Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!
如何使用 Site-to-Site VPN 日志来检查隧道出现故障的原因?
我的 AWS Site-to-Site VPN 隧道关闭,我无法从本地网络访问我的资源。我想使用 Site-to-Site VPN 日志来检查隧道出现故障的原因。
解决方法
使用隧道活动日志监控 Site-to-Site VPN 隧道。激活隧道活动日志后,您可以使用 Amazon CloudWatch Logs 收集有关隧道中断和其他隧道问题的信息。
确保为 Site-to-Site VPN 的 AWS Identity and Access Management (IAM) 角色附加必需的权限。
**注意:**只有在激活 VPN 日志记录后,VPN 隧道日志才可用。如果 VPN 隧道在您激活日志记录之前出现瞬时中断,则您无法看到瞬时中断时的日志。
收集与中断相对应的时间戳
完成以下步骤:
- 打开 CloudWatch 控制台。
- 在指标下,选择所有指标。
- 选择 VPN 指标。
- 选择 VPN 隧道指标。
- 选择发生中断的隧道的 IP 地址。
- 选择 TunnelState 指标。
- 在绘成图表的指标下,选择以下选项:
对于统计数据,选择最小值。
对于周期,选择分钟。 - 记下中断的时间戳。
查看隧道活动日志
完成以下步骤:
- 打开 CloudWatch 控制台。
- 在导航窗格中,选择日志组。
- 选择与您的 Site-to-Site VPN 关联的日志组。
- 选择 Site-to-Site VPN 隧道关闭时段内的日志流。
- 查看日志中是否存在错误和警告,以确定问题。有关详细信息,请参阅 Site-to-Site VPN 日志内容。
以下示例是您可能会在隧道活动日志中发现的常见错误。
DPD 超时
如果日志显示 Peer is not responsive - Declaring peer dead 事件,则说明您遇到了无效对等体存活检测 (DPD) 超时问题。默认情况下,Site-to-Site VPN 会向客户网关发送 DPD R_U_THERE 消息。在连续三条消息没有响应后,Site-to-Site VPN 会认为对等体已失效并关闭隧道。要解决该问题,您还必须从客户网关收集调试日志。有关 DPD 超时原因的信息,请参阅如何解决客户网关设备上的 AWS VPN 隧道不活动或隧道关闭问题?
客户网关删除
如果日志显示 AWS tunnel received DELETE 事件,则说明客户网关向 Site-to-Site VPN 发送了一条删除隧道的消息。使用客户网关日志来确定客户网关发送删除消息的原因。
隧道建立问题
如果在设置隧道时隧道未建立,请查看隧道活动日志以确定问题。
日志示例:
{ "event_timestamp": 1723999332, "details": "AWS tunnel is evaluating proposals received from CGW", "dpd_enabled": true, "nat_t_detected": false, "ike_phase1_state": "down", "ike_phase2_state": "down" } { "event_timestamp":1723999332, "details":"AWS tunnel is processing proposals to find a matching configuration", "dpd_enabled":true, "nat_t_detected":false, "ike_phase1_state":"down", "ike_phase2_state":"down" } { "event_timestamp": 1723999332, "details": "No Proposal Match Found by AWS", "dpd_enabled": true, "nat_t_detected": false, "ike_phase1_state": "down", "ike_phase2_state": "down" }
在前面的示例中,详细信息字段显示 AWS 隧道和客户网关 (CGW) 上的算法不匹配。要解决此问题,请确保客户网关提供隧道支持的算法套件。有关支持的算法列表,请参阅 AWS Site-to-Site VPN 连接的隧道选项。
检查您的 Site-to-Site VPN 配置、网络设置和防火墙规则
如果仍然无法确定问题,请验证您的 Site-to-Site VPN 配置、网络设置或防火墙规则是否会导致隧道中断。这可能需要与您的 IT 团队、网络管理员或互联网服务提供商(ISP)合作,才能解决问题。
相关信息
使用 Amazon CloudWatch 监控 AWS Site-to-Site VPN 隧道
如何使用 AWSSupport-TroubleshootVPN 运行手册来解决 AWS Site-to-Site VPN 问题?
相关内容
- AWS 官方已更新 3 年前
