Diagnosis Masalah Gateway VPN - VPN Gateway

VPN Gateway terintegrasi dengan Network Intelligence Service (NIS). NIS membantu Anda mendiagnosis gateway VPN dan memberikan saran berdasarkan masalah yang terdeteksi. Dengan ini, Anda dapat memecahkan masalah saat menggunakan VPN Gateway, seperti masalah negosiasi IPsec, konfigurasi rute, atau status gateway VPN. Proses diagnosis tidak memengaruhi operasional bisnis Anda.

Item Diagnosis

Tabel berikut menjelaskan item diagnosis untuk VPN Gateway.

Kategori	Item Diagnosis	Deskripsi
Configurations	Instance configurations	Memeriksa apakah sebuah gateway VPN sedang dikonfigurasi. Jika sebuah gateway VPN sedang dikonfigurasi, tunggu hingga statusnya berubah menjadi Available sebelum Anda melakukan operasi pada gateway VPN.
	Version	Memeriksa apakah gateway VPN adalah versi terbaru. Kami merekomendasikan Anda untuk meng-upgrade gateway VPN ke versi terbaru. Untuk informasi lebih lanjut, lihat Upgrade a VPN gateway.
	IPsec negotiations	Memeriksa status negosiasi Fase 1 dan Fase 2 untuk setiap koneksi IPsec-VPN di gateway VPN. Jika terjadi pengecualian selama negosiasi, lihat solusi yang ditampilkan di konsol atau topik relevan untuk pemecahan masalah. Untuk informasi lebih lanjut, lihat Troubleshoot IPsec-VPN connection issues.
	VPN tunnel configurations	Memeriksa apakah koneksi IPsec-VPN dikonfigurasi pada gateway VPN. Jika sistem mendeteksi bahwa item konfigurasi yang diperlukan dari koneksi IPsec-VPN hilang, Anda perlu mengkonfigurasi koneksi IPsec-VPN berdasarkan kebutuhan jaringan Anda. Untuk informasi lebih lanjut, lihat Create and manage IPsec-VPN connections in single-tunnel mode atau Create and manage IPsec-VPN connections in dual-tunnel mode.
	CIDR block conflicts	Memeriksa apakah blok CIDR tujuan dari rute berbasis kebijakan, rute berbasis tujuan, dan rute Border Gateway Protocol (BGP) pada gateway VPN bertentangan dengan 100.64.0.0/10. 100.64.0.0/10 dicadangkan oleh Alibaba Cloud. Pastikan bahwa blok CIDR tujuan dari rute berbasis kebijakan, rute berbasis tujuan, dan rute BGP pada gateway VPN tidak bertentangan dengan 100.64.0.0/10 atau subnetnya. Jika tidak, gateway VPN tidak dapat bekerja seperti yang diharapkan. Jika ada konflik semacam itu, modifikasi blok CIDR yang bertentangan atau gunakan NAT Gateway untuk translasi alamat. Untuk informasi lebih lanjut, lihat Use a VPC NAT gateway and a VPN gateway to connect a data center and a VPC.
	BGP consistency	Memeriksa apakah negosiasi Fase 2 berhasil tetapi negosiasi BGP gagal. Jika negosiasi Fase 2 berhasil tetapi negosiasi BGP gagal, periksa konfigurasi BGP dan transmisi paket BGP. Untuk informasi lebih lanjut, lihat bagian "Apa yang harus saya lakukan jika sistem menunjukkan bahwa negosiasi Fase 2 berhasil tetapi negosiasi BGP dalam keadaan Abnormal?" dari topik FAQ tentang koneksi IPsec-VPN.
	Shared Phase 1 IPsec negotiations	Memeriksa apakah konfigurasi dari beberapa koneksi IPsec-VPN sama jika koneksi IPsec-VPN berbagi negosiasi Fase 1. Jika beberapa koneksi IPsec-VPN terkait dengan gateway VPN yang sama dan gateway pelanggan yang sama, dan menggunakan versi Internet Key Exchange (IKE) yang sama, koneksi IPsec-VPN berbagi negosiasi Fase 1 yang sama. Dalam skenario di mana beberapa koneksi IPsec-VPN berbagi negosiasi Fase 1 yang sama, koneksi IPsec-VPN harus memiliki Pre-Shared Key yang sama dan IKE settings, termasuk version, negotiation mode, encryption algorithm, authentication algorithm, DH group, dan SA lifetime (in seconds). Ini memastikan bahwa IKE settings dari setiap koneksi IPsec-VPN dapat dibagikan selama negosiasi IPsec. Modifikasi konfigurasi koneksi IPsec-VPN berdasarkan kebutuhan bisnis Anda untuk memastikan bahwa koneksi IPsec-VPN menggunakan konfigurasi yang sama. Untuk informasi lebih lanjut, lihat bagian "Modify an IPsec-VPN connection" dari topik Create and manage IPsec-VPN connections in single-tunnel mode.
Quotas	VPN gateway bandwidth usage	Memeriksa apakah penggunaan bandwidth gateway VPN mencapai 80% dari batas atas. Jika penggunaan bandwidth gateway VPN mencapai 80% dari batas atas, Anda dapat meningkatkan bandwidth gateway VPN berdasarkan kebutuhan jaringan Anda. Untuk informasi lebih lanjut, lihat Upgrade or downgrade a VPN gateway.
Fees	Overdue payments	Memeriksa apakah gateway VPN memiliki pembayaran tertunda. Jika gateway VPN memiliki pembayaran tertunda, tambahkan dana ke akun Anda.
Fees	Overdue payment alert	Memeriksa apakah gateway VPN akan kedaluwarsa dalam waktu tujuh hari.
Routes	Unadvertised routes	Memeriksa apakah gateway VPN memiliki rute berbasis kebijakan atau rute berbasis tujuan yang tidak diiklankan. Jika ada rute berbasis kebijakan atau rute berbasis tujuan yang tidak diiklankan, hapus atau iklankan rute berdasarkan kebutuhan komunikasi jaringan Anda. Untuk informasi lebih lanjut, lihat bagian Iklankan Rute Berbasis Kebijakan dan Hapus Rute Berbasis Kebijakan dari topik "Konfigurasikan Rute Berbasis Kebijakan", atau bagian Iklankan Rute Berbasis Tujuan dan Hapus Rute Berbasis Tujuan dari topik "Kelola Rute Berbasis Tujuan".
	Improper BGP configurations	Memeriksa apakah gateway VPN menggunakan konfigurasi BGP yang tepat jika koneksi IPsec-VPN menggunakan BGP. Jika koneksi IPsec-VPN menggunakan BGP, kami merekomendasikan Anda untuk tidak mengonfigurasi rute berbasis kebijakan atau rute berbasis tujuan. Kami merekomendasikan Anda menggunakan BGP untuk jaringan. Jika koneksi IPsec-VPN menggunakan BGP, kami merekomendasikan Anda untuk menonaktifkan fitur pemeriksaan kesehatan. Jika koneksi IPsec-VPN menggunakan BGP, kami merekomendasikan Anda untuk mengatur parameter Routing Mode dari koneksi IPsec-VPN ke Destination Routing Mode.
	VPN route configurations	Memeriksa apakah konfigurasi rute yang diperlukan hilang untuk gateway VPN saat Anda menggunakan koneksi IPsec-VPN. Untuk informasi lebih lanjut tentang cara menambahkan rute berbasis tujuan, rute berbasis kebijakan, atau konfigurasi BGP untuk gateway VPN, lihat Konfigurasikan Rute Berbasis Kebijakan, Kelola Rute Berbasis Tujuan, Create and manage IPsec-VPN connections in single-tunnel mode, atau Create and manage IPsec-VPN connections in dual-tunnel mode. Memeriksa apakah propagasi rute BGP otomatis diaktifkan untuk gateway VPN jika koneksi IPsec-VPN menggunakan BGP. Untuk informasi lebih lanjut, lihat bagian Prosedur dari topik "Konfigurasikan Perutean Dinamis BGP".
	Destination-based route conflicts	Memeriksa apakah blok CIDR tujuan dari rute berbasis tujuan pada gateway VPN tumpang tindih satu sama lain. Jika ada konflik semacam itu, hapus rute berbasis tujuan yang bertentangan dan buat yang baru. Pastikan bahwa blok CIDR tujuan dari rute berbasis tujuan tidak tumpang tindih satu sama lain. Untuk informasi lebih lanjut, lihat Kelola Rute Berbasis Tujuan. Anda juga dapat menggunakan BGP untuk jaringan. Untuk informasi lebih lanjut, lihat Hubungkan VPC ke pusat data dalam mode dua terowongan dan perutean BGP.
	Policy-based route conflicts	Memeriksa apakah blok CIDR tujuan dari rute berbasis kebijakan pada gateway VPN tumpang tindih satu sama lain. Jika ada konflik semacam itu, hapus rute berbasis kebijakan yang bertentangan dan buat yang baru. Pastikan bahwa blok CIDR tujuan dari rute berbasis kebijakan tidak tumpang tindih satu sama lain. Untuk informasi lebih lanjut, lihat Konfigurasikan Rute Berbasis Kebijakan. Anda juga dapat menggunakan BGP untuk jaringan. Untuk informasi lebih lanjut, lihat Hubungkan VPC ke pusat data dalam mode dua terowongan dan perutean BGP.
	BGP route conflicts	Memeriksa apakah blok CIDR tujuan dari rute BGP tumpang tindih satu sama lain. Memeriksa apakah blok CIDR tujuan dari rute BGP dan rute berbasis tujuan tumpang tindih. Memeriksa apakah blok CIDR tujuan dari rute BGP dan rute berbasis kebijakan tumpang tindih. Jika ada konflik semacam itu, pecahkan masalah dengan mengikuti instruksi yang ditampilkan di layar di konsol.
	Match between VPC routes and VPN routes	Memeriksa apakah blok CIDR tujuan dari rute dalam tabel rute VPC yang menunjuk ke gateway VPN tumpang tindih dengan blok CIDR tujuan dari rute berbasis kebijakan pada gateway VPN. Pastikan bahwa blok CIDR tujuan dari rute berbasis kebijakan mencakup blok CIDR tujuan dari rute dalam tabel rute VPC yang menunjuk ke gateway VPN. Jika kondisi di atas tidak terpenuhi, Anda perlu memodifikasi blok CIDR tujuan dari rute berbasis kebijakan. Anda harus menghapus rute berbasis kebijakan dan membuat yang baru yang memenuhi kondisi tersebut. Untuk informasi lebih lanjut, lihat Konfigurasikan Rute Berbasis Kebijakan.

Mulai Diagnosis

Masuk ke Konsol Gateway VPN.
Pada bilah navigasi atas, pilih wilayah tempat gateway VPN diterapkan.
Di halaman VPN Gateways, temukan gateway VPN yang ingin Anda kelola dan pilih Diagnose > Instance Diagnosis di kolom Diagnose.

Di panel Instance Diagnostics, tinjau detail diagnosis.

Catatan

Jika NIS tidak diaktifkan, pilih Terms of Service for Standard Edition NIS dan klik Activate NIS free of charge to diagnose instances.
Jika Anda mengaktifkan NIS sebagai Pengguna Resource Access Management (RAM) dan muncul pesan bahwa Anda tidak memiliki izin, berikan izin AliyunNISFullAccess kepada pengguna RAM melalui akun Alibaba Cloud Anda. Untuk informasi lebih lanjut, lihat Memberikan Izin kepada Pengguna RAM.
Jika Anda mendiagnosis gateway VPN untuk pertama kalinya, sistem akan otomatis membuat peran terkait layanan AliyunServiceRoleForNis. Untuk informasi lebih lanjut, lihat Peran Terkait Layanan.

发起诊断

Bagian	Deskripsi
①	Anomali ditampilkan di panel Diagnosis Instansi. Anda dapat melihat deskripsi diagnosis, sumber daya terkait, dan saran.
②	Anda dapat melihat semua detail diagnosis tentang gateway VPN dengan memilih Show All Diagnostic Items di bagian Diagnostic Items.
③	Anda dapat pergi ke halaman Overview konsol NIS dengan mengklik Go to the NIS console to view diagnostic records di bagian atas panel Instance Diagnostics untuk melihat laporan diagnosis historis tentang gateway VPN. Untuk informasi lebih lanjut, lihat Gunakan Fitur pada Halaman Gambaran Umum.

Contoh Diagnosis

实例诊断-IPsec-VPN

Dalam skenario di mana pusat data mengakses sumber daya di VPC menggunakan koneksi IPsec-VPN, Anda dapat mendiagnosis gateway VPN untuk memastikan koneksi IPsec-VPN berfungsi sebagaimana mestinya sebelum digunakan untuk mentransmisikan data layanan.

Mulai diagnosis pada gateway VPN. Untuk informasi lebih lanjut, lihat bagian Memulai Diagnosis dari topik ini.
Di panel Instance Diagnostics, tinjau detail diagnosis.
Gambar di atas menunjukkan contoh gateway VPN yang gagal dalam diagnosis karena Phase 1 negotiation of an IPsec-VPN connection fails. Anda dapat mengklik Phase 1 Negotiation Failed di kolom Result untuk melihat lebih banyak detail dan memecahkan masalah.
Anda juga dapat memecahkan masalah berdasarkan pesan kesalahan di halaman IPsec Connections. Jika negosiasi Fase 1 atau Fase 2 dari koneksi IPsec-VPN gagal, pesan kesalahan akan ditampilkan di halaman IPsec Connections. Gunakan pesan kesalahan tersebut untuk pemecahan masalah. Untuk informasi lebih lanjut, lihat Troubleshoot IPsec-VPN connection issues.
Gambar di atas menunjukkan contoh pesan kesalahan yang ditampilkan di halaman Koneksi IPsec karena gagalnya negosiasi Fase 1 dari koneksi IPsec-VPN. Koneksi IPsec-VPN gagal karena kunci bersama berbeda di gateway VPN dan gateway peer. Untuk menyelesaikan masalah ini, pastikan kedua gateway menggunakan kunci bersama yang sama.
Setelah menyelesaikan masalah, lakukan diagnosis ulang pada gateway VPN untuk memastikan gateway VPN lolos dari diagnosis.
Jika gateway VPN lolos dari diagnosis tetapi masalah terjadi saat menggunakan koneksi IPsec-VPN, seperti kegagalan komunikasi antara pusat data dan VPC, lihat FAQ Gateway VPN untuk pemecahan masalah. Untuk informasi lebih lanjut, lihat FAQ tentang koneksi IPsec-VPN.