Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Site-to-Site VPN registros
AWS Site-to-Site VPN los registros le proporcionan una mayor visibilidad de sus despliegues de Site-to-Site VPN. Con esta función, tiene acceso a los registros de conexiones Site-to-Site VPN que proporcionan detalles sobre el establecimiento del túnel de seguridad IP (IPsec), las negociaciones sobre el intercambio de claves de Internet (IKE), los mensajes del protocolo de detección de puntos muertos (DPD), el estado del protocolo Border Gateway (BGP) y las actualizaciones de enrutamiento.
Site-to-Site Los registros de VPN se pueden publicar en Amazon CloudWatch Logs. Esta función proporciona a los clientes una forma única y coherente de acceder a los registros detallados de todas sus conexiones Site-to-Site VPN y analizarlos.
Temas
Ventajas de los registros de Site-to-Site VPN
-
Solución de problemas simplificada con la Site-to-Site VPN: los registros de la VPN le ayudan a detectar las discrepancias de configuración entre AWS el dispositivo de puerta de enlace del cliente y a solucionar los problemas iniciales de conectividad de la VPN. Las conexiones de VPN pueden cambiar de forma intermitente con el tiempo debido a ajustes mal configurados (como tiempos de espera mal ajustados), puede haber problemas en las redes de transporte subyacentes (como el tiempo de Internet) o los cambios de enrutamiento o los errores de ruta pueden provocar la interrupción de la conectividad a través de VPN. Esta característica le permite diagnosticar con precisión la causa de los errores de conexión intermitentes y ajustar la configuración del túnel de bajo nivel para lograr un funcionamiento fiable.
-
AWS Site-to-Site VPN Visibilidad centralizada: los registros de Site-to-Site VPN pueden proporcionar registros de actividad de túneles y de enrutamiento BGP en todos los tipos de conexiones de Site-to-Site VPN. Esta función proporciona a los clientes una forma única y coherente de acceder a los registros detallados de todas sus conexiones Site-to-Site VPN y analizarlos.
-
Seguridad y conformidad: los registros de Site-to-Site VPN se pueden enviar a Amazon CloudWatch Logs para un análisis retrospectivo del estado y la actividad de la conexión VPN a lo largo del tiempo. Esto puede ayudarle a cumplir con los requisitos reglamentarios y de conformidad.
Restricciones de tamaño de la política de recursos de Amazon CloudWatch Logs
CloudWatch Las políticas de recursos de Logs están limitadas a 5120 caracteres. Cuando CloudWatch Logs detecta que una política se acerca a este límite de tamaño, habilita automáticamente los grupos de registros que comiencen por. /aws/vendedlogs/ Cuando habilita el registro, la Site-to-Site VPN debe actualizar su política de recursos de CloudWatch registros con el grupo de registros que especifique. Para evitar alcanzar el límite de tamaño de la política de recursos de CloudWatch registros, añada el prefijo a los nombres de los grupos de registros. /aws/vendedlogs/
Site-to-Site Contenido del registro de VPN
La siguiente información se incluye en el registro de actividad del túnel Site-to-Site VPN. El nombre del archivo de flujo de registro utiliza VpnConnection ID y TunnelOutsideIPAddress.
| Campo | Description (Descripción) |
|---|---|
|
VpnLogCreationTimestamp ( |
Marca de tiempo de creación del registro en formato de época. |
|
VpnLogCreationTimestampReadable ( |
Marca de tiempo de creación del registro en formato de tiempo legible por humanos. |
|
Túnel DPDEnabled () |
Estado habilitado del protocolo de detección de pares muertos (verdadero/falso). |
|
CGWNATTDetectionEstado del túnel ( |
NAT-T detectado en el dispositivo de puerta de enlace de cliente (verdadero/falso). |
|
IKEPhase1Estado del túnel ( |
Estado del protocolo de fase 1 de IKE (Establecido | Cambio de clave | Negociación | Inactivo). |
IKEPhase2Estado del túnel (ike_phase2_state) |
Estado del protocolo de fase 2 de IKE (Establecido | Cambio de clave | Negociación | Inactivo). |
VpnLogDetail (details) |
Mensajes detallados para IPsec los protocolos IKE y DPD. |
La siguiente información se incluye en el registro BGP del túnel Site-to-Site VPN. El nombre del archivo de flujo de registro utiliza VpnConnection ID y TunnelOutsideIPAddress.
| Campo | Description (Descripción) |
|---|---|
|
resource_id |
Un identificador único para identificar el túnel y la conexión VPN a la que está asociado el registro. |
|
event_timestamp |
Marca de tiempo de creación del registro en formato de época. |
|
timestamp |
Marca de tiempo de creación del registro en formato de tiempo legible por humanos. |
|
type |
Tipo de evento de registro de BGP (|)BGPStatus . RouteStatus |
|
status |
actualización de estado para un tipo específico de registro de eventos (BGPStatus: ARRIBA | ABAJO) (RouteStatus: ANUNCIADO {la ruta la anunció el par} | ACTUALIZADO: {el par actualizó la ruta existente} | RETIRADA: {el par retiró la ruta}). |
| message | Proporciona detalles adicionales sobre el registro de eventos y su estado. Este campo le ayudará a entender por qué BGPStatus no se utiliza la ruta y qué atributos se intercambiaron en el RouteStatus mensaje. |
Contenido
IKEv1 Mensajes de error
| Mensaje | Explicación |
|---|---|
|
El par no responde: declarar muerto al par |
El par no ha respondido a los mensajes de DPD, por lo que se ha impuesto la acción de tiempo de espera del DPD. |
|
AWS El descifrado de la carga útil del túnel no se pudo realizar debido a que la clave previamente compartida no era válida |
Se debe configurar la misma clave previamente compartida en ambos pares de IKE. |
|
No se encontró ninguna propuesta que coincidiera AWS |
El punto de conexión de AWS VPN no admite los atributos propuestos para la fase 1 (cifrado, hash y grupo DH), por ejemplo, |
|
No se encontró ninguna coincidencia de propuesta. Notificación con la opción «No se ha elegido ninguna propuesta» |
Se intercambia el mensaje de error No Propuesta elegida entre pares para indicar que se Proposals/Policies debe configurar la correcta para la fase 2 en IKE Peers. |
|
AWS tunnel recibió el comando DELETE para la SA de fase 2 con el SPI: xxxx |
CGW ha enviado el mensaje Delete_SA para la fase 2. |
|
AWS tunnel recibió un DELETE para IKE_SA de CGW |
CGW ha enviado el mensaje Delete_SA para la fase 1. |
IKEv2 Mensajes de error
| Mensaje | Explicación |
|---|---|
|
AWS Se agotó el tiempo de espera del DPD del túnel después de la retransmisión de {retry_count} |
El par no ha respondido a los mensajes de DPD, por lo que se ha impuesto la acción de tiempo de espera del DPD. |
|
AWS El túnel recibió el comando DELETE para IKE_SA de CGW |
El par ha enviado el mensaje Delete_SA para Parent/IKE_SA. |
AWS tunnel recibió DELETE para la SA de fase 2 con el SPI: xxxx |
El par ha enviado el mensaje Delete_SA para CHILD_SA. |
|
AWS El túnel detectó una colisión (CHILD_REKEY) como CHILD_DELETE |
CGW ha enviado el mensaje Delete_SA para la SA activa, a la que se le está cambiando la clave. |
|
AWS La SA redundante del túnel (CHILD_SA) se está eliminando debido a una colisión detectada |
Debido a una colisión, si SAs se generan redundantes, Peers cerrará la SA redundante después de hacer coincidir los valores de nonce según la RFC. |
|
AWS No se pudo establecer la fase 2 del túnel mientras se mantenía la fase 1 |
El par no pudo establecer CHILD_SA debido a un error de negociación, por ejemplo, a una propuesta incorrecta. |
AWS: Selector de tráfico: TS_UNACCEPTABLE: recibido del agente de respuesta |
Peer ha propuesto un Selectors/Encryption dominio de tráfico incorrecto. Los pares deben configurarse con el mismo y el correcto CIDRs. |
AWS el túnel envía AUTHENTICATION_FAILED como respuesta |
El par no puede autenticar al par al verificar el contenido del mensaje IKE_AUTH |
AWS tunnel detectó una falta de coincidencia de claves previamente compartidas con cgw: xxxx |
Se debe configurar la misma clave previamente compartida en ambos pares de IKE. |
AWS Tiempo de espera del túnel: eliminar el IKE_SA de fase 1 no establecido con cgw: xxxx |
La eliminación de IKE_SA semiabierto como par no ha continuado con las negociaciones |
No se encontró ninguna coincidencia de propuesta. Notificación con la opción «No se ha elegido ninguna propuesta» |
Los pares no intercambian ningún mensaje de error de propuesta elegida para informar que las propuestas correctas se deben configurar en pares de IKE. |
No se encontró ninguna propuesta que coincidiera AWS |
Los atributos propuestos para la fase 1 o la fase 2 (cifrado, hash y grupo DH) no son compatibles con AWS VPN Endpoint, |
IKEv2 Mensajes de negociación
| Mensaje | Explicación |
|---|---|
|
AWS solicitud procesada por túnel (id=xxx) para CREATE_CHILD_SA |
AWS ha recibido la solicitud CREATE_CHILD_SA de CGW. |
|
AWS tunnel está enviando una respuesta (id=xxx) para CREATE_CHILD_SA |
AWS está enviando la respuesta CREATE_CHILD_SA a CGW. |
AWS tunnel está enviando una solicitud (id=xxx) para CREATE_CHILD_SA |
AWS está enviando la solicitud CREATE_CHILD_SA a CGW. |
|
AWS respuesta procesada por túnel (id=xxx) para CREATE_CHILD_SA |
AWS ha recibido la respuesta CREATE_CHILD_SA de CGW. |
Mensajes de estado del BGP
Los mensajes de estado de BGP contienen información relacionada con las transiciones de estado de la sesión de BGP, las advertencias de límite de prefijos, las infracciones de los límites, las notificaciones de sesión de BGP, los mensajes de BGP OPEN y las actualizaciones de atributos de un BGP vecino para una sesión de BGP determinada.
| Mensaje | Estado de BGP | Explicación |
|---|---|---|
|
El estado de la sesión BGP homóloga del lado de AWS ha cambiado de Inactivo a Connect with neighbor {ip: xxx} |
ABAJO |
El estado de la conexión BGP en AWS se ha actualizado a Connect. |
|
El estado de la sesión BGP homóloga del lado de AWS ha cambiado de Connect a OpenSent with neighbor {ip: xxx} |
ABAJO |
El estado de la conexión BGP en AWS se ha actualizado a OpenSent. |
|
El estado de la sesión BGP homóloga del lado de AWS ha cambiado de OpenSent a OpenConfirm con el vecino {ip: xxx} |
ABAJO |
El estado de la conexión BGP en AWS se ha actualizado a OpenConfirm. |
|
El estado de la sesión BGP homóloga del lado de AWS ha cambiado de OpenConfirm a Establecido con el vecino {ip: xxx} |
ARRIBA |
El estado de la conexión BGP en AWS se actualizó a Established. |
|
El estado de la sesión BGP homóloga del lado de AWS ha cambiado de establecido a inactivo con el vecino {ip: xxx} |
ABAJO |
El estado de la conexión BGP en el lado de AWS se ha actualizado a inactivo. |
|
El estado de la sesión BGP homóloga del lado de AWS ha cambiado de Connect a Active with neighbor {ip: xxx} |
ABAJO |
El estado de la conexión BGP en el lado de AWS pasó de Connect a Active. Compruebe la disponibilidad del puerto TCP 179 en CGW si la sesión BGP está bloqueada en el estado Connect. |
|
El par de AWS informa de una advertencia de límite máximo de prefijos: recibió {prefijos (count): xxx} prefijos del vecino {ip: xxx}, el límite es {limit (numérico): xxx} |
ARRIBA |
La parte de AWS genera periódicamente un mensaje de registro cuando el número de prefijos recibidos de la CGW se acerca al límite permitido. |
|
El par de AWS detectó que se había superado el límite máximo de prefijos: recibió {prefijos (recuento): xxx} prefijos del vecino {ip: xxx}, el límite es {límite (numérico): xxx} |
ABAJO |
La parte de AWS genera un mensaje de registro cuando la cantidad de prefijos recibidos de la CGW supera el límite permitido. |
|
Un compañero de AWS envió una notificación 6/1 (cesar/alcanzar el número máximo de prefijos) al vecino {ip: xxx} |
ABAJO |
La parte de AWS envió una notificación al par BGP de CGW para indicar que la sesión de BGP había finalizado debido a una infracción del límite de prefijos. |
|
El compañero de AWS recibió la notificación 6/1 (cesar/alcanzar el número máximo de prefijos) del vecino {ip: xxx} |
ABAJO |
La parte de AWS recibió una notificación del par de CGW en la que se indicaba que la sesión de BGP había finalizado debido a una infracción del límite de prefijos. |
|
Un compañero del lado de AWS envió una notificación 6/2 (ceso/cierre administrativo) al vecino {ip: xxx} |
ABAJO |
La parte de AWS envió una notificación al par BGP de CGW para indicar que la sesión de BGP había finalizado. |
|
Un compañero del lado de AWS recibió la notificación 6/2 (cese o cierre administrativo) del vecino {ip: xxx} |
ABAJO |
La parte de AWS recibió una notificación del par de CGW para indicar que la sesión de BGP había finalizado. |
|
Un compañero del lado de AWS envió una notificación 6/3 (Cease/Peer sin configurar) al vecino {ip: xxx} |
ABAJO |
La parte de AWS envió una notificación al par de CGW para indicar que el par no está configurado o se ha eliminado de la configuración. |
|
El compañero del lado de AWS recibió la notificación 6/3 (Cease/Peer sin configurar) del vecino {ip: xxx} |
ABAJO |
La parte de AWS recibió una notificación del par de CGW para indicar que el par no está configurado o se ha eliminado de la configuración. |
|
Un compañero del lado de AWS envió una notificación 6/4 (ceso/restablecimiento administrativo) al vecino {ip: xxx} |
ABAJO |
La parte de AWS envió una notificación al par BGP de CGW para indicar que se había restablecido la sesión de BGP. |
|
Un compañero de AWS recibió la notificación 6/4 (ceso/restablecimiento administrativo) del vecino {ip: xxx} |
ABAJO |
La parte de AWS recibió una notificación del par de CGW para indicar que la sesión de BGP se había restablecido. |
|
Un compañero del lado de AWS envió una notificación el 6 de mayo (cese o conexión rechazada) al vecino {ip: xxx} |
ABAJO |
La parte de AWS envió una notificación al par BGP de CGW para indicar que se había rechazado la sesión de BGP. |
|
El compañero de AWS recibió la notificación 6/5 (cesar/conexión rechazada) del vecino {ip: xxx} |
ABAJO |
La parte de AWS recibió una notificación del par de CGW en la que se indicaba que la sesión de BGP había sido rechazada. |
|
Un compañero del lado de AWS envió una notificación 6/6 (cesar/otro cambio de configuración) al vecino {ip: xxx} |
ABAJO |
La parte de AWS envió una notificación al par BGP de CGW para indicar que se había producido un cambio en la configuración de la sesión de BGP. |
|
El compañero de AWS recibió la notificación 6/6 (cesar/otro cambio de configuración) del vecino {ip: xxx} |
ABAJO |
La parte de AWS recibió una notificación del par CGW que indica que se ha producido un cambio en la configuración de la sesión de BGP. |
|
Un compañero del lado de AWS envió una notificación 6/7 (resolución de ceso/colisión de conexión) al vecino {ip: xxx} |
ABAJO |
La parte de AWS envió una notificación al par de CGW para resolver una colisión de conexión cuando ambos pares intentaban establecer una conexión simultáneamente. |
|
Un compañero del lado de AWS recibió la notificación 6/7 (resolución de ceso/colisión de conexión) del vecino {ip: xxx} |
ABAJO |
La parte de AWS recibió una notificación del par CGW en la que se indicaba la resolución de una colisión de conexión cuando ambos pares intentaban establecer una conexión simultáneamente. |
|
Un compañero de AWS envió una notificación de caducidad del temporizador de espera al vecino {ip: xxx} |
ABAJO |
El temporizador de espera del BGP expiró y la parte de AWS envió una notificación a la CGW. |
|
Un par del lado de AWS detectó un mensaje OPEN incorrecto del vecino {ip: xxx}; el AS remoto es {asn: xxx}, se esperaba {asn: xxx} |
ABAJO |
La parte de AWS detectó que se había recibido un mensaje OPEN incorrecto del par CGW, lo que indica una discordancia de configuración. |
|
Un compañero de AWS recibió un mensaje OPEN del vecino {ip: xxx}: versión 4, AS {asn: xxx}, holdtime {holdtime (seconds): xxx}, router-id {id: xxx}} |
ABAJO |
La parte de AWS recibió un mensaje de apertura de BGP para iniciar una sesión de BGP con el par de CGW. |
|
Un compañero de AWS envió un mensaje OPEN al vecino {ip: xxx}: versión 4, AS {asn: xxx}, holdtime {holdtime (seconds): xxx}, router-id {id: xxx} |
ABAJO |
El par de CGW envió un mensaje de apertura de BGP para iniciar una sesión de BGP con el par de BGP del lado de AWS. |
|
El par del lado de AWS está iniciando una conexión (a través de Connect) con el vecino {ip: xxx} |
ABAJO |
La parte de AWS está intentando conectarse con el vecino BGP de CGW. |
|
Un compañero de AWS envió un End-of-RIB mensaje a su vecino {ip: xxx} |
ARRIBA |
La parte de AWS ha terminado de transmitir las rutas a la CGW tras el establecimiento de la sesión de BGP. |
|
El compañero de AWS recibió una actualización con los atributos del vecino {ip: xxx} - AS path: {aspath (list): xxx xxx xxx} |
ARRIBA |
La parte de AWS recibió una actualización de los atributos de sesión de BGP del vecino. |
Mensajes de estado de la ruta
A diferencia de los mensajes de estado del BGP, los mensajes de estado de la ruta contienen datos sobre los atributos del BGP de un prefijo determinado, como la ruta AS, la preferencia local, el discriminador de salidas múltiples (MED), la dirección IP del siguiente salto y el peso. Un mensaje de estado de la ruta solo incluirá un campo de detalles cuando haya un error en una ruta que se anunció, actualizó o retiró. Algunos ejemplos son los siguientes
| Mensaje | Explicación |
|---|---|
|
DENEGADO debido a: as-path contiene nuestro propio AS |
AWS denegó los mensajes de actualización de BGP para un nuevo prefijo de CGW debido a que la ruta contenía el AS propio de los pares del lado de AWS. |
|
DENEGADO debido a: el siguiente salto no está conectado |
AWS rechazó un anuncio de ruta BGP para el prefijo de la CGW debido a un error de validación del siguiente salto no conectado. Asegúrese de que se pueda acceder a la ruta por el lado de la CGW. |
Ejemplo de formato de registro para los registros BGP de Tunnel
{ "resource_id": "vpn-1234abcd_1.2.3.4", "event_timestamp": 1762580429641, "timestamp": "2025-11-08 05:40:29.641Z", "type": "BGPStatus", "status": "UP", "message": { "details": "AWS-side peer BGP session state has changed from OpenConfirm to Established with neighbor 169.254.50.85" } } { "resource_id": "vpn-1234abcd_1.2.3.4", "event_timestamp": 1762579573243, "timestamp": "2025-11-08 05:26:13.243Z", "type": "RouteStatus", "status": "UPDATED", "message": { "prefix": "172.31.0.0/16", "asPath": "64512", "localPref": 100, "med": 100, "nextHopIp": "169.254.50.85", "weight": 32768, "details": "DENIED due to: as-path contains our own AS" } }
Requisitos de IAM para publicar en los registros CloudWatch
Para que la característica de registro funcione correctamente, la política de IAM asociada a la entidad principal de IAM que se está utilizando para configurar la característica debe incluir los siguientes permisos como mínimo. También puedes encontrar más información en la sección Habilitar el registro desde determinados AWS servicios de la Guía del usuario de Amazon CloudWatch Logs.
