すべてのプロダクト
Search

このプロダクト

    VPN Gateway:reachability analyzerの使用

    ドキュメントセンター

    VPN Gateway:reachability analyzerの使用

    最終更新日:Oct 22, 2024

    VPN Gatewayは、ネットワークインテリジェンスサービス (NIS) と連携し、到達可能性アナライザー機能をサポートします。 このトピックでは、到達性アナライザーを使用して、VPNゲートウェイを使用するリソース間の接続を確認する方法について説明します。

    背景情報

    リーチャビリティアナライザーを使用する場合は、ソースリソースとターゲットリソースを指定する必要があります。 到達可能性アナライザーは、ネットワークモデルを構築することにより、宛先がソースから到達可能かどうかを確認します。 宛先に到達できない場合、システムは原因を返します。 情報に基づいてトラブルシューティングを行うことができます。 分析中、サービス・データ・パケットは送信されない。 したがって、サービスは影響を受けません。

    たとえば、Alibaba Cloudアカウント内のECS (Elastic Compute Service) インスタンスをソースとして、別のECSインスタンスを宛先として、ポート22を宛先ポートとして、TCPを送信プロトコルとして指定できます。 次に、リーチャビリティアナライザは、ソースECSインスタンスがSSH経由でターゲットECSインスタンスに接続できるかどうかを確認します。 リーチャビリティアナライザーの詳細については、「リーチャビリティアナライザーの操作」をご参照ください。

    このトピックでは、到達性アナライザーを使用してIPsec-VPN接続の接続を確認する方法を示す次のシナリオについて説明します。

    始める前に

    リーチャビリティアナライザーを使用してIPsec-VPN接続の接続性を確認する前にIPsecネゴシエーションが失敗した場合は、VPN Gatewayコンソールからプロンプトが表示されたログとエラーコードに基づいて、またはVPN Gatewayのインスタンス診断機能を使用して、問題のトラブルシューティングを行います。 詳細については、「IPsec-VPN接続の問題のトラブルシューティング」および「VPNゲートウェイの診断」をご参照ください。

    シナリオ1: IPsec-VPNを使用してデータセンターを仮想プライベートクラウド (VPC) に接続する

    IDCtoVPC-场景示例

    上の図に示すように、IPsec-VPNを使用してデータセンターをVPCに接続するシナリオでは、IPsecネゴシエーションは成功したがデータセンターがVPCと通信できない場合、リーチャビリティアナライザーを使用してトラブルシューティングを行うことができます。

    1. VPN Gatewayコンソール.

    2. 上部のナビゲーションバーで、管理するVPN gatewayが存在するリージョンを選択します。

    3. VPN Gatewayページで、管理したいVPNゲートウェイを見つけて選択します診断 > パス分析で、診断列を作成します。

    4. パス分析パネル、次のパラメータを設定し、分析を開始.

      次のセクションでは、インバウンド方向とアウトバウンド方向のパスを作成する方法について説明します。

      データセンターからVPCへのトラフィック IDCtoVPC-路径分析1

      パラメーター

      説明

      ソース

      ソースリソースのタイプ。

      この例では、VPN Gatewayが選択され、IPsec-VPN接続を介してデータセンターに接続されているVPN gateway vpn-uf6xkloc **** が選択されています。 そして、データセンタ内のサーバのプライベートIPアドレス172.16.0.201が使用される。

      目的地

      宛先リソースのタイプ。

      この例では、ECSインスタンスIDが選択され、データセンターに接続されているECSインスタンスi-uf6a **** が選択されています。

      プロトコル

      プロトコル。

      この例では、デフォルトプロトコルTCPが使用されています。

      説明

      実際のネットワーク環境に基づいて、プロトコルと宛先ポートを選択できます。

      宛先ポート

      宛先リソースのポート番号。

      この例では、デフォルト値80が使用されます。

      名前

      パスの名前。

      パスは、分析開始後に自動的に保存されます。 これにより、パス分析を再度開始できます。 保存されたパスはNISコンソールで確認できます。

      VPCからデータセンターへのトラフィック IDCtoVPC-路径分析2

      パラメーター

      説明

      ソース

      ソースリソースのタイプ。

      この例では、ECSインスタンスIDが選択され、データセンターに接続されているECSインスタンスi-uf6a **** が選択されています。

      目的地

      宛先リソースのタイプ。

      この例では、VPN Gatewayが選択され、IPsec-VPN接続を介してデータセンターに接続されているVPN gateway vpn-uf6xkloc **** が選択されています。 そして、データセンタ内のサーバのプライベートIPアドレス172.16.0.201が使用される。

      プロトコル

      プロトコル。

      この例では、デフォルトプロトコルTCPが使用されています。

      説明

      実際のネットワーク環境に基づいて、プロトコルと宛先ポートを選択できます。

      宛先ポート

      宛先リソースのポート番号。

      この例では、デフォルト値80が使用されます。

      名前

      パスの名前。

      パスは、分析開始後に自動的に保存されます。 これにより、パス分析を再度開始できます。 保存されたパスはNISコンソールで確認できます。

    5. パスの分析結果を表示します。パス分析パネル。

      結果に基づいて問題をトラブルシューティングし、パスが到達可能であることを確認するためにパスを再度確認します。

    6. ほとんどの場合、パスに到達できる場合、データセンターはVPCと通信できます。

      それでもデータセンターがVPCと通信できない場合は、[IPsec-VPN接続に関するFAQ] トピックに基づいてトラブルシューティングを行います。

    シナリオ2: IPsec-VPNを使用して、同じアカウント内のVPCをリージョン間で接続する

    重要

    IPsec-VPNを使用してリージョン間で異なるアカウントに属するVPCを接続するシナリオでパスを作成する方法の詳細については、「シナリオ1」をご参照ください。

    VPCtoVPC-场景示例

    上の図に示すように、IPsec-VPNを使用してリージョン間で同じアカウント内のVPCを接続するシナリオでは、IPsecネゴシエーションは成功したがVPC内のECSインスタンスが相互に通信できない場合、到達性アナライザーを使用してトラブルシューティングを行うことができます。

    1. VPN Gatewayコンソール.

    2. 上部のナビゲーションバーで、管理するVPN gatewayが存在するリージョンを選択します。

    3. VPN Gatewayページで、管理したいVPNゲートウェイを見つけて選択します診断 > パス分析で、診断列を作成します。

    4. パス分析パネル、次のパラメータを設定し、分析を開始.

      VPCtoVPC-创建路径

      パラメーター

      説明

      ソース

      ソースリソースのタイプ。

      この例では、ECSインスタンスIDが選択され、ECS1が選択されています。

      目的地

      宛先リソースのタイプ。

      この例では、ECSインスタンスIDが選択され、ECS2が選択されています。

      プロトコル

      プロトコル。

      この例では、デフォルトプロトコルTCPが使用されています。

      説明

      実際のネットワーク環境に基づいて、プロトコルと宛先ポートを選択できます。

      宛先ポート

      宛先リソースのポート番号。

      この例では、デフォルト値80が使用されます。

      名前

      パスの名前。

      パスは、分析開始後に自動的に保存されます。 これにより、パス分析を再度開始できます。 保存されたパスはNISコンソールで確認できます。

    5. パスの分析結果を表示します。パス分析パネル。

      VPCtoVPC

      前の図に示すように、ECS2のセキュリティグループルールがECS1からの要求をブロックするため、ECS1はECS2と通信できません。 ECS2のセキュリティグループルールを変更し、パスが到達可能であることを確認するためにパスを再度チェックする必要があります。

      VPCtoVPC-路径可达

    6. ほとんどの場合、パスに到達可能な場合、VPC内のECSインスタンスは相互に通信できます。

      それでもECSインスタンスが相互に通信できない場合は、[IPsec-VPN接続に関するFAQ] トピックに基づいてトラブルシューティングを行います。

    シナリオ3: IPsec-VPNを使用して複数のオンプレミスサーバーを接続する

    IDC之间通过VPN互通-场景示例

    上の図に示すように、IPsec-VPNを使用して複数のオンプレミスサーバーを接続するシナリオでは、IPsecネゴシエーションは成功したが、オンプレミスサーバーが相互に通信できない場合、リーチャビリティアナライザーを使用してトラブルシューティングを行うことができます。

    1. VPN Gatewayコンソール.

    2. 上部のナビゲーションバーで、管理するVPN gatewayが存在するリージョンを選択します。

    3. VPN Gatewayページで、管理したいVPNゲートウェイを見つけて選択します診断 > パス分析で、診断列を作成します。

    4. パス分析パネル、次のパラメータを設定し、分析を開始.

      パラメーター

      説明

      ソース

      ソースリソースのタイプ。

      この例では、VPN Gatewayが選択され、IPsec-VPN接続を介して上海のオンプレミスサーバーに接続されているVPN gateway vpn-uf6xkloc **** が選択されています。 次に、上海のサーバーのプライベートIPアドレス172.16.0.221が使用されます。

      目的地

      宛先リソースのタイプ。

      この例では、VPN Gatewayが選択され、IPsec-VPN接続を介してNingboのオンプレミスサーバーに接続されているVPN gateway vpn-uf6xkloc **** が選択されています。 次に、寧波のサーバーのプライベートIPアドレス192.168.0.169が使用されます。

      プロトコル

      プロトコル。

      この例では、デフォルトプロトコルTCPが使用されています。

      説明

      実際のネットワーク環境に基づいて、プロトコルと宛先ポートを選択できます。

      宛先ポート

      宛先リソースのポート番号。

      この例では、デフォルト値80が使用されます。

      名前

      パスの名前。

      パスは、分析開始後に自動的に保存されます。 これにより、パス分析を再度開始できます。 保存されたパスはNISコンソールで確認できます。

    5. パスの分析結果を表示します。パス分析パネル。

      結果に基づいてトラブルシューティングを行い、パスが到達可能であることを確認してください。

    6. ほとんどの場合、パスが到達可能である場合、オンプレミスサーバーは互いに通信できます。

      それでもオンプレミスサーバーが相互に通信できない場合は、FAQ about IPsec-VPN connectionsトピックに基づいてトラブルシューティングを行います。