排查使用边界网关协议时出现的 AWS Site-to-Site VPN 连接问题
以下示意图和表提供了有关排查使用边界网关协议 (BGP) 的客户网关设备的问题的一般指导。此外,建议您启用设备的调试特征。详情请咨询您的网关设备供应商。
| IKE |
确定 IKE 安全关联是否存在。 交换用来建立 IPsec 安全关联的密钥需要 IKE 安全关联。 如果 IKE 安全关联不存在,请核查您的 IKE 配置设置。您必须按配置文件中所列内容来配置加密、身份验证、完全向前保密和模式参数。 如果存在 IKE 安全关联,请继续配置“IPsec”。 |
| IPsec |
确定是否存在 IPsec 安全关联 (SA)。 IPsec SA 即为隧道本身。查询客户网关设备,确定 IPsec SA 是否活动。确保您按配置文件中所列内容来配置加密、身份验证、完全向前保密和模式参数。 如果 IPsec SA 不存在,请查看您的 IPsec 配置。 如果 IPsec SA 存在,请继续配置“隧道”。 |
| 隧道 |
确认所需的防火墙规则是否已设置(如需规则列表,请参见 AWS Site-to-Site VPN 客户网关设备的防火墙规则)。如果存在,请继续配置。 确定是否存在通过该隧道的 IP 连通性。 隧道每一端均有如配置文件指定的 IP 地址。虚拟专用网关地址用作 BGP 邻系统的地址。从您的客户网关设备向该地址发出 ping,以确定 IP 流量是否正确加密和解密。 如果 ping 不成功,请核查您的隧道接口配置以确保配置了正确的 IP 地址。 如果 ping 成功,请继续配置“BGP”。 |
| BGP |
确定 BGP 对等会话是否活动。 对于每条隧道,请执行以下操作:
若隧道不处于此状态,请核查您的 BGP 配置。 如果 BGP 对等已建立,并且您正在接收和通告前缀,您的隧道即已正确配置。请确保两条隧道均处于该状态。 |
