AWS Site-to-Site VPN troncos - AWS Site-to-Site VPN
Benefícios dos Site-to-Site VPN registrosRestrições de tamanho da política de recursos do Amazon CloudWatch LogsSite-to-Site VPNconteúdo do registroIAMrequisitos para publicar no CloudWatch Logs

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Site-to-Site VPN troncos

AWS Site-to-Site VPN os registros fornecem uma visibilidade mais profunda de suas Site-to-Site VPN implantações. Com esse recurso, você tem acesso aos registros de Site-to-Site VPN conexão que fornecem detalhes sobre o estabelecimento do túnel IP Security (IPsec), negociações do Internet Key Exchange (IKE) e mensagens do protocolo de detecção de pares mortos (DPD).

Site-to-Site VPNos registros podem ser publicados no Amazon CloudWatch Logs. Esse recurso fornece aos clientes uma maneira única e consistente de acessar e analisar registros detalhados de todas as suas Site-to-Site VPN conexões.

Tópicos

Benefícios dos Site-to-Site VPN registros

  • VPNSolução de problemas simplificada: Site-to-Site VPN os registros ajudam você a identificar incompatibilidades de configuração entre AWS o dispositivo de gateway do cliente e a resolver problemas iniciais de VPN conectividade. VPNas conexões podem oscilar intermitentemente com o tempo devido a configurações incorretas (como tempos limite mal ajustados), pode haver problemas nas redes de transporte subjacentes (como o clima da Internet) ou alterações de roteamento ou falhas no caminho podem causar interrupção na conectividade. VPN Esse recurso permite diagnosticar com precisão a causa de falhas de conexão intermitentes e ajustar a configuração do túnel de baixo nível para uma operação confiável.

  • AWS Site-to-Site VPN Visibilidade centralizada: Site-to-Site VPN os registros podem fornecer registros de atividades de túneis para todas as diferentes formas de conexão: Virtual Gateway, Transit Gateway e CloudHub, usando a Internet e AWS Direct Connect como transporte. Site-to-Site VPN Esse recurso fornece aos clientes uma maneira única e consistente de acessar e analisar registros detalhados de todas as suas Site-to-Site VPN conexões.

  • Segurança e conformidade: Site-to-Site VPN os registros podem ser enviados ao Amazon CloudWatch Logs para análise retrospectiva do status e da atividade da VPN conexão ao longo do tempo. Isso pode ajudar você a atender a requisitos de conformidade e regulamentares.

Restrições de tamanho da política de recursos do Amazon CloudWatch Logs

CloudWatch As políticas de recursos de registros estão limitadas a 5120 caracteres. Quando o CloudWatch Logs detecta que uma política se aproxima desse limite de tamanho, ele ativa automaticamente grupos de registros que começam com/aws/vendedlogs/. Ao ativar o registro, você Site-to-Site VPN deve atualizar sua política de recursos de CloudWatch registros com o grupo de registros especificado. Para evitar atingir o limite de tamanho da política de recursos de CloudWatch registros, prefixe os nomes dos seus grupos de registros com/aws/vendedlogs/.

Site-to-Site VPNconteúdo do registro

As informações a seguir estão incluídas no registro de atividades do Site-to-Site VPN túnel.

Campo Descrição

VpnLogCreationTimestamp

Carimbo de data/hora de criação do log em formato legível por humanos.

VpnConnectionId

O identificador da VPN conexão.

TunnelOutsideIPAddress

O IP externo do VPN túnel que gerou a entrada do registro.

T unnelDPDEnabled

Status habilitado do protocolo Dead Peer Detection (True/False).

unnelCGWNATTDetectionStatus T

 NAT-T detectado no dispositivo de gateway do cliente (verdadeiro/falso).

Estado T unnelIKEPhase 1

 IKEEstado do protocolo da fase 1 (estabelecido | Redigitação | Negociação | Inativo).
Estado T unnelIKEPhase 2 IKEEstado do protocolo da fase 2 (estabelecido | Redigitação | Negociação | Inativo).
VpnLogDetail Mensagens detalhadas paraIPsec, IKE e DPD protocolos.

IKEv1 Mensagens de erro

Mensagem Explicação

O par não responde: declaração de par desativado

Peer não respondeu às DPD mensagens, impondo uma ação de DPD tempo limite.

AWS A decodificação da carga útil do túnel não teve êxito devido à chave pré-compartilhada inválida

A mesma chave pré-compartilhada precisa ser configurada em ambos os IKE pares.

Nenhuma proposta correspondente encontrada por AWS

Os atributos propostos para a fase 1 (criptografia, hashing e grupo DH) não são suportados pelo AWS VPN Endpoint — por exemplo,. 3DES

Nenhuma proposta correspondente encontrada. Notificação com “Nenhuma proposta escolhida”

Nenhuma mensagem de erro de proposta escolhida é trocada entre pares para informar que as propostas/políticas corretas devem ser configuradas para a fase 2 em pares. IKE

AWS túnel recebido DELETE para a Fase 2 SA comSPI: xxxx

 CGWenviou a mensagem Delete_SA para a Fase 2

AWS túnel recebido DELETE para IKE _SA de CGW

 CGWenviou a mensagem Delete_SA para a Fase 1

IKEv2 Mensagens de erro

Mensagem Explicação

AWS o túnel DPD atingiu o tempo limite após a retransmissão de {retry_count}

Peer não respondeu às DPD mensagens, impondo uma ação de DPD tempo limite.

AWS túnel recebido DELETE para IKE _SA de CGW

O colega enviou a mensagem Delete_SA para Parent/ _SA IKE

AWS túnel recebido DELETE para a Fase 2 SA comSPI: xxxx

Peer enviou a mensagem Delete_SA para _SA CHILD

AWS o túnel detectou uma colisão (CHILD_REKEY) como CHILD _ DELETE

CGWenviou a mensagem Delete_SA para o SA ativo, que está sendo redigitada.

AWS A SA redundante de túnel (CHILD_SA) está sendo excluída devido à colisão detectada

Devido à colisão, se SAs forem gerados redundantes, os pares fecharão o SA redundante após corresponder aos valores de nonce conforme RFC

AWS A fase 2 do túnel não foi capaz de se estabelecer enquanto mantinha a fase 1

Peer não conseguiu estabelecer CHILD _SA devido a um erro de negociação — por exemplo, proposta incorreta.

AWS: Seletor de tráfego: TS_UNACCEPTABLE: recebido do respondente

O par propôs seletores de tráfego/domínio de criptografia incorretos. Os pares devem ser configurados de forma idêntica e corretaCIDRs.

AWS o túnel está enviando AUTHENTICATION _ FAILED como resposta

O Peer não consegue autenticar o Peer verificando IKE o conteúdo da mensagem _ AUTH

AWS o túnel detectou uma incompatibilidade de chave pré-compartilhada com cgw: xxxx

A mesma chave pré-compartilhada precisa ser configurada em ambos os IKE pares.

AWS Tempo limite do túnel: excluindo a Fase 1 IKE _SA não estabelecida com cgw: xxxx

A exclusão do IKE _SA semiaberto como par não prosseguiu com as negociações

Nenhuma proposta correspondente encontrada. Notificação com “Nenhuma proposta escolhida”

Nenhuma mensagem de erro de proposta escolhida é trocada entre pares para informar que as propostas corretas devem ser configuradas em IKE pares.

Nenhuma proposta correspondente encontrada por AWS

Os atributos propostos para a fase 1 ou fase 2 (criptografia, hashing e grupo DH) não são suportados pelo AWS VPN Endpoint — por exemplo,. 3DES

IKEv2Mensagens de negociação

Mensagem Explicação

AWS solicitação processada por túnel (id=xxx) para _ _SA CREATE CHILD

AWS recebeu a solicitação CREATE _ CHILD _SA de CGW

AWS o túnel está enviando resposta (id = xxx) para _ _SA CREATE CHILD

AWS está enviando CREATE _ CHILD _SA resposta para CGW

AWS o túnel está enviando a solicitação (id=xxx) para _ _SA CREATE CHILD

AWS está enviando uma solicitação CREATE _ CHILD _SA para CGW

AWS resposta processada em túnel (id = xxx) para _ _SA CREATE CHILD

AWS recebeu CREATE _ CHILD _SA formulário de resposta CGW

IAMrequisitos para publicar no CloudWatch Logs

Para que o recurso de registro funcione corretamente, a IAM política anexada ao IAM principal que está sendo usada para configurar o recurso deve incluir, no mínimo, as seguintes permissões. Mais detalhes também podem ser encontrados na seção Habilitando o registro em determinados AWS serviços do Guia do usuário do Amazon CloudWatch Logs.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}