VPN Gatewayは、ネットワークインテリジェンスサービス (NIS) と統合されています。 NISは、VPNゲートウェイを診断し、検出された問題に基づいて提案を提供するのに役立ちます。 これにより、VPN Gatewayを使用するときに発生する問題をトラブルシューティングできます。 問題には、IPsecネゴシエーションの問題、ルート構成の問題、およびVPN gatewayステータスに関連する問題が含まれます。 診断プロセスはビジネスに影響しません。
診断アイテム
次の表に、VPN Gatewayの診断項目を示します。
カテゴリ | 診断アイテム | 説明 |
設定 | インスタンス設定 | VPN gatewayが設定されているかどうかを確認します。 VPN gatewayが設定されている場合は、VPN gatewayで操作を実行する前に、状態がAvailableに変わるまで待ちます。 |
バージョン | VPN gatewayが最新バージョンであるかどうかを確認します。 VPN gatewayを最新バージョンにアップグレードすることを推奨します。 詳細については、「VPN gatewayのアップグレード」をご参照ください。 | |
IPsec交渉 | VPNゲートウェイ上の各IPsec-VPN接続のフェーズ1およびフェーズ2ネゴシエーションのステータスを確認します。 ネゴシエーション中に例外が発生した場合は、コンソールに表示されるソリューションまたはトラブルシューティングの関連トピックを参照してください。 詳細については、「IPsec-VPN接続の問題のトラブルシューティング」をご参照ください。 | |
VPNトンネル設定 | VPN gatewayでIPsec-VPN接続が設定されているかどうかを確認します。 IPsec-VPN接続に必要な設定項目がないことをシステムが検出した場合は、ネットワーク要件に基づいてIPsec-VPN接続を設定する必要があります。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」または「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。 | |
CIDRブロックの競合 | VPN Gateway上のポリシーベースのルート、宛先ベースのルート、およびBorder gateway Protocol (BGP) ルートの宛先CIDRブロックが100.64.0.0/10と競合するかどうかを確認します。 100.64.0.0/10 は Alibaba Cloud によって予約されています。 VPNゲートウェイ上のポリシーベースのルート、宛先ベースのルート、およびBGPルートの宛先CIDRブロックが、100.64.0.0/10またはそのサブネットと競合しないようにしてください。 そうしないと、VPNゲートウェイは期待どおりに機能しません。 このような競合が存在する場合は、競合するCIDRブロックを変更するか、NAT Gatewayを使用してアドレス変換を行います。 詳細については、「VPC NATゲートウェイとVPNゲートウェイを使用してデータセンターとVPCを接続する」をご参照ください。 | |
BGPの整合性 | フェーズ2交渉は成功したが、BGP交渉は失敗したかどうかを確認します。 フェーズ2ネゴシエーションは成功したが、BGPネゴシエーションが失敗した場合は、BGP設定とBGPパケットの送信を確認します。 詳細については、「IPsec-VPN接続に関するFAQ」トピックの「フェーズ2ネゴシエーションが成功したが、BGPネゴシエーションが異常状態であることをシステムが求めた場合の対処方法」を参照してください。 | |
共有フェーズ1 IPsecネゴシエーション | IPsec-VPN接続がフェーズ1ネゴシエーションを共有している場合、複数のIPsec-VPN接続の構成が同じかどうかを確認します。 複数のIPsec-VPN接続が同じVPNゲートウェイとカスタマーゲートウェイに関連付けられており、同じInternet Key Exchange (IKE) バージョンを使用している場合、IPsec-VPN接続は同じフェーズ1ネゴシエーションを共有します。 複数のIPsec-VPN接続が同じフェーズ1ネゴシエーションを共有するシナリオでは、バージョン、ネゴシエーションモード、暗号化アルゴリズム、認証アルゴリズム、DHグループ、SA有効期間 (秒単位) など、IPsec-VPN接続の事前共有鍵とIKE設定が同じである必要があります。 これにより、IPsecネゴシエーション中に各IPsec-VPN接続のIKE設定を確実に共有できます。 ビジネス要件に基づいてIPsec-VPN接続構成を変更し、IPsec-VPN接続が同じ構成を使用するようにします。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」の「IPsec-VPN接続の変更」セクションをご参照ください。 | |
クォータ | VPNゲートウェイ帯域幅使用量 | VPN gatewayの帯域幅使用量が上限の80% に達しているかどうかを確認します。 VPN gatewayの帯域幅使用量が上限の80% に達した場合、ネットワーク要件に基づいてVPN gatewayの帯域幅をアップグレードできます。 詳細については、「VPN gatewayのアップグレードまたはダウングレード」をご参照ください。 |
料金 | 料金の滞納 | VPN gatewayに料金滞納があるかどうかを確認します。 VPN gatewayに料金滞納がある場合は、アカウントに資金を追加します。 |
滞納アラート | VPN gatewayが7日以内に期限切れになるかどうかを確認します。 | |
ルート | 未通知のルート | VPNゲートウェイに通知されていないポリシーベースまたは宛先ベースのルートがあるかどうかを確認します。 通知されていないポリシーベースまたは宛先ベースのルートが存在する場合は、ネットワーク通信要件に基づいてルートを削除または通知します。 詳細については、「ポリシーベースのルートの設定」トピックの「ポリシーベースのルートの広告とポリシーベースのルートの削除」セクション、または「宛先ベースのルートの管理」トピックの「宛先ベースのルートの広告と宛先ベースのルートの削除」セクションをご参照ください。 |
不適切なBGP設定 | IPsec-VPN接続がBGPを使用する場合、VPNゲートウェイが適切なBGP設定を使用しているかどうかを確認します。
| |
VPNルート設定 |
| |
宛先ベースのルート競合 | VPNゲートウェイ上の宛先ベースのルートの宛先CIDRブロックが互いに重複しているかどうかを確認します。 このような競合が存在する場合は、競合する宛先ベースのルートを削除し、新しいルートを作成します。 宛先ベースのルートの宛先CIDRブロックが互いに重複しないようにしてください。 詳細については、「宛先ベースのルートの管理」をご参照ください。 ネットワーキングにBGPを使用することもできます。 詳細については、「デュアルトンネルおよびBGPルーティングモードでVPCをデータセンターに接続する」をご参照ください。 | |
ポリシーベースのルート競合 | VPNゲートウェイ上のポリシーベースのルートの宛先CIDRブロックが互いに重複しているかどうかを確認します。 このような競合が存在する場合は、競合するポリシーベースのルートを削除し、新しいルートを作成します。 ポリシーベースのルートの宛先CIDRブロックが互いに重複しないようにしてください。 詳細については、「ポリシーベースのルートの設定」をご参照ください。 ネットワーキングにBGPを使用することもできます。 詳細については、「デュアルトンネルおよびBGPルーティングモードでVPCをデータセンターに接続する」をご参照ください。 | |
BGPルートの競合 |
このような競合が存在する場合は、コンソールに表示される画面上の指示に従って問題のトラブルシューティングを行います。 | |
VPCルートとVPNルートの一致 | VPNゲートウェイを指すVPCルートテーブル内のルートの宛先CIDRブロックが、VPNゲートウェイ上のポリシーベースのルートの宛先CIDRブロックと重複しているかどうかを確認します。 ポリシーベースのルートの宛先CIDRブロックに、VPNゲートウェイを指すVPCルートテーブルのルートの宛先CIDRブロックが含まれていることを確認します。 上記の条件が満たされていない場合は、ポリシーベースのルートの宛先CIDRブロックを変更する必要があります。 ポリシーベースのルートを削除し、条件を満たす新しいルートを作成する必要があります。 詳細については、「ポリシーベースのルートの設定」をご参照ください。 |
診断の開始
上部のナビゲーションバーで、VPN gatewayがデプロイされているリージョンを選択します。
VPN Gatewayページで、管理したいVPNゲートウェイを見つけて選択しますで、診断列を作成します。
インスタンスの診断パネルは、診断の細部を見ます。
説明NISが有効化されていない場合は、[Standard Edition NIS] を選択し、[NISを無料で有効化してインスタンスを診断する] をクリックします。
リソースアクセス管理 (RAM) ユーザーとしてNISを有効化し、権限がないことを示すメッセージが表示された場合は、Alibaba Cloudアカウントを使用してAliyunNISFullAccess権限をRAMユーザーに付与します。 詳細については、「RAM ユーザーへの権限の付与」をご参照ください。
VPNゲートウェイを初めて診断する場合、システムは自動的にサービスにリンクされたロールAliyunServiceRoleForNisを作成します。 詳細については、「サービスにリンクされたロール」をご参照ください。
セクション
説明
①
インスタンス診断パネルに異常が表示されます。 診断の説明、関連するリソース、および提案を表示できます。
②
診断項目 セクションの すべてを表示 を選択すると、VPNゲートウェイに関するすべての診断の詳細を表示できます。
③
NISコンソールの [概要] ページに移動するには、インスタンスの診断 パネルの上部にある NIS コンソールに移動して診断レコードを表示します。 をクリックし、VPNゲートウェイに関する診断レポートの履歴を表示します。 詳細については、「概要ページの機能の使用」をご参照ください。
診断例
データセンターがIPsec-VPN接続を使用してVPCのリソースにアクセスするシナリオでは、VPNゲートウェイを診断して、接続を使用してサービスデータを送信する前に、IPsec-VPN接続が期待どおりに機能することを確認できます。
VPNゲートウェイで診断を開始します。 詳細については、このトピックの「診断の開始」セクションをご参照ください。
インスタンスの診断パネルでは、診断の詳細を見ることができます。
上の図は、IPsec-VPN接続のフェーズ1ネゴシエーションが失敗したために診断に失敗したVPNゲートウェイの例を示しています。 [結果] 列の [フェーズ1ネゴシエーション失敗] をクリックすると、詳細を表示して問題をトラブルシューティングできます。
IPsec 接続ページのエラーメッセージに基づいて問題をトラブルシューティングすることもできます。 IPsec-VPN接続のフェーズ1またはフェーズ2ネゴシエーションが失敗すると、IPsec 接続 ページにエラーメッセージが表示されます。 エラーメッセージは、トラブルシューティングに使用できます。 詳細については、「IPsec-VPN接続の問題のトラブルシューティング」をご参照ください。
上の図は、IPsec-VPN接続のフェーズ1ネゴシエーションが失敗したために [IPsec接続] ページに表示されるエラーメッセージの例を示しています。 VPNゲートウェイとピアゲートウェイで事前共有キーが異なるため、IPsec-VPN接続が失敗します。 この問題を解決するには、両方のゲートウェイが同じ事前共有キーを使用していることを確認します。
問題を解決したら、VPNゲートウェイを再度診断します。 VPNゲートウェイが診断に合格していることを確認します。
VPNゲートウェイが診断に合格したが、IPsec-VPN接続を使用するときにデータセンターとVPC間の通信障害などの問題が発生した場合は、VPNゲートウェイのトラブルシューティングに関するFAQトピックを参照してください。 詳細については、「IPsec-VPN接続に関するよくある質問」をご参照ください。