本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 故障診斷 AWS Client VPN:未在子網路之間分割流量 **問題** 我嘗試在兩個子網路之間分割網路流量。私有流量應透過私有子網路路由,而網際網路流量應透過公有子網路路由。但是,即使我已將兩個路由都新增到 Client VPN 端點路由表中,仍只使用一個路由。 **原因** 您可以將多個子網路與用戶端 VPN 端點產生關聯,但每個可用區域只能關聯一個子網路。多個子網路關聯的目的是為用戶端提供高可用性和可用區域備援。不過,用戶端 VPN 不會讓您選擇性地分割與用戶端 VPN 端點相關聯的子網路之間的流量。 用戶端會根據 DNS 循環配置資源演算法連線到用戶端 VPN 端點。這表示其流量可以在建立連線時透過任何關聯的子網路路由傳送。因此,如果用戶端登陸在沒有必要路由項目的關聯子網路上,可能會遇到連線問題。 例如,假設您設定下列子網路關聯和路由: + 子網路關聯 + 關聯 1:子網路 A (us-east-1a) + 關聯 2:子網路 B (us-east-1b) + 路由 + 路由 1:10.0.0.0/16 路由到子網路 A + 路由 2:172.31.0.0/16 路由到子網路 B 在此範例中,連線時登陸子網路 A 的用戶端無法存取路由 2,而連線時登陸子網路 B 的用戶端無法存取路由 1。 **解決方案** 確認用戶端 VPN 端點與每個關聯網路的目標具有相同的路由項目。這可確保用戶端能夠存取所有路由,而不論其流量是透過哪個子網路路由傳送。