診斷項分類

診斷項

診斷項說明

配置診斷

實例配置檢查

檢查VPN網關實例是否處于配置狀態。

如果VPN網關實例處于配置狀態，請等待VPN網關實例變為正常狀態后再操作。

版本檢查

檢查VPN網關實例的版本是否為最新版本。

建議您將VPN網關版本自助升級至最新版以體驗更多功能。具體操作，請參見升級VPN網關。

隧道協商狀態檢查

檢查VPN網關實例下每個IPsec連接第一階段和第二階段的協商狀態。

如果系統檢測到IPsec連接協商狀態異常，您可以根據控制臺提供的建議排查問題或參見相關文檔排查問題。更多信息，請參見自主排查IPsec-VPN連接問題。

VPN隧道配置完整性檢查

檢查VPN網關實例下IPsec-VPN連接是否已經完成IPsec連接的配置。

如果系統檢測到VPN網關實例缺少配置，請您根據網絡互通需求添加相關配置，配置IPsec連接，請參見創建和管理IPsec連接（單隧道模式）或創建和管理IPsec連接（雙隧道模式）。

系統網段沖突檢查

檢查VPN網關實例策略路由、目的路由和BGP路由的目標網段是否與100.64.0.0/10網段沖突。

100.64.0.0/10是阿里云系統網段，需確保VPN網關實例下策略路由、目的路由和BGP路由的目標網段不與100.64.0.0/10（包含其子網）網段沖突，否則會造成VPN網關實例無法正常工作。

如果系統檢測到系統網段沖突，請修改網段配置或使用NAT網關產品進行地址轉換。更多信息，請參見VPC NAT網關聯動VPN網關實現云上與云下私網互訪。

BGP一致性檢查

檢查IPsec連接是否存在第二階段協商成功但BGP協議協商失敗的情況。

如果系統檢測到IPsec連接存在上述情況，請排查IPsec連接BGP配置及BGP協議報文收發情況。更多信息，請參見IPsec連接狀態為“第二階段協商成功”，但BGP路由協議的協商狀態為“異?！痹趺崔k？。

IPsec共享一階段檢查

檢查在多個IPsec連接共享一階段的情況下，多個IPsec連接的相關配置是否相同。

如果一個VPN網關實例下存在多個IPsec連接，多個IPsec連接關聯相同的用戶網關，且多個IPsec連接的IKE版本相同，則這些IPsec連接就會共享一階段。在共享一階段場景下，所有IPsec連接的預共享密鑰以及IKE配置階段的所有參數配置（包含版本、協商模式、加密算法、認證算法、DH分組、SA生存周期（秒））需相同，以確保在IPsec協議協商時可以共享任意一個IPsec連接IKE配置階段的配置。

您可以根據需要修改IPsec連接配置，以確保多個IPsec連接的相關配置相同。具體操作，請參見修改IPsec連接。

容量超限診斷

VPN網關帶寬使用率檢查

檢查VPN網關實例的帶寬利用率是否已達VPN網關實例帶寬規格的80%。

如果VPN網關實例的帶寬利用率已達VPN網關實例帶寬規格的80%，您可以根據實際網絡需求提升VPN網關實例帶寬規格。具體操作，請參見變配VPN網關實例。

費用診斷

欠費狀態告警

檢查VPN網關實例是否處于欠費狀態。

如果系統檢測到VPN網關實例處于欠費狀態，請及時續費充值。具體操作，請參見如何充值和續費VPN網關實例。

欠費到期預警

檢查VPN網關實例是否將在7天內到期。

如果系統檢測到VPN網關實例將在7天內到期，請及時為VPN網關實例續費。具體操作，請參見續費VPN網關實例。

路由診斷

未發布路由檢查

檢查VPN網關實例下是否存在未發布的策略路由或目的路由。

如果系統檢測到VPN網關實例存在未發布的策略路由或目的路由，請根據網絡互通需求發布路由或刪除路由。具體操作，請參見發布策略路由、刪除策略路由、發布目的路由或刪除目的路由。

BGP欠佳配置檢查

在IPsec-VPN連接使用BGP動態路由協議的情況下，檢查VPN網關實例的BGP配置是否為最佳。

• 在IPsec-VPN連接使用BGP動態路由協議的情況下，不建議為VPN網關實例配置策略路由或目的路由，建議使用BGP動態路由協議實現組網。

• 在IPsec-VPN連接使用BGP動態路由協議的情況下，建議為IPsec連接關閉健康檢查功能。

• 在IPsec-VPN連接使用BGP動態路由協議的情況下，建議IPsec連接的路由模式使用目的路由模式。

VPN路由配置完整性檢查

• 在使用IPsec-VPN連接過程中，檢查VPN網關實例是否缺少路由配置。

  如果需要為VPN網關實例添加目的路由、策略路由或BGP配置，請參見配置策略路由、配置目的路由、創建和管理IPsec連接（單隧道模式）或創建和管理IPsec連接（雙隧道模式）。

• 在IPsec-VPN連接啟用BGP動態路由協議的情況下，檢查VPN網關實例是否已開啟路由自動傳播功能。

  如果您需要為VPN網關實例開啟路由自動傳播功能，請參見BGP動態路由配置步驟。

目的路由間沖突檢查

檢查VPN網關實例下目的路由的目標網段之間是否有重疊。

如果系統檢測到目的路由的目標網段之間有重疊，請刪除目的路由重新創建，確保目的路由的目標網段之間沒有重疊。具體操作，請參見配置目的路由。

您也可以使用BGP動態路由協議實現組網。更多信息，請參見建立VPC到本地數據中心的連接（雙隧道模式和BGP路由）。

策略路由間沖突檢查

檢查VPN網關實例下策略路由的目標網段之間是否有重疊。

如果系統檢測到策略路由的目標網段之間有重疊，請刪除策略路由重新創建，確保策略路由的目標網段之間沒有重疊。具體操作，請參見配置策略路由。

您也可以使用BGP動態路由協議實現組網。更多信息，請參見建立VPC到本地數據中心的連接（雙隧道模式和BGP路由）。

BGP路由沖突檢查

• 檢查BGP路由的目標網段之間是否有重疊。

• 檢查BGP路由的目標網段與目的路由的目標網段是否有重疊。

• 檢查BGP路由的目標網段與策略路由的目標網段是否有重疊。

如果BGP路由的目標網段與其他路由的目標網段重疊，請根據控制臺建議進行操作。

vpc路由與vpn路由匹配檢查

檢查VPC路由表中指向VPN網關實例的路由的目標網段是否與VPN網關實例下策略路由的目標網段有重疊。

需確保策略路由的目標網段包含VPC路由表中指向VPN網關實例的路由的目標網段。

如果系統檢測到當前配置不滿足需求，您需要修改策略路由的目標網段，請先刪除策略路由然后重新創建。具體操作，請參見配置策略路由。