Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
我的客戶閘道與虛擬私有閘道之間的 VPN 通道是 UP,但我無法通過它傳遞流量。我可以做什麼?
1 分的閱讀內容
0
我在客戶閘道和虛擬私有閘道之間建立了 VPN 連線,但流量並未通過它。如何對此問題進行疑難排解?
解決方法
若要對此問題進行疑難排解,請確認您的 Amazon VPC、虛擬私有閘道和客戶閘道設定正確。
檢閱 Amazon VPC 和虛擬私有閘道的組態
- 確認與 VPN 連線相關聯的虛擬私有閘道已連接至您的 Amazon VPC。
- 確認內部部署和 VPC 私有網路不重疊,因為重疊的子網路可能會造成 VPN 通道上的路由問題。
- 對於靜態路由型 VPN 連線,請檢查 VPN 連線靜態路由標籤,確認已設定內部部署私有網路的路由。
- 對於基於 BGP 的 VPN 連線,請確認已建立 BGP 工作階段。此外,請檢查 VPN 連線的通道詳細資料標籤,確認虛擬私有閘道是否從客戶閘道接收 BGP 路由。
- 設定 VPC 路由表,以包含前往內部部署私有網路的路由。將它們導向您的虛擬私有閘道,以便 Amazon VPC 中的執行個體可以連線到您的內部部署網路。您可以手動將這些路由新增至 VPC 路由表,或使用路由傳播自動傳播這些路由。
- 確認已將 VPC 安全群組和存取控制清單 (ACL) 設定為允許傳入和傳出流量進出內部部署子網路的必要流量 (ICMP、RDP、SSH)。
- 在不同可用區域的多個 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體上執行封包擷取,以確認來自內部部署主機的流量已到達您的 Amazon VPC。
檢閱您的客戶閘道
- 確認 VPN 裝置上的 IPsec 組態符合客戶閘道的需求。
- 確認來自客戶閘道的封包已經過加密,並透過 VPN 通道傳送。
- 對於基於政策的組態,請檢查 VPN 連線的詳細資料,以確認流量選擇器已正確設定。(本機 IPv4 網路 CIDR = 客戶閘道 CIDR 範圍和遠端 IPv4 網路 CIDR = AWS 端 CIDR 範圍)
- 對於基於政策的組態,請務必將加密政策的數目限制為單一政策。**注意:**AWS Support 針對每個 VPN 通道僅支援一對第 2 階段安全關聯 (SA)。
- 如果您的 VPN 通道以路由為基礎,請確認您已正確設定至 VPC CIDR 的路由。
- 確認透過通道傳送的流量未轉譯為 VPN 連線的客戶閘道 IP 地址。如果您對 VPN 流量有特定 NAT 需求,請使用與客戶閘道 IP 地址不同的 IP 地址進行設定。
- 如果您的客戶閘道不在 NAT 裝置後面,則最佳實務是關閉 NAT-Traversal。
- 確認沒有防火牆政策或 ACL 會干擾傳入或傳出 IPsec 流量。
- 在客戶閘道裝置的 WAN 介面上執行 ESP 流量的封包擷取,以確認其正在傳送和接收加密封包。
相關資訊
- 語言
- 中文 (繁體)
AWS 官方已更新 3 年前
沒有評論
相關內容
- 已提問 1 年前
- 已提問 1 年前
- AWS 官方已更新 4 年前
