证书并安装在客户端中。相关文档,请参见创建和管理SSL客户端证书和配置客户端。 |
SSL客户端证书预过期检查 | 检查SSL客户端证书是否将在60天内过期。 如果系统检测到SSL客户端证书即将到期,建议删除当前SSL客户端证书,然后新建SSL客户端证书并安装在客户端中,以免SSL客户端证书到期影响您的使用。相关文档,请参见创建和管理SSL客户端证书和配置客户端。 | |
费用诊断 | 欠费状态告警 | 检查VPN网关实例是否处于欠费状态。 如果系统检测到VPN网关实例处于欠费状态,请及时续费充值。具体操作,请参见如何充值和续费VPN网关实例。 |
欠费到期预警 | 检查VPN网关实例是否将在7天内到期。 如果系统检测到VPN网关实例将在7天内到期,请及时为VPN网关实例续费。具体操作,请参见续费VPN网关实例。 |
发起诊断
登录VPN网关管理控制台。
在顶部菜单栏,选择VPN网关实例所属的地域。
在VPN网关页面,找到目标VPN网关实例,在诊断列单击。
在实例健康诊断面板,查看诊断详情。
说明如果您之前未开通过网络智能服务,请选中网络智能服务标准版服务协议,然后单击免费开通,发起诊断。
RAM用户(子账号)开通网络智能服务时如果系统提示没有权限,请使用阿里云账号(主账号)为RAM用户授予AliyunNISFullAccess权限。具体操作,请参见为RAM用户授权。
首次诊断时,系统会自动为您创建一个服务关联角色(AliyunServiceRoleForNis)以完成相应的功能。关于AliyunServiceRoleForNis的更多信息,请参见服务关联角色。
序号
说明
①
异常诊断项将会直接在该面板中显示出来,您可以直接查看异常诊断项说明、关联的资源以及处理建议。
②
在诊断项详情区域,选中显示全部诊断项,您可以查看当前VPN网关实例被检测的全部诊断项信息。
③
在实例健康诊断面板上方,单击前往NIS查看历史诊断,即可跳转至网络智能服务控制台的概览页面,查看当前VPN网关实例的历史诊断报告。更多信息,请参见概览。
VPN网关实例诊断示例
对于客户端通过SSL-VPN连接访问阿里云VPC资源的场景,在遇到客户端连接失败等问题的情况下,您可以通过诊断VPN网关实例检测SSL-VPN连接的配置来帮助您排查问题。
对VPN网关实例发起诊断。具体操作,请参见发起诊断。
在实例健康诊断面板查看诊断结果,并根据诊断结果排查问题。
如上图所示,系统诊断出SSL服务端使用UDP协议建立SSL-VPN连接,可能会存在不可靠连接占用连接数的情况导致客户端连接失败,您可以根据诊断建议修改SSL服务端的协议为TCP以避免该问题。
修改配置后,对VPN网关实例再次发起诊断,确保VPN网关实例下已不存在问题。
如果您的VPN网关实例下不存在问题,但是在使用SSL-VPN连接过程仍遇到问题(例如客户端和VPC之间流量不通),您可以通过SSL-VPN连接日志以及SSL-VPN连接常见问题文档自助排查问题。更多信息,请参见自主排查SSL-VPN连接问题和SSL-VPN连接常见问题。