我看不到网络流量在我的 Amazon Virtual Private Cloud(Amazon VPC)连接的 AWS 端流动。如何检查 AWS VPN 隧道状态?
解决方法
验证您使用的是静态还是动态 Site-to-Site VPN 路由。不支持边界网关协议(BGP)的 VPN 设备必须使用静态路由。支持 BGP 的 VPN 设备可以使用动态路由。
使用 Amazon VPC 控制台检查当前状态
如果使用的是静态 VPN,请按照下列步骤进行操作:
- 登录 Amazon VPC 控制台。
- 在导航窗格中的 Site-to-Site VPN 连接下,选择 Site-to-Site VPN 连接。
- 选择您的 VPN 连接。
- 选择隧道详细信息视图。
- 查看您的 VPN 隧道的状态。
- 如果隧道状态为运行,请选择静态路由视图。务必指定本地防火墙后面的任何私有网络。
- 如果隧道状态为关闭,请验证您的本地防火墙是否已正确配置。
- 请务必在 VPC 路由表中启用路由传播。
如果您使用带有 BGP 的动态 VPN,请按照下列步骤进行操作:
- 登录 Amazon VPC 控制台。
- 在导航窗格中的 Site-to-Site VPN 连接下,选择 Site-to-Site VPN 连接。
- 选择您的 VPN 连接。
- 选择隧道详细信息视图。
- 查看您的 VPN 隧道的状态。
- 如果隧道状态为运行,请验证详细信息列中是否列出了一条或多条 BGP 路由。
- 如果隧道状态为关闭,但是详细信息列为 IPSEC 正常运行,请务必在防火墙上正确配置 BGP。互联网协议安全(IPSec)的第 2 阶段已建立,但 BGP 尚未建立。
- 请务必在 VPC 路由表中启用路由传播。
如果您继续遇到问题,请按照下列步骤进行操作:
- 验证您的 VPC 中的 Amazon Elastic Compute Cloud(Amazon EC2)实例的安全组是否允许适当的访问。有关更多信息,请参阅 Security groups for your VPC。
- 验证您的本地防火墙在其访问控制列表(ACL)和防火墙策略中是否允许相同的服务。
有关更多信息,请参阅 Troubleshooting your customer gateway device。
使用 Amazon CloudWatch 监控您的 VPN 隧道
您还可以使用 CloudWatch 检查 VPN 隧道的状态,并在隧道状态发生变化时收到通知。CloudWatch 可用于访问一段时间内的指标数据,以帮助评估隧道的稳定性。有关更多信息,请参阅 Monitoring VPN tunnels using Amazon CloudWatch。
相关信息
如何通过 VPN 解决 BGP 连接问题?