现象描述
使用 VPN 连接建立 VPC 与 IDC 的通信,完成配置后,发现 VPN 通道状态为未联通。
可能原因
通道状态异常,一般有如下可能原因:
无流量激活通道
VPN 网关公网 IP 不通
安全策略配置不正确
协商参数、协商模式不一致
处理方案
1. 登录 VPC 中的一台服务器,ping 对端 IDC 侧服务器的内网 IP 来激活通道。
说明
如果 ping 通,表示通道已激活,查看 VPN 通道状态是否已联通,如已联通,则问题解决,结束。
如果 ping 不通,请直接执行 步骤2。
2. 请
登录 IDC 侧的
VPN 设备,ping 腾讯云侧 VPN 网关的公网 IP(本例假设 VPN 网关公网 IP 为139.186.120.129),查看是否可以 ping 通。若是,请执行 步骤4。
若否,请执行 步骤3。
3. 请检
查 IDC 侧公网网络连
接状态,是否可以正常连接到互联网。若是,请执行 步骤4。
若否,请修复本地网络后,再查看 VPN 通道状态是否已联通,如已联通,则问题解决,结束;如未联通,则继续执行 步骤4。
4. 查看 ID
C 侧 VPN 设备的
安全策略,是否放通了腾讯云侧 VPN 网关的公网 IP 地址以及需要互通的内网地址。display current-configuration configuration security-policy //此处以华为防火墙为例
若是,请执行 步骤5。
若否,请修改安全策略,放通腾讯云侧 VPN 网关的 IP 以及对应 SPD 策略,再查看 VPN 通道状态是否已联通,如已联通,则问题解决,结束;如未联通,则继续执行 步骤5。
5. 比对
腾讯云侧
VPN 网关与对端 IDC 的 VPN 设备协商参数(IKE、IPsec 配置)及协商模式(主模式 main/野蛮模式 aggressive)是否一致。注意
任何一个参数不一致,VPN 通道都无法建立。
不同厂家设备、公有云服务提供商的默认 VPN 配置不尽相同。
IDC 侧设备配置参数可通过如下命令获取(此处以华为防火墙为例):
display current-configuration configuration ike profiledisplay current-configuration configuration ipsec policy
若是,请执行 步骤6。
若否,请修改相应参数,确保两端配置一致,然后再查看 VPN 通道状态是否已联通,如已联通,则问题解决,结束;如未联通,则继续执行 步骤6。
6. 请收集
以上检查信
息,并 提交工单 或联系设备厂商跟进处理。
