全部文档
当前文档
最近更新时间:2025-11-06 16:16:47
通道状态正常但内网却无法联通,可能原因如下:
(1)路由配置检查
VPC路由表:确认已添加指向对端IDC内网网段的路由,且下一跳指向目标VPN网关。
VPN2.0网关:确认VPN网关下路由已指向对端IDC内网网段,且下一跳指向目标VPN通道
本地网关路由:确认IDC侧网络设备已配置指向金山云VPC网段的路由。
(2)安全策略检查
VPC安全组/网络ACL:检查相关安全组与网络访问控制规则是否放行了来自对端内网网段的ICMP及业务流量。
本地防火墙:确认IDC侧防火墙已放行来自金山云VPC网段的访问。
(3)VPN配置核对
VPN通道配置:检查云上VPN连接中的IKE策略和IPsec策略中的协商模式和加密算法是否与远端配置一致。操作可参考:https://docs.ksyun.com/documents/43033?type=3
(4)操作系统层面检查
确认VPC或IDC侧的目标服务器操作系统防火墙(如iptables、Windows Firewall)已允许对端IP的ICMP请求。
若上述均未解决问题,请提交工单联系金山云售后工程师。
(1)公网链路质量波动:金山云VPN网关与用户IDC之间的公网运营商链路存在拥塞或其他异常,可以提交工单联系金山云售后工程师排查。
(2)资源瓶颈:可能为VPN网关带宽受限,登录云监控控制台查看vpn带宽使用比例,如有带宽瓶颈,建议调整配置;或者源/目标服务器自身性能使用过高,导致处理速度下降。
VPN隧道协商依赖于IKE(第一阶段)和IPSec(第二阶段)两个阶段的安全参数协商。任一阶段参数不匹配,都会导致隧道无法建立。当隧道协商不成功时,首要的排查方向是逐项比对云上VPN网关与本地数据中心设备侧的配置参数,确保其完全一致。
(1)检查第一阶段(IKE SA)协商状态
若IKE SA未能建立,问题集中在IKE策略。请重点检查并确认以下参数在两端完全匹配:认证算法、加密算法、Diffie-Hellman组、IKE版本。
预共享密钥 必须完全一致,包括空格和大小写。
(2)检查第二阶段(IPSec SA)协商状态
若IKE SA已成功建立(表明第一阶段协商通过),但IPSec SA无法建立,则问题通常出在IPSec策略配置不一致。
请重点核查以下参数:认证算法、加密算法、SA生存周期。任何一项不匹配都会导致第二阶段协商失败。
(3)无流量激活
多出现于感兴趣流模式,此方式没有健康检查探测,需要选择双端各一台云服务器进行互ping
(4)检查是否配置了VPN路由
可参见https://docs.ksyun.com/documents/43031?type=3并检查对端VPN网关IP是否可以ping通。
若上述均未解决问题,请提交工单联系金山云售后工程师。
业务访问正常,即可证明VPN连接已成功建立,控制台的状态显示存在一定延迟。
(1)网络连通性故障
对端IP可达性:验证云上VPN网关的公网IP与本地设备公网IP之间的网络是否通畅。
运营商链路抖动:公网运营商链路可能出现临时中断或质量劣化。
(2)安全策略阻隔
云平台策略:检查VPN网关关联的安全组、子网网络ACL,确保放行了业务的出入站流量。
本地防火墙:确认本地网络防火墙或设备安全策略未拦截VPN协商流量。
(3)配置变更所致
通道删除:确认云上VPN通道或相关配置未被意外删除。
关键参数更改:检查预共享密钥、IKE/IPsec配置等是否在任一端被修改。
若上述均未解决问题,请提交工单联系金山云售后工程师。
纯净模式
