如何對客戶閘道裝置上的 VPN 通道不活動或通道關閉進行疑難排解?
1 分的閱讀內容
0
我觀察到客戶閘道上的 AWS 虛擬私有網路 (VPN) 通道不活動、不穩定或間歇性連線問題。
解決方法
AWS VPN 通道在客戶閘道裝置上不活動或不穩定的常見原因包括:
- 網際網路協定安全性 (IPsec) 無效對等偵測 (DPD) 監控的問題
- 由於 VPN 通道上流量低或供應商特定的客戶閘道組態問題而導致的閒置逾時
- 階段 1 或階段 2 的重設金鑰問題
- 客戶閘道裝置上政策型 VPN 連線造成間歇性連線問題
檢查 DPD 設定
如果 VPN 對等對三個連續的 DPD 沒有回應,則對等將視為無效,通道將關閉。
如果您的客戶閘道裝置已開啟 DPD,請確保符合下列條件:
- 它設定為接收和回應 DPD 訊息
- 它回應來自 AWS 對等裝置的 DPD 訊息並不太忙
- 它不會限制 DPD 訊息的速率,因為防火牆中已開啟 IPS 功能
- 它沒有網際網路傳輸問題
對閒置逾時進行疑難排解
如果您遇到因為 VPN 通道流量低引起的閒置逾時,請檢查下列項目:
- 確認您的本機網路與虛擬私有雲端 (VPC) 之間存在持續的雙向流量。如有必要,建立一台主機,每 5 秒將 ICMP 請求傳送至虛擬私有雲端 (VPC) 中的執行個體。
- 使用裝置供應商的資訊檢閱 VPN 裝置的閒置逾時設定。如果在供應商特定的 VPN 閒置時間內沒有通過 VPN 通道的流量,則 IPsec 工作階段將結束。查看您的特定裝置的供應商文件。
對階段 1 或階段 2 的重設金鑰問題進行疑難排解
如果您遇到 VPN 通道上的階段 1 或階段 2 不相符引起的重設金鑰問題,請檢查下列項目:
- 檢閱客戶閘道上的階段 1 或階段 2 生命週期欄位。請確定這些欄位與 AWS 參數相符。最佳實務是取消勾選 VPN 通道選項中的 VPN 連線客戶閘道不需要的參數。
- 確保客戶閘道裝置上已啟用完整轉寄密碼 (PFS)。依預設,PFS 會在 AWS 端的對等裝置上啟用。
- 確保客戶閘道上的 UDP 連接埠 500\ [IKE]、4500\ [NAT-T] 和 IP 50\ [ESP] 的傳入流量允許對 AWS 端點重設金鑰。
注意: IKEv2 生命週期值欄位獨立於對等裝置。因此,如果您設定較低的生命週期值,則對等裝置始終啟動重設金鑰。
如需詳細資訊,請參閱站點間 VPN 連線的通道選項和客戶閘道裝置。
對間歇性連線問題進行疑難排解
間歇性連線問題可能是由於客戶閘道裝置上政策型組態所造成。您也可能會遇到間歇性連線問題,因為您在使用多個加密網域或 Proxy ID。
- 限制可存取您的 VPC 的加密網域 (網路) 數量。如果您的 VPN 客戶閘道後面有多個加密網域,請將它們設定為使用單一安全關聯。若要檢查客戶閘道是否存在多個安全關聯,請參閱對客戶閘道裝置進行疑難排解。
- 設定您的客戶閘道裝置以允許具有 VPC 無類別域間路由 (CIDR) 目標的客戶閘道 (0.0.0.0/0) 後面的任何網路通過 VPN 通道。此組態使用單一安全關聯,可改善通道穩定性。此組態也允許未在政策中定義的網路存取 VPC。
如需詳細資訊,請參閱如何對 AWS VPN 端點與原則型 VPN 之間的連線問題進行疑難排解?
相關資訊
AWS 官方已更新 1 年前
沒有評論
相關內容
- AWS 官方已更新 1 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 10 個月前