现象描述
使用VPN连接建立 VPC 与 IDC 的通信,VPN 通道显示为【已联通】状态,但内网无法联通,现象如下:
VPN 通道状态为【已联通】:
VPC 侧服务器 ping IDC侧内网 IP,无法 ping 通:
可能原因
通道状态正常但内网却无法联通,可能原因如下:
- VPC 子网路由表未添加指向 IDC 侧内网网段的路由
- VPC/IDC 侧的安全策略未放通对应源 IP、目的 IP
- VPC/IDC 侧的内网服务器操作系统的防火墙未放行对端网段
- VPC/IDC 侧的 SPD 策略未包含该源 IP、目的 IP
处理步骤
检查 VPC 子网路由表中,是否有目的地址为 IDC 侧内网网段,下一跳地址为对应 VPN 网关的路由,同时检查 IDC 侧是否有目的地址为 VPC 网段,下一跳地址为对应 VPN 隧道的路由。
进入 VPC 子网路由表 ,单击路由表 ID,进入详情界面检查:
IDC 侧执行命令检查路由情况(以华为设备为例):display ip routing-table //查看是否有对应目的地址为云上 VPC 网段,下一跳为对应 VPN 隧道的路由
- 若是,请执行 步骤3。
- 若否,请根据业务需求,补全相应路由信息,再执行 步骤2。
检查通信是否恢复正常,即登录 VPC/IDC 中的一台服务器,ping 对端服务器内网 IP。
说明:登录VPC中云服务器请参考 登录Linux实例 或 登录Windows实例。
- 若是,通信正常,问题解决,结束。
- 若否,请执行 步骤3。
检查 VPC 中服务器关联的安全组和子网关联的网络 ACL 是否放通来自云下 IDC 的流量,同时检查 IDC 侧是否放通来自云上 VPC 的流量。
进入 VPC 中服务器安全组 界面,单击安全组 ID,进入“安全组规则”页检查:
进入 VPC 子网 ACL 规则 ,单击网络 ACL ID,进入“基本信息”页,单击“入站规则”页签检查:
IDC 侧安全策略检查(此处以华为防火墙为例):display current-configuration configuration security-policy
- 若是,请执行 步骤5。
- 若否,请放通安全组/网络 ACL/IDC 侧安全设备需要互通的内网地址段,再执行 步骤4。
检查通信是否恢复正常,即登录 VPC/IDC 中的一台服务器,ping 对端服务器内网 IP。
- 若是,通信正常,问题解决,结束。
- 若否,请执行 步骤5。
分别检查 VPC 中云服务器和 IDC 侧内网服务器操作系统自带防火墙,是否有放通对端网段的策略。
Linux 服务器查看防火墙:iptables --list
Windows 服务器查看防火墙:控制面板\系统和安全\Windows 防火墙\允许的应用- 若是,请执行 步骤7。
- 若否,请在内网机器防火墙中放通需要联通的业务网段,再执行 步骤6。
检查通信是否恢复正常,即登录 VPC/IDC 中的一台服务器,ping 对端服务器内网 IP。
- 若是,通信正常,问题解决,结束。
- 若否,请执行 步骤7。
分别检查 VPC 和 IDC 侧的 VPN 通道的感兴趣流(SPD 策略)是否包含需要互通的内网网段。
进入 VPC 侧 SPD 策略 ,单击VPN 通道 ID,进入“基本信息”页,即可检查 SPD 策略:
IDC 侧 SPD 策略检查(此处以华为防火墙为例):display current-configuration configuration acl
- 若是,请执行 步骤9 。
- 若否,请补充缺失的 SPD 策略,再执行 步骤8。
检查通信是否恢复正常,即登录 VPC/IDC 中的一台服务器,ping 对端服务器内网 IP。
- 若是,通信正常,问题解决,结束。
- 若否,请执行 步骤9 。
请收集以上检查信息,并 提交工单 或联系设备厂商跟进处理。