Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
如何對客戶閘道裝置上的 Site-to-Site VPN 通道閒置、通道頻繁切換或通道中斷進行疑難排解?
我想解決客戶閘道裝置上 AWS Site-to-Site VPN 通道的連線問題。
解決方法
您可能會因下列其中一個原因,在 Site-to-Site VPN 上遇到通道閒置、不穩定、頻繁切換,或通道中斷:
- 發生網際網路金鑰交換 (IKE)/第 1 階段或網際網路通訊協定安全性 (IPsec)/第 2 階段失敗。
- 您在 IPsec 無效對等端偵測 (DPD) 監控時遇到問題。
- Site-to-Site VPN 通道上的流量過低,或廠商特定的客戶閘道組態問題導致閒置逾時。
- Site-to-Site VPN 通道的第 1 階段或第 2 階段發生重新金鑰問題。
- 客戶閘道裝置上的政策型 Site-to-Site VPN 連線導致間歇性連線問題。
- 靜態路由導致間歇性連線問題。
- 您未正確設定客戶閘道裝置。
使用通道活動日誌監控 Site-to-Site VPN 通道,並收集通道中斷與其他通道問題的相關資訊。
疑難排解導致通道中斷的 IKE/第 1 階段或 IPsec/第 2 階段失敗
確認 Site-to-Site VPN 連線的通道處於啟用狀態。如果連線處於停用狀態,則請疑難排解 IKE/第 1 階段與 IPsec/第 2 階段失敗。
DPD 監控問題疑難排解
當您遇到 DPD 逾時時,日誌會顯示下列訊息: 「Peer is not responsive - Declaring peer dead.」 依預設,Site-to-Site VPN 每 10 秒會傳送「DPD R_U_THERE」訊息至客戶閘道。在連續三則訊息未收到回應後,Site-to-Site VPN 會將對等端視為已失效。接著,Site-to-Site VPN 會關閉連線。
如果您的客戶閘道裝置已啟用 DPD,請檢查下列組態:
- 確認您已將客戶閘道裝置設定為可接收並回應 DPD 訊息。
- 檢查您的客戶閘道裝置是否可用,以回應來自 AWS 對等端的 DPD 訊息。
- 如果防火牆中已啟用入侵防護系統功能,請確認客戶閘道裝置允許 DPD 訊息且未進行限流。
- 確認客戶閘道裝置具有穩定且可靠的網際網路連線。
如果 Site-to-Site VPN 在發生 DPD 逾時時必須不採取任何動作,則請將 DPD 逾時動作變更為無。
疑難排解閒置逾時
確認您的本機網路與虛擬私有雲端 (VPC) 之間存在持續的雙向流量。若要確認流量,請建立一部主機,每 5 秒向 VPC 中的執行個體傳送一次網際網路控制訊息通訊協定請求。
請參閱裝置廠商提供的資訊,以檢閱 VPN 裝置的閒置逾時設定。如果在廠商特定的 VPN 閒置時間內,流量未通過 Site-to-Site VPN 通道,則 IPsec 工作階段會結束。
疑難排解第 1 階段或第 2 階段的重新金鑰問題
檢閱客戶閘道上的第 1 階段或第 2 階段存留時間欄位。請確保這些欄位與 AWS 參數相符。最佳實務是僅選取必要的 Site-to-Site VPN 通道選項。
請確保您已在客戶閘道裝置上啟用完全正向保密 (PFS)。AWS 端預設會啟用 PFS。
注意:****IKEv2 存留時間值欄位與對等端無關。如果您設定較低的存留時間值,則對等端會起始重新金鑰。最佳實務是設定其中一個對等端起始重新金鑰。
疑難排解政策型 VPN 的連線問題
請確保客戶閘道裝置涵蓋 Site-to-Site VPN 連線的 IPv4 與 IPv6 CIDR 範圍。預設範圍為 0.0.0.0/0。
如果客戶閘道端的 Site-to-Site VPN 為政策型,則請指定涵蓋預期流量的加密網域。
**注意:**Site-to-Site VPN 僅支援一個加密網域。如果 VPN 包含多個網路,請在客戶閘道裝置上彙總加密網域,以僅維持一組安全關聯配對。
疑難排解靜態路由的連線問題
**注意:**最佳實務是使用動態路由而非靜態路由。如需詳細資訊,請參閱 Site-to-Site VPN 中的靜態與動態路由。
使用靜態路由且設定為主動/主動的 Site-to-Site VPN 通道可能會遇到連線問題。請確保您的客戶閘道裝置支援動態路由。如果客戶閘道裝置不支援動態路由,則請設定靜態 VPN 以避免非對稱路由。
因客戶閘道組態導致的連線問題
請完成以下步驟:
- 確認客戶閘道是否位於 NAT 裝置後方。或驗證是否已為 Site-to-Site VPN 連線啟用加速。
- 請確保客戶閘道裝置上已啟用 NAT-T。同時請驗證 UDP 封包可透過連接埠 4500 在網路與 VPN 端點之間傳遞。
- 如果客戶閘道未位於 NAT 裝置後方,請驗證連接埠 50 允許 UDP 封包在網路與 VPN 端點之間傳遞。
- 請驗證客戶閘道裝置的防火牆規則允許內部部署網路與 AWS 之間的流量。
- 對連線問題進行疑難排解,並針對您的特定客戶閘道裝置進行處理。
相關資訊
- 語言
- 中文 (繁體)
