IPsec-VPN連接常見(jiàn)問(wèn)題
本文匯總了建立IPsec-VPN連接時(shí)出現(xiàn)協(xié)商失敗、流量不通現(xiàn)象的常見(jiàn)原因并提供了相應(yīng)的解決方案。
常見(jiàn)問(wèn)題快捷鏈接
IPsec-VPN連接協(xié)商問(wèn)題
IPsec連接狀態(tài)之前為“第二階段協(xié)商成功”,但現(xiàn)在一直顯示“第二階段協(xié)商失敗”怎么辦?
IPsec連接狀態(tài)為“第二階段協(xié)商成功”,但I(xiàn)Psec連接協(xié)商狀態(tài)間歇性變?yōu)槭≡趺崔k?
IPsec連接狀態(tài)為“第二階段協(xié)商成功”,但BGP路由協(xié)議的協(xié)商狀態(tài)為“異常”怎么辦?
IPsec-VPN連接連通性問(wèn)題
為什么IPsec連接狀態(tài)為“第二階段協(xié)商成功”,但是多網(wǎng)段場(chǎng)景下部分網(wǎng)段通信正常,部分網(wǎng)段通信不正常?
為什么IPsec連接狀態(tài)為“第二階段協(xié)商成功”,可ping通但業(yè)務(wù)訪問(wèn)不通或部分端口號(hào)訪問(wèn)不通?
為什么IPsec連接狀態(tài)為“第二階段協(xié)商成功”,但私網(wǎng)訪問(wèn)時(shí)出現(xiàn)丟包現(xiàn)象,且時(shí)通時(shí)不通?
為什么IPsec連接狀態(tài)為“第二階段協(xié)商成功”,私網(wǎng)訪問(wèn)正常但轉(zhuǎn)發(fā)延遲高?
IPsec連接狀態(tài)為“第一階段協(xié)商失敗”怎么辦?
您可以根據(jù)VPN網(wǎng)關(guān)管理控制臺(tái)提示的錯(cuò)誤碼或者IPsec連接的日志信息自主排查問(wèn)題。具體操作,請(qǐng)參見(jiàn)自主排查IPsec-VPN連接問(wèn)題。
下表為您羅列幾個(gè)常見(jiàn)的IPsec連接對(duì)端網(wǎng)關(guān)設(shè)備導(dǎo)致“第一階段協(xié)商失敗”的原因,供您快速查閱。
原因 | 解決方案 |
IPsec連接對(duì)端網(wǎng)關(guān)設(shè)備工作異常。 | 請(qǐng)排查對(duì)端網(wǎng)關(guān)設(shè)備。具體操作,請(qǐng)咨詢?cè)O(shè)備所屬?gòu)S商。 |
IPsec連接對(duì)端網(wǎng)關(guān)設(shè)備尚未添加IPsec-VPN配置。 | 請(qǐng)為對(duì)端網(wǎng)關(guān)設(shè)備添加IPsec-VPN配置,需確保對(duì)端網(wǎng)關(guān)設(shè)備的配置與IPsec連接的配置一致。具體操作,請(qǐng)參見(jiàn)本地網(wǎng)關(guān)設(shè)備配置示例。 |
IPsec連接對(duì)端網(wǎng)關(guān)設(shè)備所應(yīng)用的訪問(wèn)控制策略未放行UDP協(xié)議500及4500端口。 | 請(qǐng)排查對(duì)端網(wǎng)關(guān)設(shè)備應(yīng)用的訪問(wèn)控制策略,確保其滿足以下條件:
|
IPsec連接對(duì)端廠商限制,需要有數(shù)據(jù)流量時(shí)才能觸發(fā)IPsec協(xié)議協(xié)商。 | 請(qǐng)確認(rèn)IPsec連接對(duì)端VPN網(wǎng)關(guān)是否存在此使用限制。 如果存在此限制,請(qǐng)向?qū)Χ藦S商咨詢?nèi)绾斡|發(fā)IPsec協(xié)議協(xié)商。 |
IPsec連接狀態(tài)為“第二階段協(xié)商失敗”怎么辦?
您可以根據(jù)VPN網(wǎng)關(guān)管理控制臺(tái)提示的錯(cuò)誤碼或者IPsec連接的日志信息自主排查問(wèn)題。具體操作,請(qǐng)參見(jiàn)自主排查IPsec-VPN連接問(wèn)題。
IPsec連接狀態(tài)之前為“第二階段協(xié)商成功”,但現(xiàn)在一直顯示“第二階段協(xié)商失敗”怎么辦?
產(chǎn)生當(dāng)前問(wèn)題的可能原因及解決方案請(qǐng)參見(jiàn)下表。
原因分類 | 原因 | 解決方案 |
網(wǎng)關(guān)設(shè)備異常 | 阿里云VPN網(wǎng)關(guān)實(shí)例欠費(fèi)。 | 續(xù)費(fèi)VPN網(wǎng)關(guān)實(shí)例。具體操作,請(qǐng)參見(jiàn)續(xù)費(fèi)VPN網(wǎng)關(guān)實(shí)例。 |
IPsec連接對(duì)端網(wǎng)關(guān)設(shè)備異常。 | 排查對(duì)端網(wǎng)關(guān)設(shè)備。具體操作,請(qǐng)咨詢?cè)O(shè)備所屬?gòu)S商。 | |
對(duì)端網(wǎng)關(guān)設(shè)備應(yīng)用的訪問(wèn)控制策略有變更。 | 請(qǐng)排查對(duì)端網(wǎng)關(guān)設(shè)備應(yīng)用的訪問(wèn)控制策略,確保已允許本地?cái)?shù)據(jù)中心與VPC之間流量互通。 | |
IPsec-VPN配置變更 | 對(duì)端網(wǎng)關(guān)設(shè)備的IPsec-VPN配置被刪除。 | 重新為對(duì)端網(wǎng)關(guān)設(shè)備添加IPsec-VPN配置,需確保對(duì)端網(wǎng)關(guān)設(shè)備的配置與IPsec連接的配置一致。具體操作,請(qǐng)參見(jiàn)本地網(wǎng)關(guān)設(shè)備配置示例。 |
對(duì)端網(wǎng)關(guān)設(shè)備的IPsec-VPN配置被修改,與IPsec連接的參數(shù)配置不一致。 | 請(qǐng)修改對(duì)端網(wǎng)關(guān)設(shè)備的配置使其與IPsec連接的配置一致。 | |
對(duì)端網(wǎng)關(guān)設(shè)備的IPsec-VPN配置中,某個(gè)參數(shù)被指定了多個(gè)值。 例如配置對(duì)端網(wǎng)關(guān)設(shè)備時(shí),指定IKE配置階段加密算法的值為aes和aes192。 | 在阿里云側(cè)配置IPsec連接時(shí),每個(gè)參數(shù)僅支持指定一個(gè)值。請(qǐng)排查對(duì)端網(wǎng)關(guān)設(shè)備的IPsec-VPN配置,確保每個(gè)參數(shù)也僅指定了一個(gè)值,且與IPsec連接的值相同。 | |
IPsec連接的配置被修改,與對(duì)端網(wǎng)關(guān)設(shè)備不一致。 | 請(qǐng)排查IPsec連接的配置使其與對(duì)端網(wǎng)關(guān)設(shè)備的配置一致。具體操作,請(qǐng)參見(jiàn)修改IPsec連接。 | |
IPsec連接關(guān)聯(lián)的VPC實(shí)例新配置了IPv4網(wǎng)關(guān)和網(wǎng)絡(luò)ACL。 | 請(qǐng)排查VPC實(shí)例應(yīng)用的IPv4網(wǎng)關(guān)、網(wǎng)絡(luò)ACL的配置,使其允許本地?cái)?shù)據(jù)中心與VPC實(shí)例之間流量互通。具體操作,請(qǐng)參見(jiàn)IPv4網(wǎng)關(guān)概述和網(wǎng)絡(luò)ACL概述。 | |
對(duì)端網(wǎng)關(guān)設(shè)備IP地址變更 | 對(duì)端網(wǎng)關(guān)設(shè)備用于建立IPsec-VPN連接的IP地址發(fā)生了變更,導(dǎo)致阿里云側(cè)用戶網(wǎng)關(guān)實(shí)例的IP地址與對(duì)端網(wǎng)關(guān)設(shè)備使用的IP地址不一致。 | 請(qǐng)確保對(duì)端網(wǎng)關(guān)設(shè)備用于建立IPsec-VPN連接的IP地址與阿里云側(cè)用戶網(wǎng)關(guān)實(shí)例配置的IP地址相同。 |
對(duì)端網(wǎng)關(guān)設(shè)備擁有多個(gè)IP地址,阿里云側(cè)用戶網(wǎng)關(guān)實(shí)例的IP地址與對(duì)端網(wǎng)關(guān)設(shè)備用于建立IPsec-VPN連接的IP地址不一致。 | 請(qǐng)確保對(duì)端網(wǎng)關(guān)設(shè)備用于建立IPsec-VPN連接的IP地址與阿里云側(cè)用戶網(wǎng)關(guān)實(shí)例配置的IP地址相同。 | |
對(duì)端網(wǎng)關(guān)設(shè)備使用動(dòng)態(tài)IP地址,阿里云側(cè)用戶網(wǎng)關(guān)實(shí)例的IP地址與對(duì)端網(wǎng)關(guān)設(shè)備用于建立IPsec-VPN連接的IP地址不一致。 | 請(qǐng)對(duì)端網(wǎng)關(guān)設(shè)備需使用靜態(tài)IP地址建立IPsec-VPN連接,并確保對(duì)端網(wǎng)關(guān)設(shè)備使用的靜態(tài)IP地址與阿里云側(cè)用戶網(wǎng)關(guān)實(shí)例配置的IP地址相同。 |
IPsec連接狀態(tài)為“第二階段協(xié)商成功”,但I(xiàn)Psec連接協(xié)商狀態(tài)間歇性變?yōu)槭≡趺崔k?
產(chǎn)生當(dāng)前問(wèn)題的可能原因及解決方案請(qǐng)參見(jiàn)下表。
原因分類 | 原因 | 解決方案 |
IPsec-VPN配置變更 | IPsec連接及其對(duì)端網(wǎng)關(guān)設(shè)備在IPsec配置階段DH分組參數(shù)(部分本地網(wǎng)關(guān)設(shè)備稱為PFS)的配置不一致。 | 請(qǐng)排查IPsec連接或者對(duì)端網(wǎng)關(guān)設(shè)備在IPsec配置階段的DH分組參數(shù)(PFS)的配置,使兩端的DH分組參數(shù)(PFS)的值配置相同。關(guān)于如何修改IPsec連接的配置,請(qǐng)參見(jiàn)修改IPsec連接。 |
對(duì)端網(wǎng)關(guān)設(shè)備的IPsec-VPN配置中,某個(gè)參數(shù)被指定了多個(gè)值。 例如配置對(duì)端網(wǎng)關(guān)設(shè)備時(shí),指定IKE配置階段加密算法的值為aes、aes192。 | 在阿里云側(cè)配置IPsec連接時(shí),每個(gè)參數(shù)僅支持指定一個(gè)值。請(qǐng)排查對(duì)端網(wǎng)關(guān)設(shè)備的IPsec-VPN配置,確保每個(gè)參數(shù)也僅指定了一個(gè)值,且與IPsec連接的值相同。 | |
對(duì)端網(wǎng)關(guān)設(shè)備配置了基于流量的SA生存周期。 | 阿里云側(cè)的IPsec連接不支持配置基于流量的SA生存周期,僅支持配置基于時(shí)間的SA生存周期。建議對(duì)端網(wǎng)關(guān)設(shè)備不配置基于流量的SA生存周期或者將基于流量的SA生存周期配置為0字節(jié)。 | |
網(wǎng)絡(luò)質(zhì)量不佳 | 由于IPsec連接和對(duì)端網(wǎng)關(guān)設(shè)備之間的網(wǎng)絡(luò)質(zhì)量不佳,造成DPD協(xié)議報(bào)文、健康檢查探測(cè)報(bào)文或IPsec協(xié)議報(bào)文丟失后超時(shí),導(dǎo)致IPsec-VPN連接中斷。 | 請(qǐng)排查IPsec-VPN連接中斷時(shí)間點(diǎn)的網(wǎng)絡(luò)連通性。 |
IPsec連接對(duì)端限制 | IPsec連接對(duì)端廠商限制,需要有數(shù)據(jù)流量時(shí)才能觸發(fā)IPsec協(xié)議協(xié)商。 | 請(qǐng)確認(rèn)IPsec連接對(duì)端VPN網(wǎng)關(guān)是否存在此使用限制。 如果存在此限制,請(qǐng)向?qū)Χ藦S商咨詢?nèi)绾斡|發(fā)IPsec協(xié)議協(xié)商。 |
在建立雙隧道模式的IPsec-VPN連接時(shí),阿里云側(cè)IPsec連接使用了感興趣流模式,兩條隧道的感興趣流默認(rèn)相同,而IPsec連接對(duì)端網(wǎng)關(guān)設(shè)備可能存在相關(guān)限制(例如思科ASA防火墻設(shè)備),兩條隧道感興趣流相同的情況下僅一條隧道能協(xié)商成功,且兩條隧道輪流協(xié)商成功。 | 請(qǐng)和相關(guān)廠商確認(rèn)IPsec連接對(duì)端網(wǎng)關(guān)設(shè)備是否存在此限制。 如果存在此限制,請(qǐng)參見(jiàn)本地網(wǎng)關(guān)設(shè)備配置示例修改IPsec連接對(duì)端網(wǎng)關(guān)設(shè)備的IPsec-VPN配置。 |
IPsec連接狀態(tài)為“第二階段協(xié)商成功”,但BGP路由協(xié)議的協(xié)商狀態(tài)為“異常”怎么辦?
產(chǎn)生當(dāng)前問(wèn)題的可能原因及解決方案請(qǐng)參見(jiàn)下表。
原因分類 | 原因 | 解決方案 |
BGP配置不正確 | 對(duì)端網(wǎng)關(guān)設(shè)備未配置正確的BGP IP地址。 | 請(qǐng)排查IPsec連接及其對(duì)端網(wǎng)關(guān)設(shè)備的BGP配置,確保IPsec連接的BGP IP地址和對(duì)端網(wǎng)關(guān)設(shè)備的BGP IP地址在相同的網(wǎng)段內(nèi),且互不沖突。 BGP IP地址所屬網(wǎng)段需是一個(gè)位于169.254.0.0/16網(wǎng)段內(nèi),子網(wǎng)掩碼長(zhǎng)度為30的網(wǎng)段。 |
IPsec-VPN連接相關(guān)問(wèn)題 | 由于IPsec-VPN連接的連通性異常,導(dǎo)致IPsec連接側(cè)無(wú)法收到對(duì)端網(wǎng)關(guān)設(shè)備的BGP協(xié)議報(bào)文。 | 請(qǐng)排查IPsec-VPN連接的連通性,并確認(rèn)IPsec連接側(cè)是否有收到對(duì)端網(wǎng)關(guān)設(shè)備的BGP協(xié)議報(bào)文。 您可以在IPsec連接下查看流量監(jiān)控?cái)?shù)據(jù),如果當(dāng)前系統(tǒng)并未監(jiān)控到任何傳入流量記錄,則說(shuō)明IPsec連接側(cè)未收到對(duì)端網(wǎng)關(guān)設(shè)備的BGP協(xié)議報(bào)文。 |
IPsec連接協(xié)商狀態(tài)有中斷。 | 請(qǐng)根據(jù)IPsec連接的日志排查IPsec連接是否一直處于“第二階段協(xié)商成功”的狀態(tài)。 如果IPsec連接協(xié)商狀態(tài)不穩(wěn)定,請(qǐng)根據(jù)日志信息排查IPsec連接的問(wèn)題。具體操作,請(qǐng)參見(jiàn)自主排查IPsec-VPN連接問(wèn)題。 |
IPsec連接狀態(tài)為“第二階段協(xié)商成功”,但健康檢查失敗怎么辦?
產(chǎn)生當(dāng)前問(wèn)題的可能原因及解決方案請(qǐng)參見(jiàn)下表。
原因分類 | 原因 | 解決方案 |
健康檢查目標(biāo)IP地址問(wèn)題 | 健康檢查目標(biāo)IP地址無(wú)法訪問(wèn)。 | 請(qǐng)?jiān)谀繕?biāo)IP地址關(guān)聯(lián)的主機(jī)上使用目標(biāo)IP地址通過(guò) 如果目標(biāo)IP地址無(wú)法正常訪問(wèn)源IP地址,請(qǐng)確認(rèn)目標(biāo)IP地址是否配置正確。 |
健康檢查目標(biāo)IP地址關(guān)聯(lián)的主機(jī)工作異常,無(wú)法及時(shí)響應(yīng)IPsec連接發(fā)出的探測(cè)報(bào)文(ICMP報(bào)文)。 | 請(qǐng)排查目標(biāo)IP地址關(guān)聯(lián)的主機(jī)是否正常。具體操作,請(qǐng)咨詢網(wǎng)關(guān)設(shè)備所屬?gòu)S商。 | |
健康檢查目標(biāo)IP地址關(guān)聯(lián)的路由配置和安全策略有變更。 比如安全策略未放行健康檢查的源IP地址、目標(biāo)IP地址或ICMP協(xié)議類型的報(bào)文。 | 請(qǐng)?jiān)趯?duì)端網(wǎng)關(guān)設(shè)備側(cè)排查目標(biāo)IP地址關(guān)聯(lián)的路由配置以及安全策略,確保:
| |
健康檢查目標(biāo)IP地址并未從原路徑(指目標(biāo)IP地址接收探測(cè)報(bào)文的路徑)對(duì)健康檢查的探測(cè)報(bào)文做出響應(yīng)。 | 請(qǐng)通過(guò) | |
IPsec-VPN連接相關(guān)問(wèn)題 | IPsec連接協(xié)商狀態(tài)有中斷。 | 請(qǐng)根據(jù)IPsec連接的日志排查IPsec連接是否一直處于“第二階段協(xié)商成功”的狀態(tài)。 如果IPsec連接協(xié)商狀態(tài)不穩(wěn)定,請(qǐng)根據(jù)日志信息排查IPsec連接的問(wèn)題。具體操作,請(qǐng)參見(jiàn)自主排查IPsec-VPN連接問(wèn)題。 說(shuō)明 IPsec連接健康檢查失敗后系統(tǒng)會(huì)重置IPsec隧道,在非主備IPsec-VPN連接的應(yīng)用場(chǎng)景下,不推薦您為IPsec連接配置健康檢查,您可以為IPsec連接開(kāi)啟DPD功能來(lái)探測(cè)對(duì)端的連通性。 關(guān)于主備IPsec-VPN連接的應(yīng)用場(chǎng)景,請(qǐng)參見(jiàn)基于多個(gè)公網(wǎng)IP地址建立高可用的IPsec-VPN連接(主備鏈路)和高可用-雙用戶網(wǎng)關(guān)。 |
為什么IPsec連接狀態(tài)為“第二階段協(xié)商成功”,但VPC內(nèi)的ECS實(shí)例無(wú)法訪問(wèn)本地?cái)?shù)據(jù)中心內(nèi)的服務(wù)器?
原因
VPC的路由配置、安全組規(guī)則或本地?cái)?shù)據(jù)中心的路由配置、訪問(wèn)控制策略未允許VPC內(nèi)的ECS實(shí)例訪問(wèn)本地?cái)?shù)據(jù)中心內(nèi)的服務(wù)器。
解決方案
請(qǐng)參見(jiàn)以下信息排查相關(guān)配置:
VPC
排查VPC路由表中的路由配置。確保VPC路由表內(nèi)已配置了相關(guān)路由使ECS實(shí)例可以訪問(wèn)本地?cái)?shù)據(jù)中心的服務(wù)器。
排查VPC應(yīng)用的安全組規(guī)則。確保安全組規(guī)則允許ECS實(shí)例和服務(wù)器之間互相訪問(wèn)。
本地?cái)?shù)據(jù)中心
排查本地?cái)?shù)據(jù)中心的路由配置。確保本地?cái)?shù)據(jù)中心已配置了相關(guān)路由使服務(wù)器可以對(duì)ECS實(shí)例做出應(yīng)答。
排查本地?cái)?shù)據(jù)中心的訪問(wèn)控制策略。確保本地?cái)?shù)據(jù)中心允許ECS實(shí)例和服務(wù)器互相訪問(wèn)。
如果本地?cái)?shù)據(jù)中心內(nèi)存在將公網(wǎng)IP地址作為私有IP地址使用的情況,您需要將公網(wǎng)IP的網(wǎng)段設(shè)置為VPC的用戶網(wǎng)段,以確保VPC可以訪問(wèn)到該公網(wǎng)網(wǎng)段。關(guān)于用戶網(wǎng)段的更多信息,請(qǐng)參見(jiàn)什么是用戶網(wǎng)段?和如何配置用戶網(wǎng)段?。
為什么IPsec連接狀態(tài)為“第二階段協(xié)商成功”,但本地?cái)?shù)據(jù)中心內(nèi)的服務(wù)器無(wú)法訪問(wèn)VPC內(nèi)的ECS實(shí)例?
原因
VPC的路由配置、安全組規(guī)則或本地?cái)?shù)據(jù)中心的路由配置、訪問(wèn)控制策略未允許本地?cái)?shù)據(jù)中心內(nèi)的服務(wù)器訪問(wèn)VPC內(nèi)的ECS實(shí)例。
解決方案
請(qǐng)參見(jiàn)以下信息排查相關(guān)配置:
VPC
排查VPC路由表中的路由配置。確保VPC路由表內(nèi)已配置了相關(guān)路由使ECS實(shí)例可以對(duì)服務(wù)器的訪問(wèn)做出應(yīng)答。
排查VPC應(yīng)用的安全組規(guī)則。確保安全組規(guī)則允許ECS實(shí)例和服務(wù)器之間互相訪問(wèn)。
本地?cái)?shù)據(jù)中心
排查本地?cái)?shù)據(jù)中心的路由配置。確保本地?cái)?shù)據(jù)中心已配置了相關(guān)路由使服務(wù)器可以通過(guò)IPsec-VPN連接訪問(wèn)ECS實(shí)例。
排查本地?cái)?shù)據(jù)中心的訪問(wèn)控制策略。確保本地?cái)?shù)據(jù)中心允許ECS實(shí)例和服務(wù)器互相訪問(wèn)。
為什么IPsec連接狀態(tài)為“第二階段協(xié)商成功”,但是多網(wǎng)段場(chǎng)景下部分網(wǎng)段通信正常,部分網(wǎng)段通信不正常?
原因
在使用IPsec-VPN連接實(shí)現(xiàn)本地?cái)?shù)據(jù)中心和VPC(Virtual Private Cloud)互通的場(chǎng)景中,如果VPN網(wǎng)關(guān)與思科、華三、華為等傳統(tǒng)廠商的設(shè)備對(duì)接,在IPsec連接使用感興趣流的路由模式且配置了多網(wǎng)段的情況下,僅一個(gè)網(wǎng)段可以互通,其余網(wǎng)段不通。
當(dāng)前現(xiàn)象是阿里云VPN網(wǎng)關(guān)與思科、華三、華為等傳統(tǒng)廠商的設(shè)備對(duì)接時(shí),兩端IPsec協(xié)議不兼容導(dǎo)致的。在IPsec連接配置多網(wǎng)段的情況下,阿里云VPN網(wǎng)關(guān)使用一個(gè)SA(Security Association)與對(duì)端的網(wǎng)關(guān)設(shè)備協(xié)商,而對(duì)端的網(wǎng)關(guān)設(shè)備在多網(wǎng)段的情況下會(huì)使用多SA與VPN網(wǎng)關(guān)協(xié)商。
解決方案
請(qǐng)參見(jiàn)多網(wǎng)段配置方案推薦。
為什么IPsec連接狀態(tài)為“第二階段協(xié)商成功”,但I(xiàn)Psec-VPN連接單向不通?
原因
在IPsec連接的對(duì)端網(wǎng)關(guān)設(shè)備使用的是華為防火墻的情況下,如果對(duì)端網(wǎng)關(guān)設(shè)備的出接口配置了nat enable,將會(huì)導(dǎo)致從該接口發(fā)出的所有數(shù)據(jù)包的源IP地址都被轉(zhuǎn)換為該接口的IP地址,導(dǎo)致IPsec-VPN連接單向不通。
解決方案
運(yùn)行
nat disable命令,關(guān)閉出接口的NAT功能。配置NAT策略。
nat-policy interzone trust untrust outbound policy 0 action no-nat policy source 192.168.0.0 mask 24 policy destination 192.168.1.0 mask 24 policy 1 action source-nat policy source 192.168.0.0 mask 24 easy-ip Dialer0其中:
192.168.0.0:網(wǎng)關(guān)設(shè)備的私網(wǎng)網(wǎng)段。
192.168.1.0:VPC的私網(wǎng)網(wǎng)段。
Dialer0:網(wǎng)關(guān)設(shè)備的出接口。
為什么IPsec連接狀態(tài)為“第二階段協(xié)商成功”,可ping通但業(yè)務(wù)訪問(wèn)不通或部分端口號(hào)訪問(wèn)不通?
原因
VPC應(yīng)用的安全組規(guī)則或本地?cái)?shù)據(jù)中心應(yīng)用的訪問(wèn)控制策略未放行對(duì)應(yīng)的IP地址、協(xié)議類型和端口號(hào)。
解決方案
請(qǐng)參見(jiàn)以下信息排查相關(guān)配置:
排查VPC應(yīng)用的安全組規(guī)則。確保安全組規(guī)則已放行本地?cái)?shù)據(jù)中心和VPC之間需要互通的IP地址、協(xié)議類型和端口號(hào)。
排查本地?cái)?shù)據(jù)中心應(yīng)用的訪問(wèn)控制策略。確保訪問(wèn)控制策略已放行本地?cái)?shù)據(jù)中心和VPC之間需要互通的IP地址、協(xié)議類型和端口號(hào)。
如果本地?cái)?shù)據(jù)中心側(cè)有業(yè)務(wù)策略、域名解析等配置建議一并排查。確保本地?cái)?shù)據(jù)中心和VPC之間需要互通的IP地址、協(xié)議類型和端口號(hào)已放行。
為什么IPsec連接狀態(tài)為“第二階段協(xié)商成功”,但私網(wǎng)訪問(wèn)時(shí)出現(xiàn)丟包現(xiàn)象,且時(shí)通時(shí)不通?
產(chǎn)生當(dāng)前問(wèn)題的可能原因及解決方案請(qǐng)參見(jiàn)下表。
原因分類 | 原因 | 解決方案 |
VPN網(wǎng)關(guān)規(guī)格問(wèn)題 | 在流量互通過(guò)程中出現(xiàn)流量突發(fā)的情況超過(guò)了VPN網(wǎng)關(guān)實(shí)例的帶寬規(guī)格。 您可以在VPN網(wǎng)關(guān)管理控制臺(tái)查看VPN網(wǎng)關(guān)實(shí)例的流量監(jiān)控信息確認(rèn)是否有流量突發(fā)的情況。 | 您可以對(duì)VPN實(shí)例進(jìn)行升配或進(jìn)行臨時(shí)升配。具體操作,請(qǐng)參見(jiàn)變配VPN網(wǎng)關(guān)實(shí)例。 |
IPsec-VPN連接相關(guān)問(wèn)題 | IPsec連接協(xié)商狀態(tài)有中斷。 | 請(qǐng)根據(jù)IPsec連接的日志信息排查IPsec連接是否一直處于“第二階段協(xié)商成功”的狀態(tài)。 如果IPsec連接協(xié)商狀態(tài)不穩(wěn)定,隧道頻繁重新協(xié)商導(dǎo)致網(wǎng)絡(luò)間歇性中斷,請(qǐng)根據(jù)日志信息排查IPsec連接的問(wèn)題。具體操作,請(qǐng)參見(jiàn)自主排查IPsec-VPN連接問(wèn)題。 |
MTU相關(guān)問(wèn)題 | 本地?cái)?shù)據(jù)中心用戶MTU配置超過(guò)1300字節(jié)(不包含1300字節(jié))。 | 對(duì)于2021年04月01日之前創(chuàng)建的VPN網(wǎng)關(guān),如果配置本地?cái)?shù)據(jù)中心的用戶MTU大于1300字節(jié)(不包含1300字節(jié)),則可能存在IPsec-VPN連接不通的問(wèn)題,建議您將VPN網(wǎng)關(guān)升級(jí)至最新版本以規(guī)避該問(wèn)題。關(guān)于如何升級(jí)VPN網(wǎng)關(guān),請(qǐng)參見(jiàn)升級(jí)VPN網(wǎng)關(guān)。 |
在流量傳輸過(guò)程中,流量報(bào)文過(guò)大超過(guò)了傳輸路徑中的MTU值,導(dǎo)致報(bào)文被分片傳輸。 | VPN網(wǎng)關(guān)只支持傳輸已經(jīng)分片的數(shù)據(jù)包,不支持對(duì)數(shù)據(jù)包分片及數(shù)據(jù)包分片重組。推薦用戶MTU設(shè)置為1399字節(jié)。更多信息,請(qǐng)參見(jiàn)MTU配置說(shuō)明。 |
為什么IPsec連接狀態(tài)為“第二階段協(xié)商成功”,私網(wǎng)訪問(wèn)正常但轉(zhuǎn)發(fā)延遲高?
產(chǎn)生當(dāng)前問(wèn)題的可能原因及解決方案請(qǐng)參見(jiàn)下表。
原因分類 | 原因 | 解決方案 |
VPN網(wǎng)關(guān)規(guī)格問(wèn)題 | 在流量互通過(guò)程中出現(xiàn)流量突發(fā)的情況超過(guò)了VPN網(wǎng)關(guān)實(shí)例的帶寬規(guī)格。 您可以在VPN網(wǎng)關(guān)管理控制臺(tái)查看VPN網(wǎng)關(guān)實(shí)例的流量監(jiān)控信息確認(rèn)是否有流量突發(fā)的情況。 | 您可以對(duì)VPN實(shí)例進(jìn)行升配或進(jìn)行臨時(shí)升配。具體操作,請(qǐng)參見(jiàn)變配VPN網(wǎng)關(guān)實(shí)例。 |
網(wǎng)絡(luò)質(zhì)量不佳 | 由于IPsec連接和對(duì)端網(wǎng)關(guān)設(shè)備之間的網(wǎng)絡(luò)質(zhì)量不佳,造成流量互通過(guò)程中網(wǎng)絡(luò)延遲大以及丟包。 | 請(qǐng)使用 若探測(cè)到網(wǎng)絡(luò)延遲高,可分段式探測(cè)快速縮小探查范圍。若探測(cè)到公網(wǎng)鏈路質(zhì)量不佳,建議使用云企業(yè)網(wǎng)等其他云產(chǎn)品。 |
為什么云上云下配置的感興趣流不一樣,IPsec-VPN連接也能協(xié)商成功?
原因
如下圖所示,本地網(wǎng)關(guān)設(shè)備配置的感興趣流網(wǎng)段和IPsec連接配置的感興趣流網(wǎng)段存在包含關(guān)系,且兩端均使用IKEv2版本,則在進(jìn)行IPsec協(xié)商時(shí),阿里云VPN網(wǎng)關(guān)會(huì)認(rèn)為兩端的感興趣流匹配,如果本地網(wǎng)關(guān)設(shè)備也支持包含關(guān)系(即認(rèn)為存在包含關(guān)系的感興趣流互相匹配),則會(huì)產(chǎn)生云上云下配置的感興趣流不一樣,但I(xiàn)Psec-VPN連接也能協(xié)商成功的現(xiàn)象。
例如本地網(wǎng)關(guān)設(shè)備1支持包含關(guān)系,本地網(wǎng)關(guān)設(shè)備1和IPsec連接1、IPsec連接2進(jìn)行協(xié)商時(shí),本地網(wǎng)關(guān)設(shè)備1上的本端網(wǎng)段10.55.0.0/16包含IPsec連接1的對(duì)端網(wǎng)段10.55.193.0/24、IPsec連接2的對(duì)端網(wǎng)段10.55.0.0/16;本地網(wǎng)關(guān)設(shè)備1的對(duì)端網(wǎng)段10.66.88.0/22包含IPsec連接1的本端網(wǎng)段10.66.90.0/24、IPsec連接2的本端網(wǎng)段10.66.89.0/24,則本地網(wǎng)關(guān)設(shè)備1、阿里云VPN網(wǎng)關(guān)均會(huì)認(rèn)為感興趣流互相匹配,本地網(wǎng)關(guān)設(shè)備1和IPsec連接1、IPsec連接2均能協(xié)商成功。
如果本地網(wǎng)關(guān)設(shè)備不支持包含關(guān)系(即認(rèn)為存在包含關(guān)系的感興趣流不互相匹配),則IPsec-VPN連接無(wú)法協(xié)商成功。請(qǐng)和本地網(wǎng)關(guān)設(shè)備所屬?gòu)S商確認(rèn)本地網(wǎng)關(guān)設(shè)備是否支持包含關(guān)系。
如果本地網(wǎng)關(guān)設(shè)備和IPsec連接均使用IKEv1版本,則兩端的感興趣流必須完全一致(不能存在包含關(guān)系),IPsec-VPN連接才能協(xié)商成功。
可能的影響
如上圖所示,如果在一個(gè)VPN網(wǎng)關(guān)實(shí)例下存在多個(gè)IPsec連接,多個(gè)IPsec連接的感興趣流網(wǎng)段存在包含關(guān)系,則可能會(huì)導(dǎo)致流量無(wú)法按照期望的路徑轉(zhuǎn)發(fā)。
對(duì)于配置了感興趣流模式的IPsec連接,在IPsec連接創(chuàng)建完成后,系統(tǒng)默認(rèn)會(huì)在VPN網(wǎng)關(guān)實(shí)例的策略路由表下添加相關(guān)路由,每條路由的策略優(yōu)先級(jí)相同。上圖場(chǎng)景中系統(tǒng)將在VPN網(wǎng)關(guān)實(shí)例的策略路由表下默認(rèn)添加以下路由:
路由條目名稱 | 源網(wǎng)段 | 目標(biāo)網(wǎng)段 | 下一跳 | 權(quán)重 | 策略優(yōu)先級(jí) |
路由條目1 | 10.66.90.0/24 | 10.55.193.0/24 | IPsec連接1 | 100 | 10 |
路由條目2 | 10.66.89.0/24 | 10.55.0.0/16 | IPsec連接2 | 100 | 10 |
路由條目3 | 10.66.90.0/24 | 10.55.178.0/24 | IPsec連接3 | 100 | 10 |
路由條目4 | 10.66.88.0/24 | 10.55.0.0/16 | IPsec連接4 | 100 | 10 |
根據(jù)策略路由匹配規(guī)則,在策略優(yōu)先級(jí)相同的場(chǎng)景下,系統(tǒng)會(huì)按照策略路由的順序逐條匹配路由,一旦能夠匹配到策略路由,立即按照當(dāng)前策略路由轉(zhuǎn)發(fā)流量。策略路由的順序由策略路由被下發(fā)至系統(tǒng)的時(shí)間決定。通常是先配置的策略路由被優(yōu)先下發(fā)至系統(tǒng),但當(dāng)前情況無(wú)法完全保證,因此有可能存在后配置的策略路由被優(yōu)先下發(fā)至系統(tǒng),造成后配置的策略路由的優(yōu)先級(jí)高于先配置的策略路由的優(yōu)先級(jí)。
按照上圖場(chǎng)景,有可能會(huì)出現(xiàn)本地?cái)?shù)據(jù)中心通過(guò)IPsec-VPN連接1向VPC發(fā)送請(qǐng)求報(bào)文,VPC通過(guò)IPsec-VPN連接4向本地?cái)?shù)據(jù)中心發(fā)送回復(fù)報(bào)文,因?yàn)槁酚蓷l目4可能會(huì)被優(yōu)先下發(fā)至系統(tǒng),導(dǎo)致路由條目4的優(yōu)先級(jí)高于路由條目1。
解決方案
避免為本地網(wǎng)關(guān)設(shè)備和IPsec連接添加存在包含關(guān)系的感興趣流網(wǎng)段,推薦為兩端添加完全匹配的感興趣流網(wǎng)段,該方式可以提高IPsec-VPN連接的穩(wěn)定性。
創(chuàng)建IPsec連接時(shí),盡量添加精確的感興趣流網(wǎng)段,確保VPN網(wǎng)關(guān)實(shí)例下的多個(gè)IPsec連接的感興趣流網(wǎng)段沒(méi)有重疊。
為每條策略路由配置不同的策略優(yōu)先級(jí)和權(quán)重值以保證流量?jī)H可匹配到一條策略路由。
如果您的VPN網(wǎng)關(guān)實(shí)例不支持配置策略優(yōu)先級(jí),可對(duì)VPN網(wǎng)關(guān)實(shí)例進(jìn)行升級(jí),升級(jí)后的VPN網(wǎng)關(guān)實(shí)例默認(rèn)支持為策略路由配置策略優(yōu)先級(jí)。具體操作,請(qǐng)參見(jiàn)升級(jí)VPN網(wǎng)關(guān)。