如何排查重新生成密钥期间的 IKEv2 隧道稳定性问题?

上次更新日期:2021 年 1 月 26 日

我使用 IKEv2 创建了一个 AWS 虚拟专用网络 (AWS VPN) 连接。VPN 隧道已启动并正常工作,但是在重新生成密钥时这些隧道关闭了,并且没有重新启动。如何排查此问题?

解决方法

要排查重新生成密钥期间的 IKEv2 隧道稳定性问题:

  • 确认在客户网关上为第 2 阶段配置启用了“完全前向保密 (PFS)”。
  • 确认您为第 1 阶段和第 2 阶段使用的是相同的 Diffie-Hellman (DH) 组。
    注意:如果客户网关设备在生命周期到期之前未启动重新生成密钥,AWS 将启动重新生成密钥。在 IKEv2 中,AWS 端的 VPN 终端节点在之前的第 1 阶段协商中提出了与 DH 组的密钥交换 (KE) 有效负载。因此,重新生成密钥可能会被客户网关设备拒绝。如有必要,请设置 Modify VPN Tunnel Options(修改 VPN 隧道选项),以将隧道选项限制为特定 VPN 参数。
  • 如果您的客户网关配置为基于策略的 VPN,请确定是否必须重新配置 VPN 连接以使用特定的流量选择器。默认情况下,AWS VPN 终端节点配置为基于路由的 VPN。AWS 使用 0.0.0.0/0 和 0.0.0.0/0 为流量选择器启动子安全关联 (SA) 重新生成密钥。某些客户网关设备不接受 AWS 启动的第 2 阶段重新生成密钥。这是因为 AWS VPN 终端节点上的流量选择器与客户网关设备上配置的流量选择器不匹配。在这种情况下,您可以将 AWS VPN 连接配置为使用与客户网关匹配的特定流量选择器。

           要将新的 VPN 连接配置为使用特定的流量选择器:
              1.    为 Local IPv4 Network CIDR(本地 IPv4 网络 CIDR)指定本地(客户端)CIDR 范围。
              2.    为 Remote IPv4 Network CIDR(远程 IPv4 网络 CIDR)指定 AWS 端 CIDR 范围。

           要将现有 VPN 连接配置为使用特定的流量选择器:
              1.    选择必须在 AWS 端修改流量选择器的 AWS VPN 连接。                    
              2.    选择 Actions(操作),然后从下拉列表中选择 Modify VPN Connection Options(修改 VPN 连接选项)。
              3.    为 Local IPv4 Network CIDR(本地 IPv4 网络 CIDR)指定本地(客户端)CIDR 范围。
              4.    为 Remote IPv4 Network CIDR(远程 IPv4 网络 CIDR)指定 AWS 端 CIDR 范围。
              5.    选择 Save(保存)。 
            注意:
在 VPN 连接更新期间,VPN 连接在短时间内不可用。

           重要提示:修改 VPN 连接选项时,不会进行以下任何更改:

    • AWS 端的 VPN 终端节点 IP 地址
    • 隧道选项

这篇文章对您有帮助吗?


您是否需要账单或技术支持?