Opciones de túnel para su AWS Site-to-Site VPN conexión - AWS Site-to-Site VPN

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Opciones de túnel para su AWS Site-to-Site VPN conexión

Utiliza una Site-to-Site VPN conexión para conectar su red remota a unVPC. Cada Site-to-Site VPN conexión tiene dos túneles, cada uno de los cuales utiliza una dirección IP pública única. Es importante configurar ambos túneles para la redundancia. Cuando un túnel deja de estar disponible (por ejemplo, está inactivo por mantenimiento), el tráfico de la red se enruta automáticamente al túnel disponible para esa Site-to-Site VPN conexión específica.

El siguiente diagrama muestra los dos túneles de una VPN conexión. Cada túnel termina en una zona de disponibilidad diferente para aumentar la disponibilidad. El tráfico procedente de la red local AWS utiliza ambos túneles. El tráfico que se dirige AWS a la red local prefiere uno de los túneles, pero puede conmutar automáticamente por error al otro túnel si se produce un fallo lateral. AWS

Los dos túneles de una VPN conexión entre una pasarela privada virtual y una pasarela de cliente.

Al crear una Site-to-Site VPN conexión, se descarga un archivo de configuración específico para el dispositivo de pasarela del cliente que contiene información para configurar el dispositivo, incluida la información para configurar cada túnel. Si lo desea, puede especificar usted mismo algunas de las opciones del túnel al crear la Site-to-Site VPN conexión. De lo contrario, AWS proporciona los valores predeterminados.

nota

Site-to-Site VPNLos puntos finales del túnel evalúan las propuestas de su pasarela de clientes empezando por el valor configurado más bajo de la lista siguiente, independientemente del pedido de propuestas de la pasarela de clientes. Puede usar el modify-vpn-connection-options comando para restringir la lista de opciones que aceptarán AWS los puntos finales. Para obtener más información, consulte modify-vpn-connection-optionsAmazon EC2 Command Line Reference.

A continuación, se muestran las opciones de túnel que puede configurar.

nota

Algunas opciones de túnel tienen varios valores predeterminados. Por ejemplo, IKElas versiones tienen dos valores de opciones de túnel predeterminados: ikev1 yikev2. Todos los valores predeterminados se asociarán a esa opción de túnel si no eliges valores específicos. Haga clic para eliminar cualquier valor predeterminado que no desee asociar a la opción de túnel. Por ejemplo, si solo desea utilizarla ikev1 para la IKE versión, haga clic ikev2 para eliminarla.

Tiempo de espera de detección de pares muertos (DPD)

El número de segundos tras los que se DPD agota el tiempo de espera. Un DPD tiempo de espera de 40 segundos significa que el VPN punto final considerará que el par está muerto 30 segundos después del primer intento fallido de mantenimiento con vida. Puede especificar 30 o un valor superior.

Predeterminado: 40

DPDAcción de tiempo de espera

La acción que se debe realizar cuando se agote el tiempo de espera de la detección de pares muertos (DPD). Puede especificar lo siguiente:

  • Clear: Finalice la IKE sesión cuando se DPD agote el tiempo de espera (detenga el túnel y borre las rutas)

  • None: No realice ninguna acción cuando se agote el tiempo de DPD espera

  • Restart: Reinicie la IKE sesión cuando se agote el tiempo de DPD espera

Para obtener más información, consulte AWS Site-to-Site VPN opciones de inicio de túnel.

Valor predeterminado: Clear

VPNopciones de registro

Con Site-to-Site VPN los registros, puede acceder a los detalles sobre el establecimiento del túnel de seguridad IP (IPsec), las negociaciones sobre el intercambio de claves de Internet (IKE) y los mensajes del protocolo de detección de pares muertos (DPD).

Para obtener más información, consulte AWS Site-to-Site VPN registros.

Formatos de registro disponibles: json, text

IKEversiones

Las IKE versiones permitidas para el VPN túnel. Puede especificar uno o varios valores predeterminados.

Valores predeterminados:ikev1, ikev2

Túnel interior IPv4 CIDR

El rango de IPv4 direcciones internas (internas) del VPN túnel. Puede especificar un CIDR bloque de tamaño /30 del 169.254.0.0/16 rango. El CIDR bloque debe ser único en todas las Site-to-Site VPN conexiones que utilizan la misma puerta de enlace privada virtual.

nota

No es necesario que el CIDR bloque sea único en todas las conexiones de una puerta de enlace de tránsito. En caso de no ser único, puede crear un conflicto en la puerta de enlace de cliente. Proceda con cuidado al reutilizar el mismo CIDR bloque en varias Site-to-Site VPN conexiones de una pasarela de tránsito.

Los siguientes CIDR bloques están reservados y no se pueden utilizar:

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

Predeterminado: un IPv4 CIDR bloque de tamaño /30 del 169.254.0.0/16 rango.

Túnel interior IPv6 CIDR

(solo IPv6 VPN conexiones) El rango de IPv6 direcciones internas (internas) del VPN túnel. Puede especificar un CIDR bloque de tamaño /126 del fd00::/8 rango local. El CIDR bloque debe ser único en todas las Site-to-Site VPN conexiones que utilizan la misma puerta de enlace de tránsito.

Predeterminado: un IPv6 CIDR bloque de tamaño /126 del fd00::/8 rango local.

Red local IPv4 CIDR

(solo IPv4 VPN conexión) El IPv4 CIDR rango del lado de la puerta de enlace del cliente (local) que puede comunicarse a través de los VPN túneles.

Valor predeterminado: 0.0.0.0/0

Red remota IPv4 CIDR

(solo IPv4 VPN conexión) El IPv4 CIDR rango del AWS lado que puede comunicarse a través de los VPN túneles.

Valor predeterminado: 0.0.0.0/0

IPv6Red local CIDR

(solo IPv6 VPN conexión) El IPv6 CIDR rango del lado de la puerta de enlace del cliente (local) que puede comunicarse a través de los VPN túneles.

Predeterminado:: :/0

Red remota IPv6 CIDR

(solo IPv6 VPN conexión) El IPv6 CIDR rango del AWS lado que puede comunicarse a través de los VPN túneles.

Predeterminado:: :/0

Números de grupo Diffie-Hellman (DH) de fase 1

Los números del grupo DH que están autorizados a circular por el VPN túnel durante la primera fase de las IKE negociaciones. Puede especificar uno o varios valores predeterminados.

Predeterminados: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Números de grupo Diffie-Hellman (DH) de fase 2

Los números de grupo DH que están permitidos en el VPN túnel durante la fase 2 de las IKE negociaciones. Puede especificar uno o varios valores predeterminados.

Predeterminados: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Algoritmos de cifrado de la fase 1

Los algoritmos de cifrado permitidos en el VPN túnel durante la fase 1 de las IKE negociaciones. Puede especificar uno o varios valores predeterminados.

Valores predeterminados:AES128,AES256, AES128 - GCM -16, AES256 - GCM -16

Algoritmos de cifrado de la fase 2

Los algoritmos de cifrado permitidos en el VPN túnel para las IKE negociaciones de la fase 2. Puede especificar uno o varios valores predeterminados.

Valores predeterminados:AES128,AES256, AES128 - GCM -16, AES256 - GCM -16

Algoritmos de integridad de la fase 1

Los algoritmos de integridad permitidos en el VPN túnel durante la fase 1 de las IKE negociaciones. Puede especificar uno o varios valores predeterminados.

Valores predeterminados:SHA1, SHA2 -256, -384, SHA2 -512 SHA2

Algoritmos de integridad de la fase 2

Los algoritmos de integridad permitidos en el VPN túnel durante la fase 2 de las negociaciones. IKE Puede especificar uno o varios valores predeterminados.

Valores predeterminados:SHA1, SHA2 -256, -384, SHA2 -512 SHA2

Vida útil de la fase 1
nota

AWS inicie el cambio de claves con los valores de temporización establecidos en los campos Duración de la fase 1 y Duración de la fase 2. Si tales campos de vida útil son diferentes a los valores de protocolo de enlace negociados, esto puede interrumpir la conectividad del túnel.

La duración en segundos de la fase 1 de las IKE negociaciones. Puede especificar un número comprendido entre 900 y 28 800.

Predeterminado: 28 800 (8 horas)

Vida útil de la fase 2
nota

AWS inicie los cambios de clave con los valores de temporización establecidos en los campos Duración de la fase 1 y Duración de la fase 2. Si tales campos de vida útil son diferentes a los valores de protocolo de enlace negociados, esto puede interrumpir la conectividad del túnel.

La duración en segundos de la fase 2 de las IKE negociaciones. Puede especificar un número comprendido entre 900 y 3600. El número que especifique debe ser inferior al número de segundos para la duración de la fase 1.

Predeterminado: 3600 (1 hora)

Clave previamente compartida () PSK

La clave previamente compartida (PSK) para establecer la asociación de seguridad inicial del intercambio de claves de Internet (IKE) entre la puerta de enlace de destino y la puerta de enlace del cliente.

PSKDebe tener entre 8 y 64 caracteres y no puede empezar por cero (0). Se permiten caracteres alfanuméricos, puntos (.) y guiones bajos (_).

Predeterminado: una cadena alfanumérica de 32 caracteres.

Difusión de cambio de clave

El porcentaje de la ventana de cambio de clave (determinado por el tiempo del margen de cambio de clave) dentro del cual se selecciona aleatoriamente el tiempo de cambio de clave.

Puede especificar un valor porcentual entre 0 y 100.

Predeterminado: 100

Tiempo de margen de cambio de clave

El margen de tiempo, expresado en segundos, antes de que venza la vida útil de las fases 1 y 2, durante el cual el AWS lado de la VPN conexión cambia la IKE clave.

Puede especificar un número comprendido entre 60 y la mitad del valor de la duración de la fase 2.

El tiempo exacto de cambio de clave se selecciona aleatoriamente en función del valor de la difusión del cambio de clave.

Predeterminado: 270 (4,5 minutos)

Tamaño de paquetes del período de reproducción

El número de paquetes en una ventana de IKE reproducción.

Puede especificar un valor comprendido entre 64 y 2048.

Predeterminado: 1024

Acción de inicio

La acción que se debe realizar al establecer el túnel para una VPN conexión. Puede especificar lo siguiente:

  • Start: AWS inicia la IKE negociación para construir el túnel. Solo se admite si la gateway del cliente está configurada con una dirección IP.

  • Add: Su dispositivo de pasarela de clientes debe iniciar la IKE negociación para abrir el túnel.

Para obtener más información, consulte AWS Site-to-Site VPN opciones de inicio de túnel.

Valor predeterminado: Add

Control del ciclo de vida del punto de conexión del túnel

El control del ciclo de vida del punto de conexión del túnel permite controlar el programa de sustituciones de los puntos de conexión.

Para obtener más información, consulte AWS Site-to-Site VPN control del ciclo de vida de los puntos finales.

Valor predeterminado: Off

Puede especificar las opciones de túnel al crear una Site-to-Site VPN conexión o puede modificar las opciones de túnel de una VPN conexión existente. Para obtener más información, consulte los temas siguientes: