本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Site-to-Site VPN 日志
AWS Site-to-Site VPN 日志可让您更深入地了解您的 Site-to-SiteVPN部署。使用此功能,您可以访问 Site-to-SiteVPN连接日志,这些日志提供有关 IP Security (IPsec) 隧道建立、Internet Key Exchange (IKE) 协商和失效对等体检测 (DPD) 协议消息的详细信息。
Site-to-Site VPN日志可以发布到 Amazon CloudWatch 日志。此功能为客户提供了一种统一的方式来访问和分析其所有 Site-to-SiteVPN连接的详细日志。
主题
Site-to-SiteVPN日志的好处
-
简化VPN故障排除: Site-to-SiteVPN日志可帮助您查明客户网关设备 AWS 和客户网关设备之间的配置不匹配情况,并解决初始VPN连接问题。VPN由于设置配置错误(例如超时调整不当)、底层传输网络中可能存在问题(例如互联网天气),或者路由更改或路径故障可能导致连接中断,连接可能会间歇性地随着时间的推移而抖动。VPN此功能可让您准确地诊断间歇性连接故障的原因,并微调低级别隧道配置以实现可靠运行。
-
集中 AWS Site-to-Site VPN 可见性: Site-to-SiteVPN日志可以为所有不同的连接方式提供隧道活动日志:虚拟网关、T Site-to-Site VPN ransit Gateway CloudHub,以及同时使用互联网和 AWS Direct Connect 作为传输方式。此功能为客户提供了一种统一的方式来访问和分析其所有 Site-to-SiteVPN连接的详细日志。
-
安全与合规:可以将 Site-to-SiteVPN日志发送到 Amazon CloudWatch Logs,以便对VPN连接状态和一段时间内的活动进行回顾性分析。这可以帮助您满足合规性和法规要求。
Amaz CloudWatch on Logs 资源策略大小限制
CloudWatch 日志资源策略限制为 5120 个字符。当 CloudWatch Logs 检测到策略接近此大小限制时,它会自动启用以开头的日志组/aws/vendedlogs/。启用日志记录时, Site-to-SiteVPN必须使用您指定的 CloudWatch 日志组更新您的日志资源策略。为避免达到 CloudWatch 日志资源策略大小限制,请在日志组名称前加上/aws/vendedlogs/。
Site-to-Site VPN日志内容
Site-to-SiteVPN隧道活动日志中包含以下信息。
| 字段 | 描述 |
|---|---|
|
VpnLogCreationTimestamp |
日志创建时间戳,采用用户可读格式。 |
|
VpnConnectionId |
VPN连接标识符。 |
|
TunnelOutsideIPAddress |
生成日志条目的VPN隧道的外部 IP。 |
|
T unnelDPDEnabled |
失效对端检测协议启用状态(True/False)。 |
|
T unnelCGWNATTDetection 状态 |
NAT在客户网关设备上检测到-T(真/假)。 |
|
T unnelIKEPhase 1State |
IKE第 1 阶段协议状态(已建立 | 重新生成密钥 | 正在谈判 | 关闭)。 |
| T unnelIKEPhase 2State | IKE第 2 阶段协议状态(已建立 | 重新生成密钥 | 正在谈判 | 关闭)。 |
| VpnLogDetail | IKE和DPD协议的详细IPsec消息。 |
IKEv1错误消息
| 消息 | 说明 |
|---|---|
|
对等方无响应 - 宣布对等方终止 |
Peer 未回复DPD消息,因此强制DPD执行超时操作。 |
|
AWS 由于预共享密钥无效,隧道有效载荷解密失败 |
需要在两个 Pe IKE er 节点上配置相同的预共享密钥。 |
|
未找到与之匹配的提案 AWS |
E AWS VPN ndpoint 不支持第 1 阶段(加密、哈希和 DH 组)的建议属性, |
|
未找到匹配的提案。使用“No proposal chosen”(未选择任何提案)进行通知 |
Peer 之间会交换未选择提案错误消息,告知必须在 Peer 上为第 2 阶段配置正确的提案/政策。IKE |
|
AWS 已收到第 2 阶段 SA DELETE 的隧道,其中包含SPI:xxxx |
CGW已发送第 2 阶段的 delete_SA 消息 |
|
AWS 收到来自 IKE _ DELETE SA 的隧道 CGW |
CGW已发送第 1 阶段的 delete_SA 消息 |
IKEv2错误消息
| 消息 | 说明 |
|---|---|
|
AWS {retry DPD _count} 重新传输后隧道超时 |
Peer 未回复DPD消息,因此强制DPD执行超时操作。 |
|
AWS 收到来自 IKE _ DELETE SA 的隧道 CGW |
Peer 已向 Parent/ _SA 发送了 delete_SA 消息 IKE |
AWS 已收到第 2 阶段 SA DELETE 的隧道,其中包含SPI:xxxx |
Peer 已为 _SA 发送了 delete_SA 消息 CHILD |
|
AWS 隧道检测到 (CHILD_REKEY) 碰撞为 CHILD _ DELETE |
CGW已为 Active SA 发送了 delete_SA 消息,该消息正在重新输入密钥。 |
|
AWS 由于检测到冲突,正在删除隧道 (CHILD_SA) 冗余 SA |
由于冲突,如果生成了冗余SAs,Peer 节点将在匹配随机数值后关闭冗余 SA RFC |
|
AWS 隧道第 2 阶段在保持第 1 阶段时无法建立 |
由于协商错误(例如,提案不正确),Peer 无法建立 CHILD _SA。 |
AWS: 流量选择器:TS_UNACCEPTABLE:从响应者处接收 |
对等方提议了错误的流量选择器/加密域。Peer 节点的配置应完全相同且正确CIDRs。 |
AWS 隧道正在发送 AUTHENTICATION _ FAILED 作为响应 |
对等方无法通过验证 IKE _ AUTH 消息的内容来验证对等方 |
AWS 隧道检测到与 cgw 的预共享密钥不匹配:xxxx |
需要在两个 Pe IKE er 节点上配置相同的预共享密钥。 |
AWS 隧道超时:使用 cgw 删除未建立的第 1 阶段 IKE _SA: xxxx |
以 peer 身份删除半开的 IKE _SA 尚未进行协商 |
未找到匹配的提案。使用“No proposal chosen”(未选择任何提案)进行通知 |
Peer 节点之间会交换 “未选择提案” 错误消息,告知必须在 Pe IKE er 节点上配置正确的提案。 |
未找到与之匹配的提案 AWS |
E AWS VPN ndpoint 不支持第 1 阶段或第 2 阶段(加密、哈希和 DH 组)的建议属性, |
IKEv2谈判消息
| 消息 | 说明 |
|---|---|
|
AWS 隧道处理了 _ _SA 的请求 (id=xxx) CREATE CHILD |
AWS 已收到来自 CREATE _ CHILD _SA 的请求 CGW |
|
AWS 隧道正在发送 _ _SA 的响应 (id=xxx) CREATE CHILD |
AWS 正在向发送 CREATE _ CHILD _SA 响应 CGW |
AWS 隧道正在发送 _ _SA 的请求 (id=xxx) CREATE CHILD |
AWS 正在向发送 CREATE _ CHILD _SA 请求 CGW |
|
AWS _ _SA 的隧道处理响应 (id=xxx) CREATE CHILD |
AWS 已收到 CREATE _ CHILD _SA 回复表 CGW |
IAM发布到 CloudWatch 日志的要求
为了使日志功能正常运行,附加到用于配置该功能的IAM委托人的IAM策略必须至少包含以下权限。更多详情也可以在《Amazon L og CloudWatch s 用户指南》的 “启用某些 AWS 服务的日志记录” 部分中找到。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries" ], "Resource": [ "*" ], "Effect": "Allow", "Sid": "S2SVPNLogging" }, { "Sid": "S2SVPNLoggingCWL", "Action": [ "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": [ "*" ], "Effect": "Allow" } ] }
