当客户网关正常运行时，为什么我的 AWS Site-to-Site VPN 连接处于“关闭的 IPSEC 正常运行”状态？

简短描述

Site-to-Site VPN 控制台可能会显示您的连接状态为 IPSEC 正常运行，但隧道状态为关闭。这意味着互联网协议安全（IPsec）已建立，但边界网关协议（BGP）尚未建立。要使动态 Site-to-Site VPN 连接在 AWS 端显示为“正常运行”，必须成功建立 IPSEC 和 BGP。

解决方法

确认客户网关支持 BGP

1. 确认您的客户网关支持并配置了 BGP。
2. 确认连接的本地端使用动态（BGP）还是静态（基于策略的 Site-to-Site VPN 或基于静态路由的 Site-to-Site VPN）。如果本地端使用静态路由，则必须在 AWS 端重新创建 Site-to-Site VPN。

当您使用 AWS 创建 Site-to-Site VPN 连接时，默认情况下会选择动态路由选项。如果您在不选择静态路由的情况下创建 Site-to-Site VPN 连接，则会创建动态 Site-to-Site VPN。您无法修改现有 Site-to-Site VPN 连接的路由选项，因此必须创建新的 Site-to-Site VPN 才能使用静态路由。

当您删除 Site-to-Site VPN 连接并创建新连接时，会为隧道分配一对新的公有 IP 地址。您必须重新配置客户网关设备，并相应地更新公共对等 IP。但是，当您创建新连接时，可以使用 IP 内部的隧道和之前的 Site-to-Site VPN 连接中的预共享密钥。您无需使用 AWS 自动生成的详细信息。

验证加密域和代理 ID

1. 确认在 AWS 和您的客户网关设备上配置的加密域或代理 ID 是否为 0.0.0.0/0 = 0.0.0.0/0。
2. 在 AWS 端，检查本地 IPV4 网络 CIDR（本地 CIDR）和远程 IPv4 网络 CIDR（AWS CIDR）。
3. 在客户网关上，按照供应商提供的准则检查加密域和代理 ID。
4. 如果您已为您的连接启用了 Site-to-Site VPN 日志，请查看包含您的 Site-to-Site VPN 日志的 Amazon CloudWatch 日志组。为关联的 Site-to-Site VPN 端点选择日志流。然后，选择 AWS 隧道阶段 2 SA 已使用 SPI 建立** 来筛选日志流。现在，您可以查看客户网关协商的流量选择器，假设 AWS 端的默认值为 0.0.0.0/0 = 0.0.0.0/0。

日志流的格式类似于 vpn-id-VPN_Peer_IP-IKE.log。请参阅以下示例输出：

{
"event_timestamp": 1673252138,
"details": "AWS tunnel Phase 2 SA is established with
inbound SPI: 0xcbf7f2e3: outbound SPI: 0xc9be76cd: traffic selectors:
(AWS-side) 172.31.0.0/16 <=> (CGW-side) 10.0.0.0/16",
"dpd_enabled": true,
"nat_t_detected": true,
"ike_phase1_state": "established",
"ike_phase2_state": "established"}

**注意：**如果您使用的是动态 Site-to-Site VPN 连接，则流量选择器必须足够宽泛，以涵盖所有流量。这包括用于 BGP 对等体的 APIPA IP 地址。在前面的示例中，您将客户网关设备上的加密域更新为 0.0.0.0/0 (AWS) <==> **0.0.0.0/**0（本地）。

如果您的连接的 AWS 端定义了特定加密域，请修改 Site-to-Site VPN 连接选项。确保本地 IPv4 网络 CIDR 和远程 IPv4 网络 CIDR 均设置为 0.0.0.0/0。

为开启了加速的 Site-to-Site VPN 启用 NAT-T

当开启加速时，您的 Site-to-Site VPN 可能会在中转网关上终止。使用此设置，请确保在客户网关设备上激活 NAT-T。

**注意：**必须为开启了加速的 Site-to-Site VPN 启用 NAT-T。如果未在客户网关设备上激活 NAT-T 而建立了 IPsec，则不会有流量流经 Site-to-Site VPN 连接。这包括 BGP 流量。有关详细信息，请参阅开启了加速的 Site-to-Site VPN 的规则和限制。

BGP 故障排除

如果问题仍然存在，请查看如何排查 VPN 上的 BGP 连接问题？中的步骤