文档首页 > > 故障排除>

常规检查项

常规检查项

分享
更新时间:2021/01/28 GMT+08:00

用户在华为云VPN产品使用过程中,通常会出现由于配置错误(华为云侧或用户侧协商策略、防火墙、路由表、域间策略、NAT配置、安全组等信息配置)而导致连接故障或无法PING通。

通常可使用以下方式排除故障:

检查VPN两侧协商信息

  • 确认PSK共享密钥是否一致。
  • 确认IKE策略、IPsec策略协商参数是否一致。
  • 确认两侧的本地子网和远端子网配置是否互为镜像。

检查客户防火墙ACL和云端安全组配置

  • 确认放行去往华为云VPC子网的数据流。
  • 确认放行来自华为云VPC子网的数据流。

检查防火墙路由表

确认存在目标地址为华为云VPC子网的路由信息:

  • 确认配置去往华为云目标网络的路由信息,路由表或VPN路由表中存在路由信息。
  • 确认路由转发表状态正常。

    路由易错配置:

    1. 目的网段与华为云VPC网段不一致,导致前往华为云的流量无法路由到配置ipsec策略的公网口。
    2. 配置静态路由时指定出接口,而非指定下一跳。

      在ethernet类型的网络中,出接口会因为无法学习到对端的ARP信息而导致路由转发失败。

    3. 将路由的下一跳地址指定为华为云端的VPN网关地址。

      部分友商设备会因为路由信息无法自动迭代而不可行;由于VPN流量是要从公网口发出的,因此下一跳地址必须是运营商提供的网关地址。

      以cisco为例,可以这样配置 :

      ip route :192.168.1.0; 255.255.255.0; a.b.c.d

      其中192.168.1.0/24是华为云VPC网段,a.b.c.d是运营商提供的网关地址。

检查客户防火墙域间策略

  • trust到untrust:放行本地VPC到云上VPC子网访问策略。
  • untrust到trust:放行云上VPC到本地VPC子网访问策略。

检查防火墙NAT配置

确认本地VPN网关是否在NAT设备后(一般是边界防火墙)进行部署,即VPN网关的出接口使用私有地址,然后在NAT设备上做公网地址转换。

这种场景也被称为ipsec nat穿越。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区论坛频道来与我们联系探讨

智能客服提问云社区提问