Ben 向您演示如何
解决安全关联
不匹配错误

ben_security_association_mismatch

我正在使用基于策略的虚拟专用网络 (VPN) 连接到 Amazon Virtual Private Cloud (Amazon VPC) 中的 AWS VPN 终端节点。我遇到了问题,例如数据包丢失,间歇性连接或无连接性以及一般网络不稳定问题。如何对这些问题进行故障排除?

当您使用基于策略的 VPN 连接连接到 AWS VPN 终端节点时,AWS 会将安全关联的数量限制为一对。这一对包括一个入站和一个出站安全关联。

当使用不同的安全关联启动新连接时,具有多对安全关联的基于策略的 VPN 会丢弃现有连接。此行为可能表示存在间歇性数据包丢失和其他连接故障。不过,此行为表明新 VPN 连接已中断现有 VPN 连接。

限制可访问您的 VPC 的加密域(网络)的数量。如果 VPN 的客户网关后面有两个以上的加密域,请将它们配置为使用单个安全关联。要检查客户网关是否存在多个安全关联,请参阅客户网关故障排除指南以获取特定于设备的说明。

配置客户网关以允许客户网关 (0.0.0.0/0) 背后的任何网络(目的地是您的 VPC CIDR)通过 VPN 隧道。此配置使用单个安全关联,可提高隧道稳定性。它还允许未在策略中定义的网络访问 VPC。

如果可能,请在客户网关上实施流量过滤器,以阻止不必要的流量进入您的 VPC。配置安全组以指定可以到达实例的流量。还应配置网络访问控制列表(网络 ACL)以阻止不需要的子网流量。


此页面对您有帮助吗? |

返回 AWS Support 知识中心

需要帮助? 访问 AWS 支持中心

发布时间:2015 年 11 月 19 日

更新时间:2018 年 11 月 16 日