AWS如何检查VPN隧道的当前状态？

验证您使用的是静态还是动态站点到站点 VPN 路由。不支持边界网关协议 （BGP） 的 VPN 设备必须使用静态路由。支持 BGP 的 VPN 设备可以使用动态路由。

使用亚马逊 VPC 控制台检查当前状态

如果您使用静态 VPN，请按照以下步骤操作：

1. 登录亚马逊 VPC 控制台。
2. 在导航窗格中的“站点到站点 VPN 连接”下，选择“站点到站点 VPN 连接”。
3. 选择您的 VPN 连接。
4. 选择隧道详细信息视图。
5. 查看 VPN 隧道的状态。
6. 如果隧道状态为 UP，则选择静态路由视图。请务必在本地防火墙后面指定任何专用网络。
7. 如果隧道状态为 DOWN，请验证本地防火墙是否已正确配置。
8. 请务必在 VPC 路由表中启用路由传播。

如果您将动态 VPN 与 BGP 配合使用，请按照以下步骤操作：

1. 登录亚马逊 VPC 控制台。
2. 在导航窗格中的“站点到站点 VPN 连接”下，选择“站点到站点 VPN 连接”。
3. 选择您的 VPN 连接。
4. 选择隧道详细信息视图。
5. 查看 VPN 隧道的状态。
6. 如果隧道状态为 UP，则验证详细信息列是否列出了一个或多个 BGP 路由。
7. 如果隧道状态为“关闭”，但“详细信息”列为“****IPSEC 已打开”，请确保在防火墙上正确配置 BGP。互联网协议安全 （IPSec） 的第 2 阶段已建立，但尚未建立 BGP。
8. 请务必在 VPC 路由表中启用路由传播。

如果继续遇到问题，请按照以下步骤操作：

• 验证 VPC 中 Amazon Elastic Compute Cloud （Amazon EC2） 实例的安全组是否允许适当的访问。有关更多信息，请参阅 VPC 的安全组。
• 验证本地防火墙是否允许其访问控制列表 （ACL） 和防火墙策略中的相同服务。

有关更多信息，请参阅 排查客户网关设备问题。

使用 Amazon CloudWatch 监控您的 VPN 隧道

您还可以使用 CloudWatch 检查 VPN 隧道的状态，并在隧道状态更改时收到通知。CloudWatch 可用于访问一段时间内的指标数据，以帮助评估隧道的稳定性。有关更多信息，请参阅 使用 Amazon CloudWatch 监控 VPN 隧道。

连接各cloud VPN隧道注意事项（连接后无流量传播的问题）

Azure：

AWS的站点到站点的VPN连接的“VPN连接选项”中本地IPv4和远程IPv4地址为相反的含义；本地IPv4指的是客户端IPv4网段，远程IPv4网络为本地IPv4网段

阿里云：

AWS一定要选择静态路由 (阿里不支持动态BGP，会导致tunnel 状态是Down, IPSEC 是UP)

AWS：

在配置路由时一定要在路由表中将“路由传播”选项改为“是”，否则流量将无法传输