全部产品
Search

搜索本产品

    VPN网关:验证连接

    文档中心

    VPN网关:验证连接

    更新时间:May 09, 2026

    IPsec连接和路由配置完成后,通过以下步骤验证端到端通信是否正常,并确认高可用切换能力。

    检查隧道状态

    在进行连通性测试前,先确认IPsec隧道已成功协商。

    1. 单击目标IPsec连接的实例ID,进入IPsec连接详情页。

      Tunnel页签,查看每条隧道的连接状态列:

      • 第二阶段协商成功:隧道正常,可以传输数据。

      • 第一阶段协商失败:IKE协商未通过,需排查参数配置。

      • 第二阶段协商失败:IKE通过但IPsec SA协商失败,需排查IPsec参数。

    2. 双隧道模式下,两条隧道都应显示为「第二阶段协商成功。如果仅有一条隧道正常,请检查另一条隧道的配置。

    警告

    如果仅配置了一条隧道,将无法获得IPsec-VPN连接的主备冗余能力和可用区容灾能力。请确保两条隧道均已配置并处于正常状态。

    验证基本连通性

    1. 从云上ping本地。

      登录VPC内的一台ECS实例,ping本地数据中心的内网IP:

      ping <本地数据中心内网IP>

    2. 从本地ping云上。

      在本地数据中心的一台服务器上,ping VPC内ECS实例的私网IP:

      ping <ECS实例私网IP>

    3. 确认双向通信。两个方向都能ping通,说明IPsec-VPN连接和路由配置均正常。

      如果ping不通,不要急于修改IPsec配置。请先按照下方的连接排查清单逐项检查。

    验证高可用切换

    双隧道模式的核心价值在于链路冗余。建议在业务上线前验证故障切换能力。

    绑定VPN网关(主备模式)

    1. 确认当前流量路径。在IPsec连接详情页的监控页签,按照隧道维度查看两条隧道的流量速率,确认流量当前走的是隧道1(主隧道)。

    2. 模拟主隧道故障。在本地网关设备上,临时关闭与隧道1对应的IPsec配置或关闭对应的物理接口。

    3. 验证自动切换。等待DPD检测超时(约30秒),观察以下指标:

      • IPsec连接详情页中,隧道1状态变为异常。

      • 重新从ECS实例ping本地数据中心,确认通信恢复。

      • 流量已切换到隧道2(备隧道)。

    4. 恢复主隧道。重新开启本地网关设备上隧道1的IPsec配置,确认主隧道重新协商成功后,流量自动回切到主隧道。

    绑定转发路由器(ECMP模式)

    1. 确认双隧道均有流量。在IPsec连接详情页的监控页签,按照隧道维度查看两条隧道的流量速率,确认流量在两条隧道间分布(ECMP负载均衡)。

    2. 模拟一条隧道故障。在本地网关设备上,临时关闭与其中一条隧道对应的IPsec配置。

    3. 验证流量收敛。观察另一条隧道是否承载了全部流量,从ECS实例ping本地数据中心确认通信不中断。

    4. 恢复隧道。重新开启关闭的隧道配置,确认隧道重新协商成功后,流量恢复ECMP负载均衡。

    连接排查清单

    如果连通性测试失败,请按以下顺序逐项排查。

    1. 隧道状态异常:第一阶段协商失败

    网络不可达:

    • 检查本地网关设备的公网IP是否可达。

    • 检查本地网关设备是否可以Ping通VPN网关的公网IP。

    • 检查防火墙是否放行了UDP 500和UDP 4500端口。

    预共享密钥不匹配:核对阿里云侧和本地网关设备的预共享密钥,确保完全一致(注意大小写和特殊字符)。

    IKE参数不一致:逐项比对以下参数:

    • IKE版本(IKEv1 / IKEv2)

    • 协商模式(main / aggressive)

    • 加密算法

    • 认证算法

    • DH分组

    • LocalId / RemoteId

    2. 隧道状态正常但无法ping通

    路由问题(最常见):

    • 检查VPN网关的目的路由表或BGP路由表是否有本地数据中心的路由。

    • 检查路由是否已发布到VPC路由表。

    • 检查本地数据中心的路由表是否有指向VPC网段的路由。

    安全组限制:

    • 检查ECS实例安全组是否允许来自本地网段的ICMP流量。

    • 检查是否有网络ACL拦截了流量。

    本地防火墙策略:

    • 检查本地数据中心防火墙是否允许来自VPC网段的流量。

    • 确认防火墙未对IPsec隧道内的数据包进行二次过滤。

    3. BGP邻居建立失败

    • 确认用户网关已配置ASN。

    • 确认IPsec连接已开启BGP功能。

    • 检查隧道网段和BGP地址配置是否正确。

    • 确认本地网关设备的BGP配置与阿里云侧匹配(ASN、邻居地址)。

    • 如果VPN网关提示不支持BGP,请升级VPN网关到最新版本。

    4. 单方向通信正常,反方向不通

    通常是路由配置不完整:

    • 如果云到本地通本地到云不通:检查本地数据中心的路由表是否有到VPC网段的路由。

    • 如果本地到云通云到本地不通:检查VPC路由表是否有到本地网段的路由。

    5. 连接间歇性断开

    • 检查DPD是否开启,建议始终开启。

    • 检查SA生存周期设置,两端必须一致。

    • 检查本地网关设备是否有连接数限制。

    • 检查物理链路质量(丢包率、延迟)。

    • 如果使用BGP,检查路由条目数是否接近上限。

    如果仍未解决,请前往自主排查IPsec-VPN连接问题

    验证完成后