产品动态
产品公告
VPN 通道已联通但实际内网不通
现象描述
使用 VPN 连接建立 VPC 与 IDC 的通信,VPN 通道显示为已联通状态,但内网无法联通,
可能原因
通道状态正常但内网却无法联通,可能原因如下:
VPC 子网路由表未添加指向 IDC 侧内网网段的路由
VPC/IDC 侧的安全策略未放通对应源 IP、目的 IP
VPN 网关未添加指向 IDC 侧内网网段的通道(路由型)
VPC/IDC 侧的内网服务器操作系统的防火墙未放行对端网段
VPC/IDC 侧的 SPD 策略未包含该源 IP、目的 IP
VPN 网关未配置路由策略
处理步骤
1. 检查 VPC 子网路由表中,是否有目的地址为 IDC 侧内网网段,下一跳地址为对应 VPN 网关的路由,同时检查 IDC 侧是否有目的地址为 VPC 网段,下一跳地址为对应 VPN 隧道的路由。
进入 VPC 子网路由表 ,单击路由表 ID,进入详情界面检查。
1. IDC 侧执行命令检查路由情况(以华为设备为例):
display ip routing-table //查看是否有对应目的地址为云上 VPC 网段,下一跳为对应 VPN 隧道的路由
若是,请执行 步骤3。
若否,请根据业务需求,补全相应路由信息,再执行 步骤2。
2. 检查通信是否恢复正常,即登录 VPC/IDC 中的一台服务器,ping 对端服务器内网 IP。
说明:
若是,通信正常,问题解决,结束。
若否,请执行 步骤3。
3. 检查
VPC 中服务器关
联的安全组和子网关联的网络 ACL 是否放通来自云下 IDC 的流量,同时检查 IDC 侧是否放通来自云上 VPC 的流量。
进入 VPC 中服务器安全组 界面,单击安全组 ID,进入“安全组规则”页检查:
进入 VPC 子网 ACL 规则 ,单击网络 ACL ID,进入“基本信息”页,单击“入站规则”页签检查:4. IDC 侧安全策略检查(此处以华为防火墙为例):
display current-configuration configuration security-policy
若是,请执行 步骤5。
若否,请放通安全组/网络 ACL/IDC 侧安全设备需要互通的内网地址段,再执行 步骤4。
5. 检查通信是否恢复正常,即登录 VPC/IDC 中的一台服务器,ping 对端服务器内网 IP。
若是,通信正常,问题解决,结束。
若否,请执行 步骤5。
6. 分别检查 VPC 中云服务器和 IDC 侧内网服务器操作系统自带防火墙,是否有放通对端网段的策略。
Linux 服务器查看防火墙:
iptables --list
Windows 服务器查看防火墙:控制面板/系统和安全/Windows 防火墙/允许的应用若是,请执行 步骤7。
若否,请在内网机器防火墙中放通需要联通的业务网段,再执行 步骤6。
7. 检查通信是否恢复正常,即登录 VPC/IDC 中的一台服务器,ping 对端服务器内网 IP。
若是,通信正常,问题解决,结束。
若否,请执行 步骤7。
8.
分别
检查 VPC 和 IDC 侧的 VPN 通道的感兴趣流(SPD 策略)是否包含需要互通的内网网段。9. 进入 VPC 侧 SPD 策略,单击 VPN 通道 ID,进入“基本信息”页,即可检查 SPD 策略:
10. IDC 侧 SPD 策略检查(此处以华为防火墙为例):
display current-configuration configuration acl
若是,请执行 步骤8 。
若否,请补充缺失的 SPD 策略,再执行 步骤8。
11. 检查 VPN 网关的路由表中是否包含对应的路由策略。进入 VPN 网关,单击 VPN 网关 ID,进入“路由表”页,即可检查路由策略。
若是,请执行 步骤9。
若否,请在 VPN 网关 > 路由页签指定下一跳,再执行 步骤9。
12. 检查通信是否恢复正常,即登录 VPC/IDC 中的一台服务器,ping 对端服务器内网 IP。
若是,通信正常,问题解决,结束。
若否,请执行 步骤10 。
13.
请收
集以上检查信息,并 提交工单 或联系设备厂商跟进处理。文档反馈