Stay up to date with the latest from the Knowledge Center. See all new and updated Knowledge Center articles published in the last month and re:Post’s top contributors.
如何解决客户网关设备上的 Site-to-Site VPN 隧道不活动、隧道摆动或隧道关闭的问题?
我想解决客户网关设备上的 AWS Site-to-Site VPN 隧道的连接问题。
解决方法
客户网关设备上的以下常见错误可能导致隧道不活动、不稳定、摆动或 Site-to-Site VPN 隧道关闭:
- 互联网密钥交换 (IKE)/第 1 阶段或互联网协议安全 (IPsec)/第 2 阶段故障会导致隧道关闭。
- IPsec 无效对等体存活检测 (DPD) 监控存在问题。
- 由于 Site-to-Site VPN 隧道的低流量或供应商特定的客户网关配置问题导致的空闲超时。
- Site-to-Site VPN 隧道第 1 阶段或第 2 阶段的密钥重新生成问题。
- 客户网关设备上基于策略的 Site-to-Site VPN 连接会导致间歇性连接。
- 静态路由会导致间歇性连接。
- 客户网关设备配置不正确。
使用隧道活动日志监控 Site-to-Site VPN 隧道并收集有关隧道中断和其他隧道问题的信息。然后,执行以下操作:
解决导致隧道关闭的 IKE/第 1 阶段或 IPsec/第 2 阶段故障
验证 Site-to-Site VPN 连接的隧道是否已启动。如果连接已关闭,请对 IKE/第 1 阶段和 IPsec/第 2 阶段故障进行故障排除。
解决 DPD 监控问题
如果遇到 DPD 超时,您的日志会显示以下消息: “Peer is not responsive - Declaring peer dead.”(Peer 无响应 - 宣布对等体无效。) 默认情况下,Site-to-Site VPN 每隔 10 秒向客户网关发送一次“DPD R_U_THERE”消息。在连续三条消息无响应后,Site-to-Site VPN 会认为对等体已失效。然后,Site-to-Site VPN 会关闭连接。
如果您的客户网关设备上的 DPD 处于活动状态,请检查以下内容:
- 您的客户网关设备配置为接收和响应 DPD 消息。
- 您的客户网关设备可用于响应来自 AWS 对等体的 DPD 消息。
- 如果防火墙中的入侵防御系统功能处于活动状态,请验证您的客户网关设备是否允许在没有速率限制的情况下发送 DPD 消息。
- 您的客户网关设备具有稳定可靠的互联网连接。
如果在发生 DPD 超时的情况下 Site-to-Site VPN 必须不采取任何操作,请将您的 DPD 超时操作更改为“无”。
解决空闲超时问题
确认您的本地网络和虚拟私有云 (VPC) 之间具有持续的双向流量。要确认流量,请创建每隔 5 秒向您的 VPC 中的实例发送互联网控制消息协议请求的主机。
使用来自设备供应商的信息,以查看 VPN 设备的空闲超时设置。如果在供应商特定的 VPN 空闲时间内流量未通过 Site-to-Site VPN 隧道,则 IPsec 会话将结束。
解决第 1 阶段或第 2 阶段的密钥重新生成问题
查看客户网关上的第 1 阶段或第 2 阶段生命周期字段。确保这些字段与 AWS 参数相匹配。最佳做法是仅选择必要的 Site-to-Site VPN 隧道选项。
确保在客户网关设备上激活完美前向保密 (PFS)。默认情况下,PFS 在 AWS 端处于激活状态。
注意: IKEv2 生命周期值字段独立于对等体。如果您设置了较低的生命周期值,则对等体会启动密钥重新生成。最佳做法是配置一个对等体来启动密钥重新生成。
使用基于策略的 VPN 解决连接问题
确保客户网关设备覆盖 Site-to-Site VPN 连接的 IPv4 和 IPv6 CIDR 范围。默认范围为 0.0.0.0/0。
如果客户网关端的 Site-to-Site VPN 基于策略,请[指定覆盖预期流量的加密域](https://docs.aws.amazon.com/vpn/latest/s2svpn/modify-vpn-connection-options.html)。
**注意:**Site-to-Site VPN 仅支持一个加密域。如果 VPN 包含多个网络,请汇总客户网关设备上的加密域,以仅维护一对安全关联。
对静态路由的连接问题进行故障排除
**重要事项:**最佳做法是使用动态路由而不是静态路由。有关详细信息,请参阅 AWS Site-to-Site VPN 中的静态和动态路由。
使用静态路由并配置为主动/主动设置的 AWS Site-to-Site VPN 隧道可能会遇到连接问题。请确保您的客户网关设备支持动态路由。如果客户网关设备不支持动态路由,请配置静态 VPN 以避免非对称路由。
因客户网关配置导致的连接问题
完成以下步骤:
- 检查客户网关是否位于 NAT 设备后面。或者,验证 Site-to-Site VPN 连接的加速功能是否已开启。然后,确保客户网关设备上的 NAT-traversal (NAT-T) 处于活动状态。验证 UDP 数据包是否可以通过端口 4500 在网络和 VPN 端点之间传输。
- 如果客户网关不在 NAT 设备后面,请验证端口 50 是否允许 UDP 数据包在网络和 VPN 端点之间传输。
- 验证您的客户网关设备的防火墙规则是否允许本地网络和 AWS 之间的流量。
- 解决与您的特定客户网关设备关联的连接问题。
相关信息
相关内容
- AWS 官方已更新 2 年前
- AWS 官方已更新 6 个月前
- AWS 官方已更新 2 年前
- AWS 官方已更新 7 个月前
