简短描述
-----------------

AWS VPN 一次支持一个入站和一个出站安全关联。如果连接到端点的客户网关设备上基于策略的 VPN 具有多对安全关联，则具有不同关联的新连接会导致先前的连接中断。

解决方法
----------

要解决 VPN 端点和基于策略的 VPN 之间的连接问题，请完成以下操作：

### 限制加密域

1. 查看当前访问 VPC 的加密域。有关更多信息，请参阅[修改站点到站点 VPN 连接选项](https://docs.aws.amazon.com/vpn/latest/s2svpn/modify-vpn-connection-options.html)。
2. 确认客户网关设备上的每个加密域只有一对入站和出站安全关联。有关更多信息，请参阅[客户网关设备](https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html)。

### 使用 AWS 管理控制台修改 VPN 连接

1. [配置客户网关](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-configure-customer-gateway-device)，将本地 IPv4 网络的无类别域间路由（CIDR）设置为：
   ```plaintext
   0.0.0.0/0
   ```

2. 将远程 IPv4 网络的 CIDR 设置为：
   ```plaintext
   0.0.0.0/0
   ```


### 匹配客户网关设备上的配置

1. 将本地子网设置为：
   ```plaintext
   0.0.0.0/0
   ```

2. 将远程子网设置为：
   ```plaintext
   0.0.0.0/0
   ```

3. 如果不支持 **0.0.0.0/0**，则在连接两端使用与用例相对应的特定范围。请参见以下值：

   **VPC**

   ```plaintext
   10.34.0.0/16
   ```

   **本地**

   ```plaintext
   172.16.0.0/16
   ```


### 多个子网的路由汇总

用一个大子网囊括客户网关上所有较小的子网。

### 开启流量过滤器

1. [配置安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#creating-security-groups)以阻止客户网关上的多余流量。
2. 定义[网络访问控制列表（网络 ACL）](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)以控制流向子网的流量。
3. 如果客户网关支持流量过滤器，则在设备上设置过滤器，仅允许所需的流量进出 VPC。

相关信息
-------------------

[Amazon VPC 中的 IKE（VPN 隧道阶段 1）为什么失败？](https://repost.aws/zh-Hans/knowledge-center/vpn-tunnel-phase-1-ike)

[为什么 AWS Site-to-Site VPN 的 IPsec/阶段 2 无法建立连接？](https://repost.aws/zh-Hans/knowledge-center/vpn-tunnel-phase-2-ipsec)

基于策略的虚拟专用网络（VPN）无法连接到 Amazon Virtual Private Cloud（Amazon VPC）中的 AWS VPN 端点。我想解决数据包丢失、连接时断时续甚至无连接或网络普遍不稳定等问题。

如何解决 AWS VPN 端点和基于策略的 VPN 之间的连接问题？

如何解决 AWS VPN 端点和基于策略的 VPN 之间的连接问题？

简短描述

解决方法

限制加密域

使用 AWS 管理控制台修改 VPN 连接

匹配客户网关设备上的配置

多个子网的路由汇总

开启流量过滤器

相关信息

相关内容