VPN網關接入網路智慧型服務NIS(Network Intelligence Service),支援路徑分析功能。您可以通過路徑分析功能診斷SSL-VPN串連的網路連通性。
背景資訊
使用路徑分析時需要您指定源資源和目的資源,在您指定源資源和目的資源後,系統會構建源資源和目的資源之間的網路設定模型,然後基於配置模型分析源資源和目的資源之間的網路是否可以正常連通,如果源資源和目的資源之間網路無法正常互連,系統會給您返回相關原因,您可以根據原因排查問題。系統分析過程中不會發送真實資料包,不會影響您當前的業務。
例如,指定一個阿里雲帳號下的Elastic Compute Service(Elastic Compute Service)執行個體作為源資源,指定該阿里雲帳號下的另一個ECS執行個體作為目的資源,設定22作為目的連接埠、TCP作為協議,即可以通過路徑分析功能驗證源ECS執行個體是否可以通過SSH串連到目的ECS執行個體。關於路徑分析的更多資訊,請參見使用路徑分析。
本文以下述應用情境為例介紹使用SSL-VPN過程中如何通過路徑分析功能診斷資源之間的網路連通性。
前提條件
在使用路徑分析功能診斷SSL-VPN串連網路連通性前,如果用戶端未成功串連至VPN網關。請先根據用戶端的日誌資訊、VPN網關管理主控台SSL-VPN串連的日誌資訊自主排查問題,確保用戶端已成功串連至VPN網關。具體操作,請參見自主排查SSL-VPN串連問題和診斷VPN網關執行個體。
樣本:使用SSL-VPN串連實現用戶端與VPC互連
如上圖所示,在使用SSL-VPN串連實現用戶端與VPC互連的情境中,如果用戶端已成功串連VPN網關,但是用戶端卻無法訪問VPC下的資源,您可以使用路徑分析功能診斷用戶端和VPC之間的網路連通性問題。
在為SSL-VPN串連建立路徑分析的過程中,需要使用VPN網關為用戶端分配的私網IP地址,因此您需要確保用戶端已成功串連至VPN網關,並已經獲得私網IP地址。您可以在VPN網關管理主控台查看系統為用戶端分配的私網IP地址。具體操作,請參見查看SSL用戶端的串連資訊。
登入VPN網關管理主控台。
在頂部功能表列,選擇VPN網關執行個體所屬的地區。
在VPN網關頁面,找到目標VPN網關執行個體,在診斷列選擇。
在路徑分析面板,配置以下參數資訊,然後單擊發起分析。
流量從用戶端去往VPC方向
配置
說明
源
選擇源類型。
本文選擇VPN網關,然後選擇與用戶端建立SSL-VPN串連的VPN網關執行個體vpn-bp18q****,再輸入VPN網關為用戶端分配的私網IP地址10.0.0.6。
目的
選擇目的類型。
本文選擇ECS執行個體ID,然後選擇VPC下的ECS執行個體。
協議
選擇檢測的協議類型。
本文使用預設值TCP協議。
說明您可以根據您的實際網路環境選擇適合的檢測協議和目的連接埠。
目的連接埠
輸入目的資源的連接埠號碼。
本文使用預設值80。
名稱
為該路徑定義名稱。
發起路徑分析後該路徑會被自動儲存,方便您再次發起分析。您可以前往網路智慧型服務管理主控台查看已被儲存的路徑列表。
流量從VPC去往用戶端方向
配置
說明
源
選擇源類型。
本文選擇ECS執行個體ID,然後選擇VPC下的ECS執行個體。
目的
選擇目的類型。
本文選擇VPN網關,然後選擇與用戶端建立SSL-VPN串連的VPN網關執行個體vpn-bp18q****,再輸入VPN網關為用戶端分配的私網IP地址10.0.0.6。
協議
選擇檢測的協議類型。
本文使用預設值TCP協議。
說明您可以根據您的實際網路環境選擇適合的檢測協議和目的連接埠。
目的連接埠
輸入目的資源的連接埠號碼。
本文使用預設值80。
名稱
為該路徑定義名稱。
發起路徑分析後該路徑會被自動儲存,方便您再次發起分析。您可以前往網路智慧型服務管理主控台查看已被儲存的路徑列表。
保持在路徑分析面板查看路徑分析結果。
請根據路徑分析結果排查問題,然後重新發起路徑分析確保路徑可達。
如果系統顯示路徑已可達,通常用戶端和VPC之間已經可以互相通訊,您可以在用戶端發起訪問。
如果用戶端和VPC之間依舊無法互連,您可以查閱SSL-VPN常見問題文檔排查問題。更多資訊,請參見SSL-VPN串連常見問題。