網絡診斷能力介紹

內網訪問網絡診斷能力主要是為了幫助您，診斷當前企業的網絡是否通過SASE集群與企業辦公應用的網絡通道打通，并提供可視化的鏈路展示。當企業的網絡的通路存在異常，可以根據可視化的網絡鏈路圖和問題描述信息，定位到具體的問題并進行網絡排查。

支持配置全鏈路的網絡診斷和應用的網絡診斷：

• 全鏈路診斷：診斷安裝并登錄SASE客戶端的企業員工的辦公終端，通過SASE集群的POP接入點與辦公應用所在的源站服務器進行網絡通信。

  

• 應用診斷：只診斷SASE集群的POP接入點與辦公應用所在的源站服務器進行網絡通信。

  

前提條件

• 企業辦公終端安裝的SASE App的版本不低于4.4.1。

• 已根據業務形態打通網絡通道。具體操作，請參見：

  • 業務資源部署在VPC實例（未關聯CEN場景）

  • 業務資源部署在VPC實例（關聯CEN場景）

  • 使用SASE連接器

  • 使用阿里云其他網絡實例（VBR、CCN、VPN網關）

• 已添加需要管控的辦公應用。具體步驟，請參見配置辦公應用。

• 已配置零信任策略。具體步驟，請參見配置零信任策略。

創建診斷任務

1. 登錄辦公安全平臺控制臺。

2. 在左側導航欄，選擇內網訪問 > 網絡診斷。

3. 在網絡診斷頁面，單擊創建任務。在創建診斷任務面板，根據下表介紹配置相關字段。

   配置項	說明
   任務類型	支持配置兩種診斷鏈路，根據業務情況選擇適合的一種即可。 全鏈路診斷：診斷企業員工的辦公終端與源站服務器之間全鏈路的網絡通信情況。 應用診斷：只診斷SASE的POP集群與源站服務器之間的網絡通信情況。應用診斷時，零信任策略配置的安全基線在診斷過程中不生效。
   任務對象	配置任務的診斷對象，包含人員范圍和應用。 具體設備或者用戶組 如果您使用全鏈路診斷，您的任務對象是具體的企業員工，所以需要選擇具體設備。 如果您使用應用診斷，由于應用的策略下發粒度是用戶組，所以您需要選擇某個用戶組。 應用協議：當前支持的應用協議為TCP和UDP。 應用地址 如果您的應用協議為UDP，除了填寫應用地址和端口外，還可以配置探測請求和返回結果，用來驗證您的數據包是否傳到目標源站服務器，并且獲取到設置的目標源站服務器的返回結果。如果不填寫探測請求，SASE會自動發送預設的請求。而如不填寫返回結果，則會接受任何返回結果。
   接入點	SASE集群的POP接入點。建議您選擇距離目標源站服務器（業務服務器）最近的接入點，以減少網絡時延。 全鏈路診斷時支持自動選路，而應用診斷則需手動指定POP接入點。

4. 單擊確定。網絡診斷任務創建成功后，會自動執行。

查看診斷結果

1. 待任務執行完成后，單擊操作列查看，可以查看網絡診斷的結果。

   

2. 如果網絡的通路存在異常，您可以根據可視化的網絡鏈路圖和問題提示信息，定位到具體的問題并進行網絡排查。

   

3. 待問題解決后，您可以單擊操作列重試，對該任務重新診斷。

刪除診斷任務

如果您的業務不再需要該診斷任務，可以單擊操作列刪除，將診斷任務數據刪除掉。