


 简短描述
-----



当您使用基于策略的 VPN 连接连接到 AWS VPN 终端节点时，AWS 会将安全关联的数量限制为一对。这一对包括一个入站和一个出站安全关联。


当具有不同安全关联的新连接启动时，拥有多对安全关联的基于策略的 VPN 将会丢弃现有连接。此行为表明新 VPN 连接已中断现有 VPN 连接。



 解决方法
-----



限制可访问您的 VPC 的加密域（网络）的数量。如果 VPN 的[客户网关](https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html)后面有 1 个以上的加密域，请将它们配置为使用单个安全关联。要检查客户网关是否存在多个安全关联，请参阅[客户网关设备故障排除](https://docs.aws.amazon.com/vpc/latest/adminguide/Troubleshooting.html)。


[配置客户网关](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-configure-customer-gateway-device)以允许客户网关（0.0.0.0/0）背后的任何网络 [目的地是您的 VPC 无类别域间路由（CIDR）] 通过 VPN 隧道。此配置使用单个安全关联，可提高隧道稳定性。此配置还允许未在策略中定义的网络访问 VPC。


如果可能，请在客户网关上实施流量过滤器，以阻止不必要的流量进入您的 VPC。[配置安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#creating-security-groups)以指定可以到达实例的流量。还应配置[网络访问控制列表（网络 ACL）](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)以阻止不需要的子网流量。





---




 相关信息
-----



[Amazon VPC 中的 IKE（VPN 隧道阶段 1）为什么失败？](https://repost.aws/zh-Hans/knowledge-center/vpn-tunnel-phase-1-ike)


[为什么 AWS Site-to-Site VPN 的 IPsec/Phase 2 无法建立连接？](https://repost.aws/zh-Hans/knowledge-center/vpn-tunnel-phase-2-ipsec)







我正在使用基于策略的虚拟专用网络（VPN）连接到 Amazon Virtual Private Cloud（Amazon VPC）中的 AWS Virtual Private Network（AWS VPN）端点。我遇到了问题，例如数据包丢失、间歇性连接或没有连接以及一般网络不稳定问题，我想排查这些问题。

如何解决 AWS VPN 终端节点与基于策略的 VPN 之间的连接问题？

如何解决 AWS VPN 终端节点与基于策略的 VPN 之间的连接问题？

简短描述

解决方法

相关信息

相关内容