如何排查加速 VPN 的问题？

解决方法

确认您的防火墙配置满足所有要求

有关详细信息，请参阅在互联网和客户网关设备之间配置防火墙。

确认已在客户网关设备上激活 NAT-traversal

加速 VPN 连接需要 NAT-traversal (NAT-T)。默认情况下，NAT-T 处于激活状态。如果您从 Amazon Virtual Private Cloud (Amazon VPC) 控制台下载了配置文件，请检查 NAT-T 设置并在必要时开启该设置。

**注意：**如果在客户网关设备上停用 NAT-T，隧道仍会出现。但是，在这种情况下，数据流量问题可能仍然存在。

有关详细信息，请参阅您的客户网关设备。

确认生命周期参数相匹配

IKE 隧道生命周期参数必须与 AWS Virtual Private Network (AWS VPN) 上的设置匹配。默认情况下，这些设置为：

• 第 1 阶段 28800 秒（8 小时）
• 第 2 阶段 3600 秒（1 小时）

必要时，更改 AWS VPN 参数以匹配 IKE 隧道参数。

确认连接与 Global Accelerator 的兼容（如果适用）

如果您的站点到站点 VPN 连接使用基于证书的身份验证，它可能与 AWS Global Accelerator 不兼容。Global Accelerator 对数据包分段的支持有限。如果您需要使用基于证书的身份验证的加速 VPN 连接，客户网关设备必须支持 IKE 分段。否则，不要激活 VPN 进行加速。有关更多信息，请参阅 AWS Global Accelerator 的工作原理 。

确认加速按照正确的顺序配置

无法为现有的站点到站点 VPN 连接激活或停用加速。相反，创建一个新的站点到站点 VPN 连接，并根据需要启用或停用加速。然后，将客户网关设备配置为使用新的站点到站点 VPN 连接。最后，删除之前的站点到站点 VPN 连接。有关加速 VPN 限制的更多信息，请参阅规则和限制。

---