如何排查客户网关设备上的 VPN 隧道不活动、不稳定或掉线问题?

上次更新时间:2021 年 5 月 5 日

我的网络设备上的虚拟专用网络 (VPN) 隧道存在不活动或不稳定问题。如何在 Amazon Virtual Private Cloud (Amazon VPC) 中排查此问题?

简短描述

客户网关设备上 VPN 隧道不活动或不稳定的常见原因包括:

解决方法

检查 DPD 设置

如果 VPN 对等体无法响应三个连续的 DPD,则认为对等体已失效并且隧道已关闭。

如果您的客户网关设备已启用 DPD,请确保:

  • 它配置为接收并响应 DPD 消息
  • 它不会因为繁忙而无法响应来自 AWS 对等体的 DPD 消息。
  • 由于防火墙中已启用 IPS 功能,它不会限制 DPD 消息的速率。

排查空闲超时问题

如果由于 VPN 隧道上的流量较小而导致空闲超时:

  • 请确保本地网络和 VPC 之间存在持续的双向流量。如有必要,请创建一个主机,每 5 秒钟向您 VPC 中的实例发送 ICMP 请求。
  • 使用设备供应商提供的信息检查 VPN 设备的空闲超时设置。如果在特定于供应商的 VPN 空闲时间内没有通过 VPN 隧道的流量,则 IPsec 会话将终止。请务必查看您特定设备的供应商文档

第 1 阶段或第 2 阶段的密钥更新问题

如果您由于第 1 阶段或第 2 阶段的 VPN 隧道不匹配而遇到密钥更新问题:

  • 查看客户网关上的第 1 阶段或第 2 阶段生命周期字段。确保其与 AWS 参数匹配。最佳做法是,取消选中客户网关进行 VPN 连接时不需要的 VPN 隧道选项中的参数。
  • 确保到客户网关上 UDP 端口 500 [IKE]、4500 [NAT-T] 和 IP 50 [ESP] 的入站流量允许对 AWS 终端节点进行密钥更新。

有关更多信息,请参阅 Site-to-Site VPN 连接的隧道选项您的客户网关设备