For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?
如何对客户网关设备上的 Site-to-Site VPN 隧道不活动、隧道摆动或隧道关闭的问题进行故障排除?
我想对客户网关设备上的 AWS Site-to-Site VPN 隧道的连接问题进行故障排除。
解决方法
由于以下原因之一,您可能会遇到 Site-to-Site VPN 隧道不活动、不稳定、摆动或隧道关闭的情况:
- 互联网密钥交换 (IKE)/第 1 阶段或互联网协议安全 (IPsec)/第 2 阶段出现故障。
- IPsec 无效对等体存活检测 (DPD) 监控存在问题。
- Site-to-Site VPN 隧道的流量较低或供应商特定的客户网关配置问题导致空闲超时。
- Site-to-Site VPN 隧道第 1 阶段或第 2 阶段存在密钥重新生成问题。
- 客户网关设备上基于策略的 Site-to-Site VPN 连接会导致间歇性连接。
- 静态路由会导致间歇性连接。
- 您的客户网关设备配置不正确。
使用隧道活动日志监控 Site-to-Site VPN 隧道并收集有关隧道中断和其他隧道问题的信息。
排查导致隧道关闭的 IKE/第 1 阶段或 IPsec/第 2 阶段故障
验证 Site-to-Site VPN 连接的隧道是否已启动。如果连接已关闭,请排查 IKE/第 1 阶段和 IPsec/第 2 阶段故障。
对 DPD 监控问题进行故障排除
如果遇到 DPD 超时,您的日志会显示以下消息: "Peer is not responsive - Declaring peer dead." 默认情况下,Site-to-Site VPN 每隔 10 秒向客户网关发送一次 "DPD R_U_THERE" 消息。在连续三条消息无响应后,Site-to-Site VPN 会认为对等体已失效。然后,Site-to-Site VPN 会关闭连接。
如果您的客户网关设备上的 DPD 处于活动状态,请检查以下配置:
- 确认您的客户网关设备已配置为接收和响应 DPD 消息。
- 检查您的客户网关设备能否用于响应来自 AWS 对等体的 DPD 消息。
- 如果防火墙中的入侵防御系统功能处于活动状态,请验证您的客户网关设备是否允许在没有速率限制的情况下发送 DPD 消息。
- 确认您的客户网关设备是否具有稳定可靠的互联网连接。
如果在发生 DPD 超时的情况下 Site-to-Site VPN 无需执行任何操作,请将您的 DPD 超时操作更改为无。
对空闲超时问题进行故障排除
确认您的本地网络和虚拟私有云 (VPC) 之间具有持续的双向流量。要确认流量,请创建每隔 5 秒向您的 VPC 中的实例发送互联网控制消息协议请求的主机。
使用来自设备供应商的信息,以查看 VPN 设备的空闲超时设置。如果在供应商特定的 VPN 空闲时间内流量未通过 Site-to-Site VPN 隧道,则 IPsec 会话将结束。
对第 1 阶段或第 2 阶段的密钥重新生成问题进行故障排除
查看客户网关上的第 1 阶段或第 2 阶段生命周期字段。确保这些字段与 AWS 参数相匹配。最佳做法是仅选择必要的 Site-to-Site VPN 隧道选项。
确保在客户网关设备上激活完美前向保密 (PFS)。默认情况下,AWS 会在 AWS 端激活 PFS。
注意:****IKEv2 生命周期值字段独立于对等体。如果您设置了较低的生命周期值,则对等体会启动密钥重新生成。最佳做法是配置一个对等体来启动密钥重新生成。
使用基于策略的 VPN 对连接问题进行故障排除
确保客户网关设备覆盖 Site-to-Site VPN 连接的 IPv4 和 IPv6 CIDR 范围。默认范围为 0.0.0.0/0。
如果客户网关端的 Site-to-Site VPN 基于策略,请指定覆盖预期流量的加密域。
**注意:**Site-to-Site VPN 仅支持一个加密域。如果 VPN 包含多个网络,请汇总客户网关设备上的加密域,以仅维护一对安全关联。
对静态路由的连接问题进行故障排除
**注意:**最佳做法是使用动态路由而不是静态路由。有关详细信息,请参阅 Site-to-Site VPN 中的静态和动态路由。
使用静态路由并配置为主动/主动设置的 Site-to-Site VPN 隧道可能会遇到连接问题。请确保您的客户网关设备支持动态路由。如果客户网关设备不支持动态路由,请配置静态 VPN 以避免非对称路由。
因客户网关配置导致的连接问题
完成以下步骤:
- 检查客户网关是否位于 NAT 设备后面。或者,验证 Site-to-Site VPN 连接的加速功能是否已开启。
- 确保客户网关设备上的 NAT-T 处于活动状态。同时验证 UDP 数据包是否可以通过端口 4500 在网络和 VPN 端点之间传输。
- 如果客户网关不在 NAT 设备后面,请验证端口 50 是否允许 UDP 数据包在网络和 VPN 端点之间传输。
- 验证您的客户网关设备的防火墙规则是否允许本地网络和 AWS 之间的流量。
- 排查与您的特定客户网关设备关联的连接问题。
相关信息
- 语言
- 中文 (简体)
