如何排查重新生成密钥期间的 IKEv2 隧道稳定性问题？

解决方法

要排查重新生成密钥期间的 IKEv2 隧道稳定性问题：

• 确认在客户网关上为第 2 阶段配置激活了“完全前向保密（PFS）”。
• 如果您的客户网关配置为基于策略的 VPN，请确定是否必须重新配置 VPN 连接以使用特定的流量选择器。默认情况下，AWS VPN 终端节点配置为基于路由的 VPN。AWS 使用 0.0.0.0/0 和 0.0.0.0/0 为流量选择器启动子安全关联 (SA) 重新生成密钥。某些客户网关设备不接受 AWS 启动的第 2 阶段重新生成密钥。这是因为 AWS VPN 端点上的流量选择器与客户网关设备上配置的流量选择器不匹配。在这种情况下，您可以将 AWS VPN 连接配置为使用与客户网关匹配的特定流量选择器。

要将新的 VPN 连接配置为使用特定的流量选择器：

1.    为 Local IPv4 Network CIDR（本地 IPv4 网络 CIDR）指定本地（客户端）CIDR 范围。

2.    为 Remote IPv4 Network CIDR（远程 IPv4 网络 CIDR）指定 AWS 端 CIDR 范围。

要将现有 VPN 连接配置为使用特定的流量选择器：

1.    选择必须在 AWS 端修改流量选择器的 AWS VPN 连接。    

2.    选择 Actions（操作），然后从下拉列表中选择 Modify VPN Connection Options（修改 VPN 连接选项）。

3.    为 Local IPv4 Network CIDR（本地 IPv4 网络 CIDR）指定本地（客户端）CIDR 范围。

4.    为 Remote IPv4 Network CIDR（远程 IPv4 网络 CIDR）指定 AWS 端 CIDR 范围。

5.    选择 Save（保存）。

**注意：**在 VPN 连接更新期间，VPN 连接在短时间内不可用。

**重要提示：**修改 VPN 连接选项时，不会进行以下任何更改：

• AWS 端的 VPN 终端节点 IP 地址
• 隧道选项

---