VPN Gateway は Network Intelligence Service (NIS) と統合されています。NIS を使用すると、VPN Gateway を診断し、検出された問題に基づいた提案を受けることができます。これにより、VPN Gateway を使用中に発生する問題(IPsec ネゴシエーションの問題、ルート設定の問題、VPN Gateway ステータスに関する問題など)をトラブルシューティングできます。診断プロセスはビジネスに影響を与えません。
診断項目
次の表に、VPN Gateway の診断項目を示します。
カテゴリ | 診断項目 | 説明 |
設定診断 | Instance configuration check | VPN Gateway が構成中かどうかをチェックします。 VPN Gateway インスタンスが設定中の場合は、続行する前に、そのステータスが 正常 に変更されるまでお待ちください。 |
Version check | VPN Gateway が最新バージョンかどうかをチェックします。 VPN Gateway を最新バージョンにスペックアップすることを推奨します。詳細については、「VPN Gateway のスペックアップ」をご参照ください。 | |
Check the status of the IKE tunnel negotiation | VPN Gateway 上の各 IPsec 接続について、フェーズ 1 およびフェーズ 2 のネゴシエーションステータスをチェックします。 ネゴシエーション中に例外が発生した場合は、コンソールに表示される解決策または関連トピックを参照してトラブルシューティングを行います。詳細については、「IPsec 接続の問題のトラブルシューティング」をご参照ください。 | |
VPN tunnel configuration integrity check | VPN Gateway 上で IPsec 接続が構成されているかどうかをチェックします。 IPsec 接続に必要な設定項目が不足しているとシステムが検出した場合は、ネットワーク要件に基づいて IPsec 接続を構成する必要があります。詳細については、「シングルトンネルモードでの IPsec 接続の作成と管理」または「デュアルトンネルモードでの IPsec 接続の作成と管理」をご参照ください。 | |
System network segment conflict check | VPN Gateway 上のポリシーベースルート、宛先ベースルート、およびボーダーゲートウェイプロトコル (BGP) ルートの宛先 CIDR ブロックが 100.64.0.0/10 と競合していないかをチェックします。 100.64.0.0/10 は Alibaba Cloud によって予約されています。VPN Gateway 上のポリシーベースルート、宛先ベースルート、および BGP ルートの宛先 CIDR ブロックが 100.64.0.0/10 またはそのサブネットと競合しないようにしてください。競合する場合、VPN Gateway は期待通りに動作しません。 このような競合が存在する場合は、競合している CIDR ブロックを変更するか、アドレス変換のために NAT Gateway を使用します。詳細については、「VPC NAT ゲートウェイと VPN Gateway を使用してデータセンターと VPC を接続する」をご参照ください。 | |
BGP Consistency Check | フェーズ 2 のネゴシエーションは成功したが、BGP ネゴシエーションが失敗したかどうかをチェックします。 フェーズ 2 のネゴシエーションは成功したが BGP ネゴシエーションが失敗した場合は、BGP 構成および BGP パケットの伝送を確認します。詳細については、「IPsec 接続に関するよくある質問」トピックの「フェーズ 2 のネゴシエーションは成功したが、BGP ネゴシエーションが異常状態であるというメッセージが表示された場合はどうすればよいですか?」のセクションをご参照ください。 | |
Shared Phase 1 IPsec Negotiations | 複数の IPsec 接続がフェーズ 1 ネゴシエーションを共有する場合、それらの構成が同一かどうかをチェックします。 VPN Gateway インスタンス上の複数の IPsec 接続が同じカスタマーゲートウェイに関連付けられ、同じ IKE バージョンを使用する場合、それらはフェーズ 1 ネゴシエーションを共有します。このシナリオでは、すべての IPsec 接続で同じ 事前共有鍵 および IKE 構成 のパラメーター(IKE Version、Negotiation Mode、Encryption Algorithm、Authentication Algorithm、DH Group、および SA Lifetime (Seconds))を使用する必要があります。これにより、これらの IPsec 接続のいずれかの IKE 構成 を IPsec ネゴシエーション中に使用できます。 ビジネス要件に基づいて IPsec 接続の構成を変更し、IPsec 接続が同じ構成を使用するようにしてください。詳細については、「シングルトンネルモードでの IPsec 接続の作成と管理」トピックの「IPsec 接続の変更」セクションをご参照ください。 | |
クォータ制限診断 | Check VPN Bandwidth Usage | VPN Gateway の帯域幅使用量が上限の 80 % に達しているかどうかをチェックします。 VPN Gateway の帯域幅使用量が上限の 80 % に達している場合は、ネットワーク要件に基づいて VPN Gateway の帯域幅をスペックアップできます。詳細については、「VPN Gateway のスペックアップまたはスペックダウン」をご参照ください。 |
コスト診断 | Alerts for Overdue Payments | VPN Gateway に支払い遅延がないかどうかをチェックします。 VPN Gateway に支払い遅延がある場合は、アカウントに資金を追加します。 |
Alerts for Expiration | VPN Gateway の有効期限が 7 日以内かどうかをチェックします。 | |
Route Diagnostics | Unpublished routes check | VPN Gateway に未公開のポリシーベースルートまたは宛先ベースルートがないかどうかをチェックします。 未公開のポリシーベースルートまたは宛先ベースルートが存在する場合は、ネットワーク通信要件に基づいてルートを削除または公開します。詳細については、「ポリシーベースルートの構成」トピックの「ポリシーベースルートの公開」および「ポリシーベースルートの削除」セクション、または「宛先ベースルートの管理」トピックの「宛先ベースルートの公開」および「宛先ベースルートの削除」セクションをご参照ください。 |
BGP poor configuration check | IPsec 接続で BGP を使用する場合、VPN Gateway が適切な BGP 構成を使用しているかどうかをチェックします。
| |
VPN routing configuration integrity check |
| |
Check for conflicts between destination-based routes | VPN Gateway 上の宛先ベースルートの宛先 CIDR ブロックが互いに重複していないかをチェックします。 このような競合が存在する場合は、競合している宛先ベースルートを削除して新しいルートを作成します。宛先ベースルートの宛先 CIDR ブロックが互いに重複しないようにしてください。詳細については、「宛先ベースルートの管理」をご参照ください。 ネットワーキングには BGP を使用することもできます。詳細については、「デュアルトンネルおよび BGP ルーティングモードで VPC とデータセンターを接続する」をご参照ください。 | |
Check for conflicts between policy-based routes | VPN Gateway 上のポリシーベースルートの宛先 CIDR ブロックが互いに重複していないかをチェックします。 このような競合が存在する場合は、競合しているポリシーベースルートを削除して新しいルートを作成します。ポリシーベースルートの宛先 CIDR ブロックが互いに重複しないようにしてください。詳細については、「ポリシーベースルートの構成」をご参照ください。 ネットワーキングには BGP を使用することもできます。詳細については、「デュアルトンネルおよび BGP ルーティングモードで VPC とデータセンターを接続する」をご参照ください。 | |
BGP Route Conflict Check |
このような競合が存在する場合は、コンソール画面に表示される指示に従って問題をトラブルシューティングします。 | |
VPC and VPN Route Match Check | VPC ルートテーブル内で VPN Gateway を指すルートの宛先 CIDR ブロックが、VPN Gateway 上のポリシーベースルートの宛先 CIDR ブロックと重複していないかをチェックします。 ポリシーベースのルートの宛先 CIDR ブロックには、VPN ゲートウェイを指す VPC ルートテーブル内のルートの宛先 CIDR ブロックが含まれていることを確認してください。 上記の条件を満たさない場合は、ポリシーベースルートの宛先 CIDR ブロックを変更する必要があります。ポリシーベースルートを削除し、条件を満たす新しいルートを作成してください。詳細については、「ポリシーベースルートの構成」をご参照ください。 |
診断の開始
[VPN Gateway コンソール] にログインします。
上部のナビゲーションバーで、VPN Gateway がデプロイされているリージョンを選択します。
[VPN Gateway] ページで、管理対象の VPN Gateway を見つけ、[診断] 列の [] を選択します。
[インスタンスの診断] パネルで、診断の詳細を確認します。
説明Network Intelligence Service (NIS) を初めて使用する場合は、[Terms of Service for Standard Edition NIS] を選択し、[Activate NIS free of charge to diagnose instances.] をクリックします。
RAM ユーザーとして NIS を有効化し、「権限がありません」というメッセージが表示される場合は、Alibaba Cloud アカウントを使用して RAM ユーザーに AliyunNISFullAccess 権限を付与します。詳細については、「RAM ユーザーへの権限付与」をご参照ください。
VPN Gateway の診断を初めて実行する場合、システムは自動的にサービスリンクロール AliyunServiceRoleForNis を作成します。詳細については、「サービスリンクロール」をご参照ください。
セクション
説明
①
インスタンス診断パネルに異常が表示されます。診断の説明、関連リソース、および提案を確認できます。
②
Diagnostic Items セクションで Show All Diagnostic Items を選択することで、VPN ゲートウェイに関するすべての診断詳細を表示できます。
③
[インスタンスの診断] パネルの上部にある [NIS コンソールに移動して診断レコードを表示します。] をクリックします。NIS コンソールの [Overview] ページにリダイレクトされ、VPN Gateway インスタンスの過去の診断レポートを確認できます。詳細については、「概要」をご参照ください。
診断例
データセンターが IPsec 接続を使用して VPC 内のリソースにアクセスするシナリオでは、サービスデータを送信する前に、IPsec 接続が期待通りに動作することを確認するために VPN Gateway を診断できます。
VPN Gateway の診断を開始します。詳細については、本トピックの「診断の開始」セクションをご参照ください。
[インスタンスの診断] パネルで、診断の詳細を確認します。
上図に示すように、システムは IPsec 接続の Phase 1 Negotiation Failed を検出しています。[Diagnostic Result] 列の [Phase 1 Negotiation Failed] をクリックして詳細情報を表示し、提供されたガイダンスに基づいて問題をトラブルシューティングできます。
また、[IPsec 接続] ページに表示されるエラーメッセージに基づいて問題をトラブルシューティングすることもできます。IPsec 接続のフェーズ 1 またはフェーズ 2 のネゴシエーションが失敗すると、[IPsec 接続] ページにエラーメッセージが表示されます。このエラーメッセージを使用してトラブルシューティングできます。詳細については、「IPsec 接続の問題のトラブルシューティング」をご参照ください。
上図は、IPsec 接続のフェーズ 1 ネゴシエーションが失敗したために [IPsec Connections] ページに表示されるエラーメッセージの例を示しています。この IPsec 接続は、VPN Gateway とピアゲートウェイで事前共有鍵が異なるために失敗しています。この問題を解決するには、両方のゲートウェイで同じ事前共有鍵を使用していることを確認してください。
問題を解決したら、再度 VPN Gateway を診断します。VPN Gateway が診断に合格することを確認します。
VPN Gateway が診断に合格しても、IPsec 接続を使用中にデータセンターと VPC 間の通信障害などの問題が発生した場合は、VPN Gateway のよくある質問トピックを参照してトラブルシューティングを行います。詳細については、「IPsec 接続に関するよくある質問」をご参照ください。