当我使用 Site-to-Site VPN 时,如何解决 Amazon VPC 的间歇性连接问题?

1 分钟阅读
0

当我使用 AWS Site-to-Site VPN 连接时,我想解决与 Amazon Virtual Private Cloud (Amazon VPC) 的间歇性连接问题。

解决方法

以下原因可能会导致通过 Site-to-Site VPN 连接与 Amazon VPC 的间歇性连接:

  • 您的 Amazon VPC 和本地网络的 IP 地址范围重叠。
  • VPN 软件和设备的配置或兼容性问题不允许 Site-to-Site VPN 隧道建立连接。
  • 存在流量路由问题。
  • 客户网关不使用基于策略的 VPN 连接到基于策略的 VPN 端点。
  • 连接中出现数据包丢失。

IP 地址范围重叠

请确保您的 Amazon VPC 和本地网络具有不同的 IP 地址范围

阻止连接的配置或兼容性问题

验证互联网密钥交换 (IKE)/第 1 阶段和互联网协议安全 (IPsec)/第 2 阶段是否能够建立连接。然后,验证客户网关设备是否允许隧道建立连接

检查客户网关设备上是否存在以下常见错误:

  • VPN 隧道的第 1 阶段或第 2 阶段不匹配会导致密钥重新生成问题。
  • 客户网关上的第 1 阶段和第 2 阶段生命周期字段与 AWS 参数不匹配。
    **注意:**IKEv2 生命周期值字段独立于对等体。
  • 加密域或流量选择器不包括源网络和目标网络。
  • 配置为静态路由的 Site-to-Site VPN 会出现非对称路由。

确保客户网关设备有一个 VPN 连接。然后,验证 VPN 连接是否通过第二台客户网关设备具有冗余性。有关详细信息,请参阅 Site-to-Site VPN 单个和多个 VPN 连接示例

流量路由问题

有关如何解决流量路由问题的说明,请参阅如何解决通过 Site-to-Site VPN 进行流量路由的问题?

不使用基于策略的 Site-to-Site VPN 端点的客户网关

如果您的客户网关设备连接到基于策略的 Site-to-Site VPN 端点,则该设备必须使用基于策略的 Site-to-Site VPN 连接。将客户网关设备的配置限制为一组入站和出站安全关联 (SA)。有关详细信息,请参阅 AWS Site-to-Site VPN 客户网关设备的静态和动态配置文件

**注意:**对于基于策略和路由的 Site-to-Site VPN 连接,AWS 允许对每个第 1 阶段 SA 使用一组入站和出站第 2 阶段 SA。

数据包丢失

有关如何排查数据包丢失问题的说明,请参阅如何排查 AWS VPN 连接上的数据包丢失问题?

AWS 官方
AWS 官方已更新 2 个月前