Amazon Virtual Private Cloud
网络管理员指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

排查使用边界网关协议的通用设备客户网关连接性问题

下面的示意图和表提供一般性指导,适用于排查为设备使用边界网关协议的客户网关相关问题,而非本指南中所列出的网关。

提示

排除故障时,启用您的网关设备的调试功能可能会很有帮助。详情请咨询您的网关设备供应商。

 排除通用客户网关问题的流程图

确定 IKE 安全关联是否存在。

交换用来建立 IPsec 安全关联的密钥需要 IKE 安全关联。

如果 IKE 安全关联不存在,请核查您的 IKE 配置设置。您必须按客户网关配置中所列内容来配置保密、身份验证、完全向前保密和模式参数。

如果存在 IKE 安全关联,请继续配置 IPsec。

确定是否有 IPsec 安全关联存在。

IPsec 安全关联即隧道本身。查询您的客户网关,确定 IPsec 安全关联是否活动。IPsec SA 的正确配置非常重要。您必须按客户网关配置中所列内容来配置保密、身份验证、完全向前保密和模式参数。

如果 IPsec 安全关联不存在,请核查您的 IPsec 配置设置。

如果存在 IPsec 安全关联,请继续配置隧道。

确认所需的防火墙规则是否已设置 (如需规则列表,请参见 在 Internet 和客户网关之间配置防火墙)。如果存在,请继续配置。

确定是否存在通过该隧道的 IP 连通性。

隧道每一端均有如客户网关配置指定的 IP 地址。虚拟专用网关地址用作 BGP 邻系统的地址。从您的客户网关向该地址发出 ping,以确定 IP 流量是否正确加密和解密。

如果 ping 不成功,请核查您的隧道接口配置,确保配置了正确的 IP 地址。

如果 ping 成功,请继续设置 BGP。

确定 BGP 对等体是否活动。

对于每条隧道,请执行以下操作:

  • 在您的客户网关上,确定 BGP 状态是否为“Active”“Established”。 BGP 对等体可能需要 30 分钟的时间才能转为活跃。

  • 确保客户网关正在向虚拟专用网关通告默认路由 (0.0.0.0/0)。

若隧道不处于此状态,请核查您的 BGP 配置。

如果 BGP 对等已建立,并且您正在接收和通告前缀,您的隧道即已正确配置。确保两条隧道均处于该状态,然后您就完成了。

 

确保您的虚拟专用网关已连接到 VPC。您的整合团队借助 AWS 管理控制台进行这项操作。

有关适用于全部客户网关的一般性测试指导,请参看 如何测试客户网关配置

如果您有问题或需要进一步的协助,请使用 Amazon VPC forum