VPN网关接入网络智能服务NIS(Network Intelligence Service),支持路径分析功能。您可以通过路径分析功能诊断SSL-VPN连接的网络连通性。
背景信息
使用路径分析时需要您指定源资源和目的资源,在您指定源资源和目的资源后,系统会构建源资源和目的资源之间的网络配置模型,然后基于配置模型分析源资源和目的资源之间的网络是否可以正常连通,如果源资源和目的资源之间网络无法正常互通,系统会给您返回相关原因,您可以根据原因排查问题。系统分析过程中不会发送真实数据包,不会影响您当前的业务。
例如,指定一个阿里云账号下的云服务器ECS(Elastic Compute Service)实例作为源资源,指定该阿里云账号下的另一个ECS实例作为目的资源,设置22作为目的端口、TCP作为协议,即可以通过路径分析功能验证源ECS实例是否可以通过SSH连接到目的ECS实例。关于路径分析的更多信息,请参见使用路径分析。
本文以下述应用场景为例介绍使用SSL-VPN过程中如何通过路径分析功能诊断资源之间的网络连通性。
前提条件
在使用路径分析功能诊断SSL-VPN连接网络连通性前,如果客户端未成功连接至VPN网关。请先根据客户端的日志信息、VPN网关管理控制台SSL-VPN连接的日志信息自主排查问题,确保客户端已成功连接至VPN网关。具体操作,请参见自主排查SSL-VPN连接问题和诊断VPN网关实例。
示例:使用SSL-VPN连接实现客户端与VPC互通
如上图所示,在使用SSL-VPN连接实现客户端与VPC互通的场景中,如果客户端已成功连接VPN网关,但是客户端却无法访问VPC下的资源,您可以使用路径分析功能诊断客户端和VPC之间的网络连通性问题。
在为SSL-VPN连接创建路径分析的过程中,需要使用VPN网关为客户端分配的私网IP地址,因此您需要确保客户端已成功连接至VPN网关,并已经获得私网IP地址。您可以在VPN网关管理控制台查看系统为客户端分配的私网IP地址。具体操作,请参见查看SSL客户端的连接信息。
登录VPN网关管理控制台。
在顶部菜单栏,选择VPN网关实例所属的地域。
在VPN网关页面,找到目标VPN网关实例,在诊断列选择 。
在路径分析面板,配置以下参数信息,然后单击发起分析。
流量从客户端去往VPC方向
配置
说明
源
选择源类型。
本文选择VPN网关,然后选择与客户端建立SSL-VPN连接的VPN网关实例vpn-bp18q****,再输入VPN网关为客户端分配的私网IP地址10.0.0.6。
目的
选择目的类型。
本文选择ECS实例ID,然后选择VPC下的ECS实例。
协议
选择检测的协议类型。
本文使用默认值TCP协议。
说明您可以根据您的实际网络环境选择适合的检测协议和目的端口。
目的端口
输入目的资源的端口号。
本文使用默认值80。
名称
为该路径定义名称。
发起路径分析后该路径会被自动保存,方便您再次发起分析。您可以前往网络智能服务管理控制台查看已被保存的路径列表。
流量从VPC去往客户端方向
配置
说明
源
选择源类型。
本文选择ECS实例ID,然后选择VPC下的ECS实例。
目的
选择目的类型。
本文选择VPN网关,然后选择与客户端建立SSL-VPN连接的VPN网关实例vpn-bp18q****,再输入VPN网关为客户端分配的私网IP地址10.0.0.6。
协议
选择检测的协议类型。
本文使用默认值TCP协议。
说明您可以根据您的实际网络环境选择适合的检测协议和目的端口。
目的端口
输入目的资源的端口号。
本文使用默认值80。
名称
为该路径定义名称。
发起路径分析后该路径会被自动保存,方便您再次发起分析。您可以前往网络智能服务管理控制台查看已被保存的路径列表。
保持在路径分析面板查看路径分析结果。
请根据路径分析结果排查问题,然后重新发起路径分析确保路径可达。
如果系统显示路径已可达,通常客户端和VPC之间已经可以互相通信,您可以在客户端发起访问。
如果客户端和VPC之间依旧无法互通,您可以查阅SSL-VPN常见问题文档排查问题。更多信息,请参见SSL-VPN连接常见问题。