Vantaggi dei log Site-to-Site VPN Restrizioni sulle dimensioni della politica delle risorse di Amazon CloudWatch Logs Site-to-Site VPNcontenuto del registro IAMrequisiti per la pubblicazione su Logs CloudWatch

AWS Site-to-Site VPN registri

AWS Site-to-Site VPN i log offrono una visibilità più approfondita delle implementazioni. Site-to-Site VPN Con questa funzionalità, è possibile accedere ai registri di Site-to-Site VPN connessione che forniscono dettagli sulla creazione del tunnel IP Security (IPsec), sulle negoziazioni su Internet Key Exchange (IKE) e sui messaggi del protocollo Dead Peer Detection (). DPD

Site-to-Site VPNi log possono essere pubblicati su Amazon CloudWatch Logs. Questa funzionalità offre ai clienti un unico modo coerente per accedere e analizzare i log dettagliati di tutte le loro connessioni. Site-to-Site VPN

Argomenti

Vantaggi dei log Site-to-Site VPN
Restrizioni sulle dimensioni della politica delle risorse di Amazon CloudWatch Logs
Site-to-Site VPNcontenuto del registro
IAMrequisiti per la pubblicazione su Logs CloudWatch
Visualizza la configurazione Site-to-Site VPN dei log
Abilita Site-to-Site VPN i log
Disabilita i registri Site-to-Site VPN

Vantaggi dei log Site-to-Site VPN

VPNRisoluzione dei problemi semplificata: Site-to-Site VPN i log consentono di individuare le discrepanze di configurazione tra il dispositivo gateway del cliente e il dispositivo gateway del cliente AWS e a risolvere i problemi di connettività iniziali. VPN VPNle connessioni possono alterarsi in modo intermittente nel tempo a causa di impostazioni configurate in modo errato (ad esempio timeout non ottimizzati), possono verificarsi problemi nelle reti di trasporto sottostanti (come le condizioni meteorologiche di Internet) oppure le modifiche al routing o gli errori dei percorsi possono causare l'interruzione della connettività. VPN Questa caratteristica consente di diagnosticare con precisione la causa degli errori di connessione intermittente e di mettere a punto la configurazione del tunnel di basso livello per un funzionamento affidabile.
AWS Site-to-Site VPN Visibilità centralizzata: Site-to-Site VPN i log possono fornire registri delle attività del tunnel per tutti i diversi modi di connessione: Virtual Gateway, Transit Gateway e CloudHub, utilizzando sia Internet che come trasporto. Site-to-Site VPN AWS Direct Connect Questa funzionalità offre ai clienti un unico modo coerente per accedere e analizzare i log dettagliati per tutte le loro connessioni. Site-to-Site VPN
Sicurezza e conformità: Site-to-Site VPN i log possono essere inviati ad Amazon CloudWatch Logs per un'analisi retrospettiva dello stato e dell'attività della VPN connessione nel tempo. Ciò consente di soddisfare i requisiti normativi e di conformità.

Restrizioni sulle dimensioni della politica delle risorse di Amazon CloudWatch Logs

CloudWatch Le politiche relative alle risorse di Logs sono limitate a 5120 caratteri. Quando CloudWatch Logs rileva che una policy si avvicina a questo limite di dimensione, abilita automaticamente i gruppi di log che iniziano con. /aws/vendedlogs/ Quando abiliti la registrazione, Site-to-Site VPN devi aggiornare la politica delle risorse CloudWatch Logs con il gruppo di log specificato. Per evitare di raggiungere il limite di dimensione della politica delle risorse CloudWatch Logs, inserisci come prefisso i nomi dei gruppi di log con. /aws/vendedlogs/

Site-to-Site VPNcontenuto del registro

Le seguenti informazioni sono incluse nel registro delle attività Site-to-Site VPN del tunnel.

Campo	Descrizione
VpnLogCreationTimestamp	Timestamp di creazione del registro in formato leggibile dall'utente.
VpnConnectionId	L'identificatore di VPN connessione.
TunnelOutsideIPAddress	L'IP esterno del VPN tunnel che ha generato la voce di registro.
T unnelDPDEnabled	Stato abilitato del protocollo Dead Peer Detection (True/False).
unnelCGWNATTDetectionStato T	NAT-T rilevato sul dispositivo gateway del cliente (Vero/Falso).
unnelIKEPhaseT (1) Stato.	IKEStato del protocollo di fase 1 (istituito \| Riimpostazione \| Negoziazione \| Disattivato).
Stato T unnelIKEPhase 2	IKEStato del protocollo di fase 2 (istituito \| Riimpostazione \| Negoziazione \| Disattivato).
VpnLogDetail	Messaggi dettagliati per IPsec e protocolli. IKE DPD

Messaggi di errore di IKEv1

Messaggio	Spiegazione
Il peer non risponde - Dichiarazione di peer morto	Peer non ha risposto ai DPD messaggi, il che impone un'azione di timeout. DPD
AWS la decrittografia del payload del tunnel non è riuscita a causa di una chiave precondivisa non valida	La stessa chiave precondivisa deve essere configurata su entrambi i peer. IKE
Nessuna proposta corrispondente trovata da AWS	Gli attributi proposti per la fase 1 (crittografia, hashing e gruppo DH) non sono supportati da AWS VPN Endpoint, ad esempio. `3DES`
Nessuna corrispondenza proposta trovata. Notifica con "Nessuna proposta scelta"	Il messaggio di errore No Proposal Chosen viene scambiato tra i peer per informare che le proposte/politiche corrette devono essere configurate per la fase 2 sui peer. IKE
AWS tunnel ricevuto DELETE per Phase 2 SA con: xxxx SPI	CGWha inviato il messaggio Delete_SA per la Fase 2
AWS tunnel ricevuto DELETE per _SA da IKE CGW	CGWha inviato il messaggio Delete_SA per la Fase 1

Messaggi di errore di IKEv2

Messaggio	Spiegazione
AWS il tunnel è DPD scaduto dopo la ritrasmissione di {retry_count}	Il peer non ha risposto ai messaggi, il che impone un'azione di timeout. DPD DPD
AWS tunnel ricevuto per _SA da DELETE IKE CGW	Peer ha inviato il messaggio Delete_SA per Parent/ _SA IKE
AWS tunnel ricevuto DELETE per Phase 2 SA con: xxxx SPI	Il peer ha inviato il messaggio Delete_SA per _SA CHILD
AWS il tunnel ha rilevato una collisione (CHILD_) come _ REKEY CHILD DELETE	CGWha inviato il messaggio Delete_SA per l'Active SA, che viene redigitato.
AWS la SA ridondante tunnel (CHILD_SA) viene eliminata a causa della collisione rilevata	A causa della collisione, se SAs vengono generati valori nonce ridondanti, i peer chiuderanno la SA ridondante dopo aver raggiunto i valori nonce indicati RFC
AWS non è stato possibile stabilire la fase 2 del tunnel mantenendo la fase 1	Peer non è riuscito a stabilire CHILD _SA a causa di un errore di negoziazione, ad esempio una proposta errata.
AWS: Traffic Selector: UNACCEPTABLE TS_: ricevuto dal risponditore	Peer ha proposto selettori di traffico/dominio di crittografia errati. I peer devono essere configurati con valori identici e corretti. CIDRs
AWS tunnel sta inviando AUTHENTICATION _ FAILED come risposta	Il peer non è in grado di autenticare il peer IKE verificando il contenuto del messaggio _ AUTH
AWS tunnel ha rilevato una mancata corrispondenza tra una chiave precondivisa e cgw: xxxx	La stessa chiave precondivisa deve essere configurata su entrambi i peer. IKE
AWS tunnel Timeout: eliminazione della Fase 1 _SA non stabilita con cgw: xxxx IKE	L'eliminazione della _SA semiaperta come peer non ha portato all'avvio delle negoziazioni IKE
Nessuna corrispondenza proposta trovata. Notifica con "Nessuna proposta scelta"	Il messaggio di errore No Proposal Chosen viene scambiato tra i peer per informare che le proposte corrette devono essere configurate sui peer. IKE
Nessuna proposta corrispondente trovata da AWS	Gli attributi proposti per la Fase 1 o la Fase 2 (Encryption, Hashing e DH Group) non sono supportati da AWS VPN Endpoint, ad esempio. `3DES`

IKEv2Messaggi di negoziazione

Messaggio	Spiegazione
AWS richiesta elaborata dal tunnel (id=xxx) per _ _SA CREATE CHILD	AWS ha ricevuto la richiesta CREATE _ CHILD _SA da CGW
AWS tunnel sta inviando una risposta (id=xxx) per _ _SA CREATE CHILD	AWS sta inviando una risposta CREATE _ _SA a CHILD CGW
AWS tunnel sta inviando una richiesta (id=xxx) per _ _SA CREATE CHILD	AWS sta inviando una richiesta CREATE _ _SA a CHILD CGW
AWS risposta elaborata dal tunnel (id=xxx) per _ _SA CREATE CHILD	AWS ha ricevuto il modulo di risposta CREATE _ _SA CHILD CGW

IAMrequisiti per la pubblicazione su Logs CloudWatch

Affinché la funzionalità di registrazione funzioni correttamente, la IAM politica allegata al IAM principale utilizzata per configurare la funzionalità deve includere almeno le seguenti autorizzazioni. Ulteriori dettagli sono disponibili anche nella sezione Abilitazione della registrazione da determinati AWS servizi della Amazon CloudWatch Logs User Guide.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Monitora una Site-to-Site VPN connessione

Visualizza la configurazione Site-to-Site VPN dei log