为什么 AWS VPN 在使用 IKEv2 VPN 隧道协商时会失败？

上次更新日期：2022 年 11 月 4 日

如果您的 VPN 隧道在进行 IKE 交换时失败，请检查以下设置：

注意：VPN 类别必须设置为 AWS VPN。IKEv2 不支持 AWS Classic VPN 连接。进行任何必要的更改以确保您的配置符合要求。

• 使用预共享密钥或数字证书建立 IKE 安全关联。
• 以隧道模式建立 IPsec 安全关联。
• 启用 IKEv2 死亡对等体检测。
• 将隧道绑定到某个逻辑接口（仅适用于基于路由的 VPN，不适用于基于策略的 VPN）。
• 在加密前对 IP 数据包进行分片。
• 建立边界网关协议 (BGP) 对等连接（可选）。
• 允许在您的网络和 VPN 终端节点之间路由 ISAKMP（UDP 端口 500）和封装安全有效载荷（IP 协议 50）流量。如果您使用网络地址转换遍历 (NAT-T)，则还需确保允许 UDP 端口 4500。
• Ping 您的 AWS VPN 终端节点。
• 使用正确的预共享密钥或数字证书。

• 将生命周期设置为一个 AWS 侧配置的值，介于 900 秒和 28800 秒之间（默认值）。
• 将加密算法设置为 AES-128 或 AES-256。
• 将哈希算法设置为 SHA-1 或 SHA-2(256)。
• 将伪随机函数（PRF）设置为与哈希算法相同的算法。
• 启用以下任意一个 Diffie-Hellman 组：2、14-18、22、23 或 24。

• 将生命周期设置为一个 AWS 侧配置的值，介于 900 秒和 3600 秒之间（默认值），该值应小于第 1 阶段的生命周期。
• 将加密算法设置为 AES-128 或 AES-256。
• 将哈希算法设置为 SHA-1 或 SHA-2(256)。
• 使用以下任意一个 Diffie-Hellman 组启用完美前向保密（PFS）：2、5、14-18、22、23 或 24。

有关更多信息，请参阅 Amazon Virtual Private Cloud 网络管理员指南。