AWS站点到站点VPN-配置多个CIDR范围

【以下的回答经过翻译处理】 您好，

当您使用基于策略的VPN连接到AWS VPN终端节点时，AWS会限制安全关联（SA）的数量为单个对。如果基于策略的VPN使用了多对安全关联，当使用不同的安全关联发起新连接时，已有连接将被丢弃。这种行为可能导致间歇性的数据包丢失和其他连接性故障。

为了解决这个问题，可能的解决方案是，CGW可以声明本地CIDR：0.0.0.0/0 == 远程CIDR：0.0.0.0/0，这样覆盖所有IP地址。如果不能使用0.0.0.0/0，则需要进行路由汇总，以覆盖所有本地和AWS的CIDR。

另外，您还可以配置路由型VPN，如AWS VPN常见问题解答 (FAQs)中所述：[2]

问：每个隧道可以同时建立多少个IPsec安全关联（SA）？

答：AWS VPN服务是一种基于路由的解决方案，因此在使用路由型配置时，您不会遇到SA限制。然而，如果您使用策略型解决方案，则需要将其限制为单个SA，因为该服务是一种基于路由的解决方案。 参考链接：

[1] 如何避免由于多个SA引起的隧道不稳定性 https://aws.amazon.com/premiumsupport/knowledge-center/vpn-connection-instability/

[2] AWS VPN常见问题解答 (FAQs) < https://aws.amazon.com/vpn/faqs/>