Ben vous montre comment
résoudre les erreurs liées aux
incohérences d'association de sécurité

ben_security_association_mismatch

J'utilise un réseau privé virtuel (VPN) pour me connecter à mon point de terminaison VPN AWS dans Amazon Virtual Private Cloud (Amazon VPC). Je rencontre des problèmes tels que des pertes de paquet, une connectivité intermittente ou inexistante, et une instabilité générale du réseau. Comment résoudre ces erreurs ?

Lorsque vous utilisez une connexion VPN basée sur une stratégie pour vous connecter à un point de terminaison VPN AWS, AWS limite le nombre d'associations de sécurité à une paire unique. Cette paire unique inclut une association de sécurité entrante et une association de sécurité sortante.

Les VPN basés sur des stratégies dont la configuration inclut plus d'une association de sécurité abandonnent les connexions existantes lors de l'initiation de nouvelles connexions utilisant des associations de sécurité différentes. Ce comportement peut se produire pour signaler des pertes de paquets intermittentes et d'autres échecs de connectivité. Toutefois, il indique qu'une nouvelle connexion VPN a interrompu une connexion existante.

Limitez le nombre de domaines de chiffrement (réseaux) pouvant accéder à votre VPC. Si vous avez plus de deux domaines de chiffrement derrière la passerelle client de votre VPN, configurez-les de manière à ce qu'ils utilisent une association de sécurité unique. Pour vérifier s'il existe plusieurs associations de sécurité pour votre passerelle client, consultez le guide de dépannage de la passerelle client et recherchez des instructions spécifiques au périphérique.

Configurez votre passerelle client de manière à autoriser n'importe quel réseau derrière la passerelle client (0.0.0.0/0) avec une destination du CIDR de votre VPC à transiter par le tunnel VPN. Cette configuration utilise une association de sécurité unique, ce qui améliore la stabilité du tunnel. Elle permet également aux réseaux qui ne sont pas définis dans la stratégie d'accéder au VPC.

Si possible, implémentez un filtre de trafic sur votre passerelle client pour bloquer le trafic non souhaité sur votre VPC. Configurez des groupes de sécurité pour spécifier le trafic pouvant atteindre vos instances. Configurez aussi des listes de contrôle d'accès réseau (ACL réseau) pour bloquer le trafic non souhaité sur les sous-réseaux.


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support.

Date de publication : 19/11/2015

Date de mise à jour : 16/11/2018