Troubleshooting cepat masalah VPN Gateway menggunakan NIS-VPN Gateway-Alibaba Cloud

Gateway VPN terintegrasi dengan Network Intelligence Service (NIS). NIS dapat membantu Anda mendiagnosis Gateway VPN dan memberikan rekomendasi berdasarkan masalah yang terdeteksi, sehingga Anda dapat mengatasi kendala yang muncul saat menggunakan Gateway VPN. Masalah tersebut mencakup negosiasi IPsec, konfigurasi rute, serta status Gateway VPN. Proses diagnosis tidak memengaruhi operasional bisnis Anda.

Item diagnosis

Tabel berikut menjelaskan item diagnosis Gateway VPN.

Kategori	Item diagnosis	Deskripsi
Configuration Diagnostics	Instance configuration check	Memeriksa apakah gateway VPN sedang dikonfigurasi. Jika instans Gateway VPN sedang dikonfigurasi, tunggu hingga statusnya berubah menjadi Active sebelum melanjutkan.
	Version check	Memeriksa apakah gateway VPN menggunakan versi terbaru. Kami menyarankan Anda meningkatkan gateway VPN ke versi terbaru. Untuk informasi selengkapnya, lihat Upgrade a VPN gateway.
	Check the status of the IKE tunnel negotiation	Memeriksa status negosiasi Fase 1 dan Fase 2 untuk setiap koneksi IPsec-VPN pada gateway VPN. Jika terjadi pengecualian selama negosiasi, lihat solusi yang ditampilkan di konsol atau topik terkait untuk troubleshooting. Untuk informasi selengkapnya, lihat Troubleshoot IPsec-VPN connection issues.
	VPN tunnel configuration integrity check	Periksa apakah koneksi IPsec-VPN telah dikonfigurasi di gerbang VPN. Jika sistem mendeteksi bahwa item konfigurasi yang diperlukan untuk koneksi IPsec-VPN tidak lengkap, Anda perlu mengonfigurasi koneksi IPsec-VPN sesuai kebutuhan jaringan Anda. Untuk informasi selengkapnya, lihat Create and manage IPsec-VPN connections in single-tunnel mode atau Create and manage IPsec-VPN connections in dual-tunnel mode.
	System network segment conflict check	Memeriksa apakah Blok CIDR tujuan dari rute berbasis kebijakan, rute berbasis tujuan, dan rute Protokol Gateway Perbatasan (BGP) pada gateway VPN bertentangan dengan 100.64.0.0/10. 100.64.0.0/10 dicadangkan oleh Alibaba Cloud. Pastikan Blok CIDR tujuan dari rute berbasis kebijakan, rute berbasis tujuan, dan rute BGP pada gateway VPN tidak bertentangan dengan 100.64.0.0/10 atau subnet-nya. Jika tidak, gateway VPN tidak dapat berfungsi sebagaimana mestinya. Jika terdapat konflik semacam itu, ubah Blok CIDR yang bertentangan atau gunakan NAT Gateway untuk translasi alamat. Untuk informasi selengkapnya, lihat Use a VPC NAT gateway and a VPN gateway to connect a data center and a VPC.
	BGP Consistency Check	Memeriksa apakah negosiasi Fase 2 berhasil tetapi negosiasi BGP gagal. Jika negosiasi Fase 2 berhasil tetapi negosiasi BGP gagal, periksa konfigurasi BGP dan transmisi paket BGP. Untuk informasi selengkapnya, lihat bagian "What do I do if the system prompts that Phase 2 negotiations succeeded but the BGP negotiation is in the Abnormal state?" dalam topik FAQ about IPsec-VPN connections.
	Shared Phase 1 IPsec Negotiations	Memeriksa apakah konfigurasi beberapa koneksi IPsec-VPN sama jika koneksi IPsec-VPN tersebut berbagi negosiasi Fase 1. Jika beberapa koneksi IPsec-VPN pada satu instans Gateway VPN dikaitkan dengan gateway pelanggan yang sama dan menggunakan versi IKE yang sama, mereka berbagi negosiasi Fase 1. Dalam skenario ini, semua koneksi IPsec-VPN harus memiliki Pre-Shared Key dan parameter yang sama dalam IKE Configurations, termasuk IKE Version, Negotiation Mode, Encryption Algorithm, Authentication Algorithm, DH Group, dan SA Lifetime (Seconds). Hal ini memastikan bahwa IKE Configurations dari salah satu koneksi IPsec-VPN tersebut dapat digunakan selama negosiasi IPsec. Ubah konfigurasi koneksi IPsec-VPN sesuai kebutuhan bisnis Anda untuk memastikan koneksi IPsec-VPN menggunakan konfigurasi yang sama. Untuk informasi selengkapnya, lihat bagian "Modify an IPsec-VPN connection" dalam topik Create and manage IPsec-VPN connections in single-tunnel mode.
Quota Limit Diagnostics	Check VPN Bandwidth Usage	Memeriksa apakah penggunaan bandwidth gateway VPN mencapai 80% dari batas atas. Jika penggunaan bandwidth gateway VPN mencapai 80% dari batas atas, Anda dapat meningkatkan bandwidth gateway VPN sesuai kebutuhan jaringan Anda. Untuk informasi selengkapnya, lihat Upgrade or downgrade a VPN gateway.
Cost Diagnostics	Alerts for Overdue Payments	Memeriksa apakah gateway VPN memiliki pembayaran tertunda. Jika gateway VPN memiliki pembayaran tertunda, tambahkan dana ke akun Anda.
Cost Diagnostics	Alerts for Expiration	Memeriksa apakah gateway VPN akan kedaluwarsa dalam waktu tujuh hari.
Route Diagnostics	Unpublished routes check	Memeriksa apakah gateway VPN memiliki rute berbasis kebijakan atau rute berbasis tujuan yang belum diiklankan. Jika terdapat rute berbasis kebijakan atau rute berbasis tujuan yang belum diiklankan, hapus atau iklankan rute tersebut sesuai kebutuhan komunikasi jaringan Anda. Untuk informasi selengkapnya, lihat bagian Advertise a policy-based route dan Delete a policy-based route dalam topik "Configure policy-based routes", atau bagian Advertise a destination-based route dan Delete a destination-based route dalam topik "Manage destination-based routes".
	BGP poor configuration check	Memeriksa apakah gateway VPN menggunakan konfigurasi BGP yang tepat jika koneksi IPsec-VPN menggunakan BGP. Jika koneksi IPsec-VPN menggunakan BGP, kami menyarankan agar Anda tidak mengonfigurasi rute berbasis kebijakan atau rute berbasis tujuan. Sebaiknya gunakan BGP untuk jaringan. Jika koneksi IPsec-VPN menggunakan BGP, kami menyarankan agar Anda menonaktifkan fitur pemeriksaan kesehatan. Jika koneksi IPsec-VPN menggunakan perutean dinamis BGP, atur Routing Mode-nya menjadi Destination Routing Mode.
	VPN routing configuration integrity check	Memeriksa apakah konfigurasi rute yang diperlukan tidak lengkap untuk gateway VPN saat Anda menggunakan koneksi IPsec-VPN. Untuk informasi selengkapnya tentang cara menambahkan rute berbasis tujuan, rute berbasis kebijakan, atau konfigurasi BGP untuk gateway VPN, lihat Configure policy-based routes, Manage destination-based routes, Create and manage IPsec-VPN connections in single-tunnel mode, atau Create and manage IPsec-VPN connections in dual-tunnel mode. Memeriksa apakah penyebaran rute BGP otomatis diaktifkan untuk gateway VPN jika koneksi IPsec-VPN menggunakan BGP. Untuk informasi selengkapnya, lihat bagian Procedure dalam topik "Configure BGP dynamic routing".
	Check for conflicts between destination-based routes	Memeriksa apakah Blok CIDR tujuan dari rute berbasis tujuan pada gateway VPN saling tumpang tindih. Jika terdapat konflik semacam itu, hapus rute berbasis tujuan yang bertentangan dan buat yang baru. Pastikan Blok CIDR tujuan dari rute berbasis tujuan tidak saling tumpang tindih. Untuk informasi selengkapnya, lihat Manage destination-based routes. Anda juga dapat menggunakan BGP untuk jaringan. Untuk informasi selengkapnya, lihat Connect a VPC to a data center in dual-tunnel and BGP routing mode.
	Check for conflicts between policy-based routes	Memeriksa apakah Blok CIDR tujuan dari rute berbasis kebijakan pada gateway VPN saling tumpang tindih. Jika terdapat konflik semacam itu, hapus rute berbasis kebijakan yang bertentangan dan buat yang baru. Pastikan Blok CIDR tujuan dari rute berbasis kebijakan tidak saling tumpang tindih. Untuk informasi selengkapnya, lihat Configure policy-based routes. Anda juga dapat menggunakan BGP untuk jaringan. Untuk informasi selengkapnya, lihat Connect a VPC to a data center in dual-tunnel and BGP routing mode.
	BGP Route Conflict Check	Memeriksa apakah Blok CIDR tujuan dari rute BGP saling tumpang tindih. Memeriksa apakah Blok CIDR tujuan dari rute BGP dan rute berbasis tujuan saling tumpang tindih. Memeriksa apakah Blok CIDR tujuan dari rute BGP dan rute berbasis kebijakan saling tumpang tindih. Jika terdapat konflik semacam itu, tangani masalah tersebut dengan mengikuti petunjuk yang ditampilkan di konsol.
	VPC and VPN Route Match Check	Memeriksa apakah Blok CIDR tujuan dari entri rute dalam tabel rute VPC yang mengarah ke gateway VPN tumpang tindih dengan Blok CIDR tujuan dari rute berbasis kebijakan pada gateway VPN. Pastikan Blok CIDR tujuan dari rute berbasis kebijakan mencakup Blok CIDR tujuan dari entri rute dalam tabel rute VPC yang mengarah ke gateway VPN. Jika kondisi tersebut tidak terpenuhi, Anda perlu mengubah Blok CIDR tujuan dari rute berbasis kebijakan. Anda harus menghapus rute berbasis kebijakan tersebut dan membuat yang baru yang memenuhi kondisi tersebut. Untuk informasi selengkapnya, lihat Configure policy-based routes.

Mulai diagnosis

Masuk ke VPN Gateway console.
Di bilah navigasi atas, pilih wilayah tempat Gateway VPN ditempatkan.
Pada halaman VPN Gateways, temukan Gateway VPN yang ingin Anda kelola, lalu pilih Diagnose > Instance Diagnosis di kolom Diagnose.

Di panel Instance Diagnostics, lihat detail diagnosis.

Catatan

Jika Anda pertama kali menggunakan Network Intelligence Service (NIS), pilih Terms of Service for Standard Edition NIS dan klik Activate NIS free of charge to diagnose instances..
Jika Anda mengaktifkan NIS sebagai Pengguna RAM dan muncul pesan bahwa Anda tidak memiliki izin, berikan izin AliyunNISFullAccess kepada Pengguna RAM tersebut menggunakan Akun Alibaba Cloud Anda. Untuk informasi selengkapnya, lihat Grant permissions to a RAM user.
Jika Anda mendiagnosis Gateway VPN untuk pertama kalinya, sistem secara otomatis membuat peran terkait layanan AliyunServiceRoleForNis. Untuk informasi selengkapnya, lihat Service-linked roles.

发起诊断

Bagian	Deskripsi
①	Anomali ditampilkan di panel Instance Diagnostics. Anda dapat melihat deskripsi diagnosis, resource terkait, dan saran.
②	Anda dapat melihat semua detail diagnosis tentang gateway VPN dengan memilih Show All Diagnostic Items di bagian Diagnostic Items.
③	Di bagian atas panel Instance Diagnostics, klik Go to the NIS console to view diagnostic records. Anda akan diarahkan ke halaman Overview di konsol NIS, tempat Anda dapat melihat laporan diagnostik historis untuk instans Gateway VPN. Untuk informasi selengkapnya, lihat Overview.

Contoh diagnosis

实例诊断-IPsec-VPN

Dalam skenario di mana pusat data mengakses resource di VPC melalui koneksi IPsec-VPN, Anda dapat mendiagnosis Gateway VPN untuk memastikan koneksi IPsec-VPN berfungsi sebagaimana mestinya sebelum menggunakannya untuk mentransmisikan data layanan.

Mulai diagnosis pada Gateway VPN. Untuk informasi selengkapnya, lihat bagian Start a diagnostics dalam topik ini.
Di panel Instance Diagnostics, lihat detail diagnosis.
Seperti yang ditunjukkan pada gambar di atas, sistem mendeteksi bahwa Phase 1 Negotiation Failed untuk koneksi IPsec-VPN. Anda dapat mengklik Phase 1 Negotiation Failed di kolom Diagnostic Result untuk melihat informasi detail, lalu tangani masalah tersebut berdasarkan panduan yang diberikan.
Anda juga dapat menangani masalah berdasarkan pesan error di halaman IPsec Connections. Jika negosiasi Fase 1 atau Fase 2 koneksi IPsec-VPN gagal, pesan error akan ditampilkan di halaman IPsec Connections. Anda dapat menggunakan pesan error tersebut untuk troubleshooting. Untuk informasi selengkapnya, lihat Troubleshoot IPsec-VPN connection issues.
Gambar di atas menunjukkan contoh pesan error yang ditampilkan di halaman IPsec Connections akibat kegagalan negosiasi Fase 1 koneksi IPsec-VPN. Koneksi IPsec-VPN gagal karena kunci pra-bersama berbeda antara Gateway VPN dan gateway peer. Untuk mengatasi masalah ini, pastikan kedua gateway menggunakan kunci pra-bersama yang sama.
Setelah menyelesaikan masalah, diagnosa kembali Gateway VPN. Pastikan Gateway VPN lolos diagnosis.
Jika Gateway VPN lolos diagnosis tetapi muncul masalah saat menggunakan koneksi IPsec-VPN, seperti kegagalan komunikasi antara pusat data dan VPC, lihat topik FAQ Gateway VPN untuk troubleshooting. Untuk informasi selengkapnya, lihat FAQ about IPsec-VPN connections.