在沒有邊界閘道通訊協定的情況下對 AWS Site-to-Site VPN 連線進行故障診斷

下圖和資料表提供不使用邊界閘道通訊協定 （） 的客戶閘道裝置疑難排解的一般指示BGP。我們也建議您啟用裝置的偵錯功能。詳細資訊請洽閘道裝置開發廠商。

IKE	判斷是否存在IKE安全關聯。 需要IKE安全關聯才能交換用於建立IPsec安全關聯的金鑰。 如果不存在IKE安全關聯，請檢閱您的IKE組態設定。您必須如組態檔案中所列，設定加密、身分驗證、完美遠期保密和模式參數。 如果存在IKE安全關聯，請移至 'IPsec'。
IPsec	判斷是否存在IPsec安全關聯 （SA）。 IPsec SA 是通道本身。查詢您的客戶閘道裝置，以判斷 IPsec SA 是否作用中。請務必如組態檔案中所列，設定加密、身分驗證、完美遠期保密和模式參數。 如果沒有 IPsec SA，請檢閱您的IPsec組態。 如果存在 IPsec SA，請移至「通道」。
通道	確認已設定必要的防火牆規則 (如需規則清單，請參閱AWS Site-to-Site VPN 客戶閘道裝置的防火牆規則)。如已設定，請繼續。 判斷 IP 連線是否通過通道。 通道的每一端皆有如組態檔案中指定的 IP 地址。虛擬私有閘道地址是用作BGP鄰居地址的地址。從您的客戶閘道裝置 ping 這個地址，判斷是否正確加密及解密 IP 流量。 如果 ping 不成功，請檢閱您的通道界面組態，確定設定正確的 IP 地址。 如果 ping 成功，請移至「靜態路由」。
靜態路由	針對每一個通道執行下列作業： 確認您已使用VPCCIDR通道作為下一個躍點將靜態路由新增至您的 。 確認您已在 Amazon VPC主控台上新增靜態路由，以告知虛擬私有閘道將流量路由回內部網路。 如果通道不在此狀態，請檢閱您的裝置組態。 確認兩個通道均處於此狀態，作業即完成。