本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Site-to-Site VPN 日志
AWS Site-to-Site VPN 日志可让您更深入地了解 Site-to-Site VPN 部署。使用此功能,您可以访问 Site-to-Site VPN 连接日志,这些日志提供有关 IP 安全 (IPsec) 隧道建立、互联网密钥交换 (IKE) 协商和失效对等体检测 (DPD) 协议消息的详细信息。
Site-to-Site VPN 日志可以发布到 Amazon CloudWatch 日志。此功能为客户提供了一种统一的方式来访问和分析其所有 Site-to-Site VPN 连接的详细日志。
主题
Site-to-SiteVPN 日志的好处
-
简化的 VP Site-to-Site N 故障排除:VPN 日志可帮助您查明与您的客户网关设备之间的 AWS 配置不匹配情况,并解决初始 VPN 连接问题。VPN 连接可能由于设置配置错误(例如超时调整不当)而随时间推移发生间歇性抖动,底层传输网络中可能存在问题(例如互联网天气),或者路由更改或路径故障可能导致通过 VPN 的连接中断。此功能可让您准确地诊断间歇性连接故障的原因,并微调低级别隧道配置以实现可靠运行。
-
集中 AWS Site-to-Site VPN 可见性: Site-to-SiteVPN 日志可以提供 VP Site-to-Site N 连接的所有不同方式的隧道活动日志:虚拟网关、Transit Gateway CloudHub,以及同时使用互联网和 AWS Direct Connect 作为传输方式。此功能为客户提供了一种统一的方式来访问和分析其所有 Site-to-Site VPN 连接的详细日志。
-
安全与合规:可以将 Site-to-Site VPN 日志发送到 Amazon CloudWatch Logs,以便对一段时间内的 VPN 连接状态和活动进行回顾性分析。这可以帮助您满足合规性和法规要求。
Amaz CloudWatch on Logs 资源策略大小限制
CloudWatch 日志资源策略限制为 5120 个字符。当 CloudWatch Logs 检测到策略接近此大小限制时,它会自动启用以开头的日志组/aws/vendedlogs/。启用日志记录后, Site-to-SiteVPN 必须使用您指定的日志组更新您的 CloudWatch 日志资源策略。为避免达到 CloudWatch 日志资源策略大小限制,请在日志组名称前加上/aws/vendedlogs/。
Site-to-Site VPN 日志内容
Site-to-SiteVPN 隧道活动日志中包含以下信息。日志流文件名使用 VpnConnection ID 和 TunnelOutsideIPAddress。
| 字段 | 描述 |
|---|---|
|
VpnLogCreationTimestamp ( |
日志创建时间戳,采用用户可读格式。 |
|
隧道 DPDEnabled ( |
失效对端检测协议启用状态(True/False)。 |
|
隧道CGWNATTDetection状态 ( |
在客户网关设备上检测到 NAT-T(True/False)。 |
|
隧道IKEPhase1状态 ( |
IKE 第 1 阶段协议状态(已建立 | 正在重新生成密钥 | 正在协商 | 关闭)。 |
隧道IKEPhase2状态 (ike_phase2_state) |
IKE 第 2 阶段协议状态(已建立 | 正在重新生成密钥 | 正在协商 | 关闭)。 |
VpnLogDetail (details) |
IKE 和 DPD IPsec 协议的详细消息。 |
IKEv1 错误消息
| 消息 | 说明 |
|---|---|
|
对等方无响应 - 宣布对等方终止 |
对等方未响应 DPD 消息,强制执行 DPD 超时操作。 |
|
AWS 由于预共享密钥无效,隧道有效载荷解密失败 |
需要在两个 IKE 对等方上配置相同的预共享密钥。 |
|
未找到与之匹配的提案 AWS |
AWS VPN 端点(例如 |
|
未找到匹配的提案。使用“No proposal chosen”(未选择任何提案)进行通知 |
在对等方之间交换“No proposal chosen”(未选择任何提案)错误消息,以告知必须在 IKE 对等方上为第 2 阶段配置正确的提案/策略。 |
|
AWS 带有 SPI 的第 2 阶段 SA 的隧道已收到删除:xxxx |
CGW 已发送第 2 阶段的 delete_SA 消息。 |
|
AWS 隧道收到了来自 CGW 的 IKE_SA 的 DELETE |
CGW 已发送第 1 阶段的 delete_SA 消息。 |
IKEv2 错误消息
| 消息 | 说明 |
|---|---|
|
AWS 隧道 DPD 在 {retry_count} 重新传输后超时 |
对等方未响应 DPD 消息,强制执行 DPD 超时操作。 |
|
AWS 隧道收到了来自 CGW 的 IKE_SA 的 DELETE |
Peer 已向 Parent/IKE_SA 发送了 delete_SA 消息。 |
AWS 带有 SPI 的第 2 阶段 SA 的隧道已收到删除:xxxx |
Peer 已为 CHILD_SA 发送了 Delete_SA 消息。 |
|
AWS 隧道检测到 (CHILD_REKEY) 冲突为 CHILD_DELETE |
CGW 已为活动 SA 发送了 Delete_SA 消息,目前正在更改密钥。 |
|
AWS 由于检测到冲突,正在删除隧道 (CHILD_SA) 冗余 SA |
由于冲突,如果生成冗余 SAs ,Peer 节点将在按照 RFC 匹配随机数值后关闭冗余 SA。 |
|
AWS 隧道第 2 阶段在保持第 1 阶段时无法建立 |
由于协商错误(例如提议不正确),对等方无法建立 CHILD_SA。 |
AWS:流量选择器:TS_UNACCEPTABLE:接收自响应方 |
对等方提议了错误的流量选择器/加密域。Peer 节点的配置应完全相同且正确 CIDRs。 |
AWS 隧道正在发送身份验证_失败作为响应 |
对等方无法通过验证 IKE_AUTH 消息的内容来对对等方进行身份验证 |
AWS 隧道检测到与 cgw 的预共享密钥不匹配:xxxx |
需要在两个 IKE 对等方上配置相同的预共享密钥。 |
AWS 隧道超时:使用 cgw 删除未建立的第 1 阶段 IKE_SA: xxxx |
以对等方身份删除半打开的 IKE_SA 尚未开始协商 |
未找到匹配的提案。使用“No proposal chosen”(未选择任何提案)进行通知 |
在对等方之间交换“No proposal chosen”(未选择任何提案)错误消息,以告知必须在 IKE 对等方上配置正确的提案。 |
未找到与之匹配的提案 AWS |
AWS VPN Endpoint 不支持第 1 阶段或第 2 阶段(加密、哈希和 DH 组)的建议属性, |
IKEv2 谈判消息
| 消息 | 说明 |
|---|---|
|
AWS CREATE_CHILD_SA 的隧道处理请求 (id=xxx) |
AWS 已收到来自 CGW 的 CREATE_CHILD_SA 请求。 |
|
AWS 隧道正在发送 CREATE_CHILD_SA 的响应 (id=xxx) |
AWS 正在向 CGW 发送 CREATE_CHILD_SA 响应。 |
AWS 隧道正在发送 CREATE_CHILD_SA 的请求 (id=xxx) |
AWS 正在向 CGW 发送 CREATE_CHILD_SA 请求。 |
|
AWS CREATE_CHILD_SA 的隧道处理响应 (id=xxx) |
AWS 已收到来自 CGW 的 CREATE_CHILD_SA 回复。 |
发布到 CloudWatch 日志的 IAM 要求
为了使日志记录功能正常运行,附加到用于配置该功能的 IAM 主体的 IAM policy 必须至少包含以下权限。更多详情也可以在《Amazon L og CloudWatch s 用户指南》的 “启用某些 AWS 服务的日志记录” 部分中找到。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries" ], "Resource": [ "*" ], "Effect": "Allow", "Sid": "S2SVPNLogging" }, { "Sid": "S2SVPNLoggingCWL", "Action": [ "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": [ "*" ], "Effect": "Allow" } ] }
