我的防火墙实施基于策略的 VPN,在连接 AWS VPN 终端节点时,我遇到了间歇性连接问题。出现的部分问题包括:数据包丢失、间歇性连接或无连接以及常规的网络不稳定。

使用基于策略的 VPN 配置时,AWS 将安全关联数限制为一对 (一个入站和一个出站)。如果基于策略的 VPN 配置有多个安全关联,则在发起使用不同安全关联的 VPN 隧道连接时,这些 VPN 将删除现有的 VPN 隧道连接。此问题将被视为间歇性数据包丢失或连接失败,因为具有一个安全关联的新 VPN 连接会中断使用其他安全关联建立的 VPN 隧道连接。

通过下列某一种方法解决此问题:

  • 限制允许访问 Virtual Private Cloud (VPC) 的加密域 (网络) 的数量并进行整合。如果客户网关后面有两个以上的加密域 (网络),请将其进行整合以使用一个安全关联。
  • 将策略配置为允许从客户网关后面到 VPC CIDR 的“任何”网络 (0.0.0.0/0)。实际上,这相当于允许客户网关后面目标为 AWS VPC 的任何网络通过该隧道,这将仅创建一个安全关联。这样可以提高隧道的稳定性,并且允许将来策略中未定义的网络访问 AWS VPC。这通常是解决此问题的最佳建议方法。

请注意
如果可能,可以在客户网关上实施流量过滤器以阻止不需要的流量流向 VPC。您也可以配置安全组以指定可以到达实例的流量,以及用于阻止不需要的流量流向子网的网络访问控制列表 (NACL)。

AWS, VPN, VPC, 隧道删除, 连接, 数据包丢失, 隧道不稳定, 问题排查


此页面对您有帮助吗? |

返回 AWS Support 知识中心

需要帮助? 请访问 AWS 支持中心

发布时间:2015 年 11 月 19 日