AWS S2S VPN - 基于策略的实现 VS 基于路由的实现

【以下的回答经过翻译处理】 您好，

请注意，在CGW上使用策略型VPN存在SA（Security Association）的限制。

请参考VPN常见问题解答中的以下内容https://aws.amazon.com/vpn/faqs/：

问：每个隧道可以同时建立多少个IPsec安全关联（SA）？

答：AWS VPN服务是基于路由的解决方案，因此在使用基于路由的配置时，您不会遇到SA的限制。但是，如果您使用基于策略的解决方案，您需要将SA限制为单个，因为该服务是基于路由的解决方案。

此知识中心文章https://aws.amazon.com/premiumsupport/knowledge-center/vpn-connection-instability/详细描述了此问题。

有关站点到站点VPN路由选项的更多信息，请参阅此处https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html#vpn-static-dynamic。