As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Site-to-Site VPN troncos
AWS Site-to-Site VPN os registros fornecem uma visibilidade mais profunda de suas implantações de Site-to-Site VPN. Com esse recurso, você tem acesso aos registros de conexão Site-to-Site VPN que fornecem detalhes sobre o estabelecimento do túnel IP Security (IPsec), negociações do Internet Key Exchange (IKE), mensagens do protocolo Dead Peer Detection (DPD), status do protocolo Border Gateway (BGP) e atualizações de roteamento.
Site-to-Site Os registros de VPN podem ser publicados no Amazon CloudWatch Logs. Esse recurso fornece aos clientes uma maneira única e consistente de acessar e analisar registros detalhados de todas as suas conexões Site-to-Site VPN.
Benefícios dos registros de Site-to-Site VPN
-
Solução de problemas simplificada de Site-to-Site VPN: os registros de VPN ajudam você a identificar incompatibilidades de configuração entre AWS o dispositivo de gateway do cliente e a resolver os problemas iniciais de conectividade da VPN. As conexões VPN podem oscilar intermitentemente ao longo do tempo devido a configurações incorretas (como tempos limite mal ajustados). Pode haver problemas nas redes de transporte subjacentes (como clima da Internet) ou alterações de roteamento ou falhas de caminho podem provocar interrupção da conectividade pela VPN. Esse recurso permite diagnosticar com precisão a causa de falhas de conexão intermitentes e ajustar a configuração do túnel de baixo nível para uma operação confiável.
-
AWS Site-to-Site VPN Visibilidade centralizada: os registros de Site-to-Site VPN podem fornecer atividades de túneis e registros de roteamento BGP em todos os Site-to-Site tipos de conexão VPN. Esse recurso fornece aos clientes uma maneira única e consistente de acessar e analisar registros detalhados de todas as suas conexões Site-to-Site VPN.
-
Segurança e conformidade: os registros de Site-to-Site VPN podem ser enviados ao Amazon CloudWatch Logs para análise retrospectiva do status e da atividade da conexão VPN ao longo do tempo. Isso pode ajudar você a atender a requisitos de conformidade e regulamentares.
Restrições de tamanho da política de recursos do Amazon CloudWatch Logs
CloudWatch As políticas de recursos de registros estão limitadas a 5120 caracteres. Quando o CloudWatch Logs detecta que uma política se aproxima desse limite de tamanho, ele ativa automaticamente grupos de registros que começam com/aws/vendedlogs/. Quando você ativa o registro, a Site-to-Site VPN deve atualizar sua política de recursos de CloudWatch registros com o grupo de registros especificado. Para evitar atingir o limite de tamanho da política de recursos de CloudWatch registros, prefixe os nomes dos seus grupos de registros com/aws/vendedlogs/.
Site-to-Site Conteúdo do registro de VPN
As informações a seguir estão incluídas no registro de atividades do túnel Site-to-Site VPN. O nome do arquivo do fluxo de log usa VpnConnection ID TunnelOutside IPAddress e.
| Campo | Description |
|---|---|
|
VpnLogCreationTimestamp ( |
Carimbo de data/hora de criação de log no formato de época. |
|
VpnLogCreationTimestampReadable ( |
Carimbo de data/hora de criação de log em formato de hora legível por humanos. |
|
Túnel DPDEnabled ( |
Status habilitado do protocolo Dead Peer Detection (True/False). |
|
CGWNATTDetectionStatus do túnel ( |
NAT-T detectado no dispositivo de gateway do cliente (True/False). |
|
IKEPhase1Estado do túnel ( |
Estado do protocolo IKE Fase 1 (Established | Rekeying | Negotiating | Down). |
IKEPhase2Estado do túnel (ike_phase2_state) |
Estado do protocolo IKE Fase 2 (Established | Rekeying | Negotiating | Down). |
VpnLogDetail (details) |
Mensagens detalhadas para os protocolos IPsec IKE e DPD. |
As informações a seguir estão incluídas no registro BGP do túnel Site-to-Site VPN. O nome do arquivo do fluxo de log usa VpnConnection ID TunnelOutside IPAddress e.
| Campo | Description |
|---|---|
|
id_do_recurso |
Um ID exclusivo para identificar o túnel e a conexão VPN à qual o registro está associado. |
|
event_timestamp |
Carimbo de data/hora de criação de log no formato de época. |
|
timestamp |
Carimbo de data/hora de criação de log em formato de hora legível por humanos. |
|
type |
Tipo de evento de registro do BGP (BGPStatus | RouteStatus). |
|
status |
atualização de status para um tipo específico de evento de registro (BGPStatus: UP | DOWN) (RouteStatus: ANUNCIADO {a rota foi anunciada pelo par} | ATUALIZADO: {a rota existente foi atualizada pelo par} | RETIRADA: {a rota foi retirada pelo par}). |
| message | Fornece detalhes adicionais sobre o evento e o status do registro. Esse campo ajudará você a entender por BGPStatus que os atributos de rota foram trocados na RouteStatus mensagem. |
Conteúdo
IKEv1 Mensagens de erro
| Mensagem | Explicação |
|---|---|
|
O par não responde: declaração de par desativado |
O par não respondeu às mensagens de DPD, aplicando a ação de tempo limite de DPD. |
|
AWS A decodificação da carga útil do túnel não teve êxito devido à chave pré-compartilhada inválida |
A mesma chave pré-compartilhada precisa ser configurada em ambos os pares do IKE. |
|
Nenhuma proposta correspondente encontrada por AWS |
Os atributos propostos para a fase 1 (criptografia, hashing e grupo DH) não são compatíveis com o AWS VPN Endpoint. Por exemplo, |
|
Nenhuma proposta correspondente encontrada. Notificação com “Nenhuma proposta escolhida” |
Nenhuma mensagem de erro de proposta escolhida é trocada entre pares para informar que a configuração correta Proposals/Policies deve ser configurada para a fase 2 nos pares IKE. |
|
AWS o túnel recebeu DELETE para a fase 2 SA com SPI: xxxx |
O CGW enviou a mensagem Delete_SA para a Fase 2. |
|
AWS túnel recebeu DELETE para IKE_SA da CGW |
O CGW enviou a mensagem Delete_SA para a Fase 1. |
IKEv2 Mensagens de erro
| Mensagem | Explicação |
|---|---|
|
AWS O tempo limite do DPD do túnel foi atingido após a retransmissão de {retry_count} |
O par não respondeu às mensagens de DPD, aplicando a ação de tempo limite de DPD. |
|
AWS túnel recebeu DELETE para IKE_SA da CGW |
O par enviou a mensagem Delete_SA para Parent/IKE_SA. |
AWS o túnel recebeu DELETE para a fase 2 SA com SPI: xxxx |
O par enviou a mensagem Delete_SA para CHILD_SA. |
|
AWS o túnel detectou uma colisão (CHILD_REKEY) como CHILD_DELETE |
O CGW enviou a mensagem Delete_SA para o SA ativo, que está sendo recodificado. |
|
AWS A SA redundante do túnel (CHILD_SA) está sendo excluída devido à colisão detectada |
Devido à colisão, se SAs forem gerados redundantes, os pares fecharão o SA redundante após combinar os valores de nonce de acordo com o RFC. |
|
AWS A fase 2 do túnel não foi capaz de se estabelecer enquanto mantinha a fase 1 |
O par não conseguiu estabelecer CHILD_SA devido a um erro de negociação; por exemplo, proposta incorreta. |
AWS: seletor de tráfego: TS_UNACCEPTABLE: recebido do respondente |
Peer propôs um Selectors/Encryption domínio de tráfego incorreto. Os pares devem ser configurados de forma idêntica e correta CIDRs. |
AWS o túnel está enviando AUTHENTICATION_FAILED como resposta |
O par não consegue autenticar o par verificando o conteúdo da mensagem IKE_AUTH |
AWS o túnel detectou uma incompatibilidade de chave pré-compartilhada com cgw: xxxx |
A mesma chave pré-compartilhada precisa ser configurada em ambos os pares do IKE. |
AWS Tempo limite do túnel: excluindo IKE_SA da Fase 1 não estabelecida com cgw: xxxx |
A exclusão do IKE_SA semiaberto como par não prosseguiu com as negociações |
Nenhuma proposta correspondente encontrada. Notificação com “Nenhuma proposta escolhida” |
Nenhuma mensagem de erro da proposta escolhida é trocada entre os pares para informar que as propostas corretas devem ser configuradas em pares do IKE. |
Nenhuma proposta correspondente encontrada por AWS |
Os atributos propostos para a fase 1 ou fase 2 (criptografia, hashing e grupo DH) não são suportados pelo AWS VPN Endpoint — por exemplo,. |
IKEv2 Mensagens de negociação
| Mensagem | Explicação |
|---|---|
|
AWS solicitação processada por túnel (id=xxx) para CREATE_CHILD_SA |
AWS recebeu a solicitação CREATE_CHILD_SA da CGW. |
|
AWS o túnel está enviando resposta (id=xxx) para CREATE_CHILD_SA |
AWS está enviando a resposta CREATE_CHILD_SA para o CGW. |
AWS o túnel está enviando a solicitação (id=xxx) para CREATE_CHILD_SA |
AWS está enviando a solicitação CREATE_CHILD_SA para a CGW. |
|
AWS resposta processada em túnel (id = xxx) para CREATE_CHILD_SA |
AWS recebeu a resposta CREATE_CHILD_SA do CGW. |
Mensagens de status do BGP
As mensagens de status do BGP contêm informações relacionadas às transições de estado da sessão do BGP, avisos de limite de prefixo, violações de limite, notificações da sessão do BGP, mensagens do BGP OPEN e atualizações de atributos de um vizinho do BGP para uma determinada sessão do BGP.
| Mensagem | Status do BGP | Explicação |
|---|---|---|
|
O estado da sessão BGP peer do lado da AWS mudou de Idle para Connect with neighbor {ip: xxx} |
PARA BAIXO |
O estado da conexão BGP no lado da AWS foi atualizado para Connect. |
|
O estado da sessão BGP peer do lado da AWS foi alterado de Connect para OpenSent with neighbor {ip: xxx} |
PARA BAIXO |
O estado da conexão BGP no lado da AWS foi atualizado para. OpenSent |
|
O estado da sessão BGP peer do lado da AWS foi alterado de OpenSent para OpenConfirm com o vizinho {ip: xxx} |
PARA BAIXO |
O estado da conexão BGP no lado da AWS foi atualizado para. OpenConfirm |
|
O estado da sessão BGP peer do lado da AWS foi alterado de OpenConfirm para Estabelecido com o vizinho {ip: xxx} |
PARA CIMA |
O estado da conexão BGP no lado da AWS foi atualizado para Estabelecido. |
|
O estado da sessão BGP peer do lado da AWS foi alterado de Estabelecido para Ocioso com vizinho {ip: xxx} |
PARA BAIXO |
O estado da conexão BGP no lado da AWS foi atualizado para Idle. |
|
O estado da sessão BGP peer do lado da AWS foi alterado de Connect para Active with neighbor {ip: xxx} |
PARA BAIXO |
O estado da conexão BGP no lado da AWS passou de Connect para Active. Verifique a disponibilidade da porta TCP 179 no CGW se a sessão BGP estiver travada no estado Connect. |
|
Um colega do lado da AWS está relatando um aviso de limite máximo de prefixo - recebido {prefixes (count): xxx} prefixos do vizinho {ip: xxx}, o limite é {limit (numeric): xxx} |
PARA CIMA |
O lado da AWS gera periodicamente uma mensagem de log quando o número de prefixos recebidos do CGW se aproxima do limite permitido. |
|
Um par do lado da AWS detectou que o limite máximo de prefixo foi excedido - recebeu {prefixes (count): xxx} prefixos do vizinho {ip: xxx}, o limite é {limit (numeric): xxx} |
PARA BAIXO |
O lado da AWS gera uma mensagem de log quando o número de prefixos recebidos do CGW excede o limite permitido. |
|
Um colega do lado da AWS enviou uma notificação 6/1 (cessação/número máximo de prefixos atingidos) ao vizinho {ip: xxx} |
PARA BAIXO |
O lado da AWS enviou uma notificação ao colega BGP da CGW para indicar que a sessão do BGP foi encerrada devido a uma violação do limite de prefixo. |
|
O colega do lado da AWS recebeu uma notificação 6/1 (número máximo de prefixos atingidos) do vizinho {ip: xxx} |
PARA BAIXO |
O lado da AWS recebeu uma notificação do colega da CGW indicando que a sessão do BGP foi encerrada devido a uma violação do limite de prefixo. |
|
Um colega do lado da AWS enviou uma notificação 6/2 (cessação/desligamento administrativo) ao vizinho {ip: xxx} |
PARA BAIXO |
O lado da AWS enviou uma notificação ao peer do CGW BGP para indicar que a sessão do BGP foi encerrada. |
|
O colega do lado da AWS recebeu a notificação 6/2 (cessação/desligamento administrativo) do vizinho {ip: xxx} |
PARA BAIXO |
O lado da AWS recebeu uma notificação do colega da CGW indicando que a sessão do BGP foi encerrada. |
|
O peer do lado da AWS enviou uma notificação 6/3 (Cease/Peer não configurado) ao vizinho {ip: xxx} |
PARA BAIXO |
O lado da AWS enviou uma notificação ao peer da CGW para indicar que o peer não está configurado ou foi removido da configuração. |
|
O peer do lado da AWS recebeu uma notificação 6/3 (cessação/peer não configurado) do vizinho {ip: xxx} |
PARA BAIXO |
O lado da AWS recebeu uma notificação do peer CGW para indicar que o peer não está configurado ou foi removido da configuração. |
|
Um colega do lado da AWS enviou uma notificação 6/4 (cessação/redefinição administrativa) ao vizinho {ip: xxx} |
PARA BAIXO |
O lado da AWS enviou uma notificação ao peer BGP da CGW para indicar que a sessão do BGP foi redefinida. |
|
O colega do lado da AWS recebeu uma notificação 6/4 (cessação/redefinição administrativa) do vizinho {ip: xxx} |
PARA BAIXO |
O lado da AWS recebeu uma notificação do colega da CGW para indicar que a sessão do BGP foi redefinida. |
|
Um colega do lado da AWS enviou uma notificação 6/5 (cessação/conexão rejeitada) ao vizinho {ip: xxx} |
PARA BAIXO |
O lado da AWS enviou uma notificação ao colega BGP da CGW para indicar que a sessão do BGP foi rejeitada. |
|
O colega do lado da AWS recebeu uma notificação 6/5 (cessação/conexão rejeitada) do vizinho {ip: xxx} |
PARA BAIXO |
O lado da AWS recebeu uma notificação do colega da CGW indicando que a sessão do BGP foi rejeitada. |
|
O colega do lado da AWS enviou uma notificação 6/6 (cessação/outra alteração de configuração) ao vizinho {ip: xxx} |
PARA BAIXO |
O lado da AWS enviou uma notificação ao peer BGP da CGW para indicar que ocorreu uma alteração na configuração da sessão do BGP. |
|
O par do lado da AWS recebeu uma notificação 6/6 (cessação/outra alteração de configuração) do vizinho {ip: xxx} |
PARA BAIXO |
O lado da AWS recebeu uma notificação do par da CGW que indica que ocorreu uma alteração na configuração da sessão do BGP. |
|
Um colega do lado da AWS enviou uma notificação 6/7 (resolução de colisão de cessação/conexão) ao vizinho {ip: xxx} |
PARA BAIXO |
O lado da AWS enviou uma notificação ao colega da CGW para resolver uma colisão de conexão quando os dois pares tentarem estabelecer uma conexão simultaneamente. |
|
O colega do lado da AWS recebeu uma notificação 6/7 (resolução de colisão de cessação/conexão) do vizinho {ip: xxx} |
PARA BAIXO |
O lado da AWS recebeu uma notificação do colega da CGW indicando a resolução de uma colisão de conexão quando os dois pares tentam estabelecer uma conexão simultaneamente. |
|
Um colega do lado da AWS enviou uma notificação expirada do Hold Timer para o vizinho {ip: xxx} |
PARA BAIXO |
O cronômetro de espera do BGP expirou e uma notificação foi enviada pelo lado da AWS ao CGW. |
|
O peer do lado da AWS detectou uma mensagem OPEN inválida do vizinho {ip: xxx} - o AS remoto é {asn: xxx}, esperado {asn: xxx} |
PARA BAIXO |
O lado da AWS detectou que uma mensagem OPEN incorreta foi recebida do par CGW, o que indica uma incompatibilidade de configuração. |
|
O colega do lado da AWS recebeu uma mensagem OPEN do vizinho {ip: xxx} - versão 4, AS {asn: xxx}, holdtime {holdtime (seconds): xxx}, router-id {id: xxx}} |
PARA BAIXO |
O lado da AWS recebeu uma mensagem aberta do BGP para iniciar uma sessão do BGP com o par do CGW. |
|
Um colega do lado da AWS enviou uma mensagem OPEN para o vizinho {ip: xxx} - versão 4, AS {asn: xxx}, holdtime {holdtime (seconds): xxx}, router-id {id: xxx} |
PARA BAIXO |
O par do CGW enviou uma mensagem aberta do BGP para iniciar uma sessão do BGP com o par do BGP do lado da AWS. |
|
O peer do lado da AWS está iniciando uma conexão (via Connect) com o vizinho {ip: xxx} |
PARA BAIXO |
O lado da AWS está tentando se conectar com o vizinho CGW BGP. |
|
Um colega do lado da AWS enviou uma End-of-RIB mensagem para o vizinho {ip: xxx} |
PARA CIMA |
O lado da AWS terminou de transmitir rotas para o CGW após o estabelecimento da sessão do BGP. |
|
O par do lado da AWS recebeu atualização com atributos do vizinho {ip: xxx} - caminho do AS: {aspath (list): xxx xxx xxx} |
PARA CIMA |
O lado da AWS recebeu uma atualização do atributo de sessão do BGP do vizinho. |
Mensagens de status da rota
Diferentemente das mensagens de status do BGP, as mensagens de status da rota contêm dados sobre os atributos do BGP de um determinado prefixo, como caminho AS, preferência local, discriminador de múltiplas saídas (MED), endereço IP do próximo salto e peso. Uma mensagem de status da rota conterá apenas um campo de detalhes quando houver um erro com uma rota que foi ANUNCIADA, ATUALIZADA ou RETIRADA. Exemplos dos quais são os seguintes
| Mensagem | Explicação |
|---|---|
|
NEGADO devido a: as-path contém nosso próprio AS |
As mensagens de atualização do BGP para um novo prefixo do CGW foram negadas pela AWS devido à rota contendo o próprio AS dos pares do lado da AWS. |
|
NEGADO devido a: próximo salto não conectado |
A AWS rejeitou um anúncio de rota BGP para o prefixo do CGW devido a uma falha de validação de próximo salto não conectada. Certifique-se de que a rota seja acessível no lado do CGW. |
Exemplo de formato de log para registros do Tunnel BGP
{ "resource_id": "vpn-1234abcd_1.2.3.4", "event_timestamp": 1762580429641, "timestamp": "2025-11-08 05:40:29.641Z", "type": "BGPStatus", "status": "UP", "message": { "details": "AWS-side peer BGP session state has changed from OpenConfirm to Established with neighbor 169.254.50.85" } } { "resource_id": "vpn-1234abcd_1.2.3.4", "event_timestamp": 1762579573243, "timestamp": "2025-11-08 05:26:13.243Z", "type": "RouteStatus", "status": "UPDATED", "message": { "prefix": "172.31.0.0/16", "asPath": "64512", "localPref": 100, "med": 100, "nextHopIp": "169.254.50.85", "weight": 32768, "details": "DENIED due to: as-path contains our own AS" } }
Requisitos do IAM para publicar no CloudWatch Logs
Para que o recurso de log funcione corretamente, a política do IAM anexada à entidade principal do IAM que está sendo usada para configurar o recurso deve incluir, no mínimo, as permissões a seguir. Mais detalhes também podem ser encontrados na seção Habilitando o registro em determinados AWS serviços do Guia do usuário do Amazon CloudWatch Logs.
