在没有边界网关协议的情况下排除 AWS Site-to-Site VPN 连接故障

下图和表格提供了对不使用边界网关协议（BGP）的客户网关设备进行故障排除的一般说明。此外，我们建议您启用设备的调试功能。详情请咨询您的网关设备供应商。

IKE	确定是否存在IKE安全关联。 交换用于建立IKE安全关联的密钥需要IPsec安全关联。 如果不存在IKE安全关联，请检查您的IKE配置设置。您必须按配置文件中所列内容来配置加密、身份验证、完全向前保密和模式参数。 如果存在IKE安全关联，请转到 “IPsec”。
IPsec	确定是否存在IPsec安全关联 (SA)。 S IPsec A 就是隧道本身。查询您的客户网关设备以确定 S IPsec A 是否处于活动状态。确保您按配置文件中所列内容来配置加密、身份验证、完全向前保密和模式参数。 如果不存在 IPsec SA，请检查您的IPsec配置。 如果 S IPsec A 存在，请前往 “隧道”。
隧道	确认所需的防火墙规则是否已设置（如需规则列表，请参见 AWS Site-to-Site VPN 客户网关设备的防火墙规则）。如果存在，请继续配置。 确定是否存在通过该隧道的 IP 连通性。 隧道每一端均有如配置文件指定的 IP 地址。虚拟专用网关地址是用作BGP邻居地址的地址。从您的客户网关设备向该地址发出 ping，以确定 IP 流量是否正确加密和解密。 如果 ping 不成功，请核查您的隧道接口配置以确保配置了正确的 IP 地址。 如果 ping 成功，请继续配置“静态路由”。
静态路由	对于每条隧道，请执行以下操作： 确认您已向您的添加了静态路由 VPCCIDR，并将隧道作为下一跳。 确认您已在 Amazon VPC 控制台上添加静态路由，告诉虚拟私有网关将流量路由回您的内部网络。 如果隧道不处于该状态，请核查您的设备配置。 确保两条隧道均处于该状态，然后您就完成了。