[新产品/新功能] AWS Site-to-Site VPN 现已支持 VPN 隧道 BGP 日志记录

**发布时间:** 2025-11-20 **厂商:** AWS **类型:** WHATSNEW **原始链接:** https://aws.amazon.com/about-aws/whats-new/2025/11/site-to-site-vpn-bgp-logging-vpn-tunnels/ ---  [新产品/新功能] AWS Site-to-Site VPN 现已支持 VPN 隧道 BGP 日志记录   # 产品功能分析 ## 新功能/新产品概述 AWS为其**站点到站点VPN (Site-to-Site VPN)**服务新增了**边界网关协议 (BGP)**日志记录功能。该功能旨在通过将VPN隧道中详细的**BGP**会话日志发布到**AWS CloudWatch**，从而显著提升混合云网络连接的可见性、简化网络故障排查流程。在此功能发布前，用户仅能访问**IPSec**隧道的活动日志，对于使用**BGP**进行动态路由的场景，缺乏对路由协议层面的直接洞察。新功能允许网络管理员在一个集中的平台查看详细的路由协议交互信息，包括会话状态、路由更新和错误代码。 - **目标用户群**: 负责管理企业本地数据中心或分支机构与AWS之间混合云网络连接的网络工程师、云架构师及运维人员。 - **市场定位**: 这是对AWS现有VPN服务的关键增强，通过提升运维友好度和可靠性来巩固其在混合云网络解决方案市场的领导地位。 ## 关键客户价值 - **提升故障排查效率** - 通过在**CloudWatch**中集中查看VPN隧道日志和**BGP**日志，客户可以快速关联网络层（**IPSec**）和路由层（**BGP**）的事件，从而大幅缩短连接问题的定位与解决时间。 - 日志提供了详细的**BGP**会话状态变迁、路由更新和错误状态信息，能够直接揭示常见的配置不匹配问题（如AS号、认证密钥错误）。 - **增强网络可见性与监控** - 为网络管理员提供了对动态路由协议行为的精细化洞察，可以实时监控**BGP**会话的稳定性、路由条目的宣告与撤回，从而主动发现潜在的网络问题。 - 与部分竞品相比，将**BGP**这种关键路由协议的日志原生集成到云平台的统一监控服务（**CloudWatch**）中，形成了一个闭环的监控与告警解决方案，用户可基于日志设置告警，实现自动化运维。 - **简化配置验证** - 在建立新的VPN连接或修改现有配置时，可以通过查看实时**BGP**日志来验证本地客户网关设备（CGW）与AWS VPN端点之间的配置是否正确匹配，避免了传统的试错式排障。 ## 关键技术洞察 - **原生集成云监控服务** - 该功能的核心是将VPN网关的**BGP**协议栈日志流无缝对接到**AWS CloudWatch Logs**服务。这利用了AWS内部的服务总线和API，实现了低延迟、高可靠的日志推送。 - 这种原生集成方式使用户能充分利用整个**CloudWatch**生态系统的能力，例如： - 使用**CloudWatch Logs Insights**进行高级查询与分析。 - 使用**CloudWatch Alarms**基于特定日志内容设置告警。 - 将日志流式传输到其他服务（如Amazon S3, OpenSearch）进行长期归档和大数据分析。 - **精细化的日志粒度** - 与仅提供隧道UP/DOWN状态的传统监控不同，此功能深入到**BGP**协议内部，捕获了会话建立过程中的状态转换（如Idle, Connect, Established）、Keepalive消息以及路由更新（UPDATE）报文的关键信息。 - 这种深度的日志记录能力是解决复杂路由问题（如路由黑洞、次优路径选择或路由震荡）的关键。 ## 其他信息 - **广泛的可用性**: 该功能在所有提供**AWS Site-to-Site VPN**的AWS商业区域和GovCloud（美国）区域同步上线，确保了全球用户可以一致地使用此功能来提升其网络运维水平。   # AWS Site-to-Site VPN 现已支持 VPN 隧道的 BGP 日志记录 **原始链接:** [https://aws.amazon.com/about-aws/whats-new/2025/11/site-to-site-vpn-bgp-logging-vpn-tunnels/](https://aws.amazon.com/about-aws/whats-new/2025/11/site-to-site-vpn-bgp-logging-vpn-tunnels/) **发布时间:** 2025-11-20 **厂商:** AWS **类型:** WHATSNEW --- # AWS Site-to-Site VPN 现已支持 VPN 隧道的 BGP 日志记录发布于: 2025年11月20日 AWS Site-to-Site VPN 现已允许客户将来自 VPN 隧道的边界网关协议 (BGP) 日志发布到 AWS CloudWatch，从而增强对 VPN 配置的可见性，并简化连接问题的故障排查。 AWS Site-to-Site VPN 是一项完全托管的服务，它使用 IPSec 隧道在本地数据中心或分支机构与 AWS 资源之间建立安全连接。在此之前，客户只能访问显示 IKE/IPSec 隧道详细信息的隧道活动日志。本次发布后，客户现在可以访问详细的 BGP 日志，从而深入了解 BGP 会话状态和转换、路由更新以及详细的 BGP 错误状态。这些日志有助于识别 AWS VPN 终端节点与客户网关设备之间的配置不匹配问题，为 BGP 相关事件提供精细的可见性。现在，VPN 隧道日志和 BGP 日志都可以在 CloudWatch 中使用，客户可以更轻松地监控和分析其 VPN 连接，从而更快地解决连接问题。此功能已在所有提供 AWS Site-to-Site VPN 的 AWS 商业区域和 AWS GovCloud (US) 区域上线。要了解更多信息并开始使用，请访问 AWS Site-to-Site VPN [文档](https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-logs.html) 。