我使用 IKEv2 创建了一个 AWS 虚拟专用网络(AWS VPN)连接。VPN 隧道已启动并正常工作,但是在重新生成密钥时这些隧道关闭了,并且没有重新启动。如何排查此问题?
解决方法
要排查重新生成密钥期间的 IKEv2 隧道稳定性问题:
- 确认在客户网关上为第 2 阶段配置激活了“完全前向保密(PFS)”。
- 如果您的客户网关配置为基于策略的 VPN,请确定是否必须重新配置 VPN 连接以使用特定的流量选择器。默认情况下,AWS VPN 终端节点配置为基于路由的 VPN。AWS 使用 0.0.0.0/0 和 0.0.0.0/0 为流量选择器启动子安全关联 (SA) 重新生成密钥。某些客户网关设备不接受 AWS 启动的第 2 阶段重新生成密钥。这是因为 AWS VPN 端点上的流量选择器与客户网关设备上配置的流量选择器不匹配。在这种情况下,您可以将 AWS VPN 连接配置为使用与客户网关匹配的特定流量选择器。
要将新的 VPN 连接配置为使用特定的流量选择器:
1. 为 Local IPv4 Network CIDR(本地 IPv4 网络 CIDR)指定本地(客户端)CIDR 范围。
2. 为 Remote IPv4 Network CIDR(远程 IPv4 网络 CIDR)指定 AWS 端 CIDR 范围。
要将现有 VPN 连接配置为使用特定的流量选择器:
1. 选择必须在 AWS 端修改流量选择器的 AWS VPN 连接。
2. 选择 Actions(操作),然后从下拉列表中选择 Modify VPN Connection Options(修改 VPN 连接选项)。
3. 为 Local IPv4 Network CIDR(本地 IPv4 网络 CIDR)指定本地(客户端)CIDR 范围。
4. 为 Remote IPv4 Network CIDR(远程 IPv4 网络 CIDR)指定 AWS 端 CIDR 范围。
5. 选择 Save(保存)。
**注意:**在 VPN 连接更新期间,VPN 连接在短时间内不可用。
**重要提示:**修改 VPN 连接选项时,不会进行以下任何更改:
- AWS 端的 VPN 终端节点 IP 地址
- 隧道选项