如何解决我的客户网关设备上的 AWS VPN 隧道不活动或隧道关闭问题?

1 分钟阅读
0

我观察到我的客户网关设备上的 AWS 虚拟专用网络(VPN)隧道存在不活动、不稳定或间歇性连接问题。

解决方法

客户网关设备上的 AWS VPN 隧道不活动或不稳定的常见原因包括以下几点:

检查 DPD 设置

如果 VPN 对等体连续三次未对 DPD 做出响应,则该对等体被视为未存活,隧道将关闭。

如果您的客户网关设备已启用 DPD,请确保以下情况属实:

  • 它被配置为接收和响应 DPD 消息
  • 它并不太忙,无法响应来自 AWS 对等体的 DPD 消息
  • 这不是限制 DPD 消息的速率,因为防火墙中已启用 IPS 功能
  • 它没有互联网传输问题

解决空闲超时问题

如果遇到由于 VPN 隧道上的流量低而导致的空闲超时,请检查以下各项:

  • 确认您的本地网络和虚拟私有云(VPC)之间具有持续的双向流量。如有必要,请创建一台主机,每隔 5 秒向虚拟私有云(VPC)中的实例发送 ICMP 请求。
  • 使用来自设备供应商的信息,查看 VPN 设备的空闲超时设置。如果在供应商特定的 VPN 空闲时间内没有流量通过 VPN 隧道,则 IPsec 会话将结束。查看您的特定设备相关的供应商文档

解决第 1 阶段或第 2 阶段的密钥重新生成问题

如果遇到由 VPN 隧道第 1 阶段或第 2 阶段不匹配导致的密钥重新生成问题,请检查以下各项:

  • 查看客户网关上的第 1 阶段或第 2 阶段生命周期字段。确保这些字段与 AWS 参数匹配。最佳做法是取消选中 VPN 隧道选项中客户网关对于 VPN 连接不需要的参数。
  • 确保在客户网关设备上激活完美前向保密(PFS)。默认情况下,PFS 在 AWS 端的对等体上激活。
  • 确保流向客户网关上的 UDP 端口 500 [IKE]、4500 [NAT-T] 和 IP 50 [ESP] 的入站流量允许为 AWS 端点重新生成密钥。

注意: IKEv2 生命周期值字段独立于对等体。因此,如果您设置了较低的生命周期值,则对等体始终会启动密钥重新生成。

有关详细信息,请参阅您的 Site-to-Site VPN 连接的隧道选项您的客户网关设备

解决间歇性连接问题

间歇性连接问题可能是由客户网关设备上基于策略的配置引起的。由于您正在使用多个加密域或代理 ID,您可能还会遇到间歇性连接问题。

  • 限制可以访问您的 VPC 的加密域(网络)的数量。如果您的 VPN 的客户网关后面有多个加密域,请将它们配置为使用单个安全关联。如需检查您的客户网关是否存在多个安全关联,请参阅对客户网关设备进行故障排除
  • 将您的客户网关设备配置为允许客户网关(0.0.0.0/0)后面目的地为 VPC 无类别域间路由(CIDR)的任何网络通过 VPN 隧道。此配置使用单个安全关联,从而提高了隧道的稳定性。此配置还允许策略中未定义的网络访问 VPC。

有关详细信息,请参阅如何解决 AWS VPN 端点和基于策略的 VPN 之间的连接问题?

相关信息

我的客户网关和我的虚拟专用网关之间的 VPN 隧道正常运行,但我无法通过它传递流量。我该怎么办?

AWS 官方
AWS 官方已更新 10 个月前