Options de tunnel Site-to-Site VPN pour votre connexion Site-to-Site VPN - AWS Site-to-Site VPN

Options de tunnel Site-to-Site VPN pour votre connexion Site-to-Site VPN

Vous utilisez une connexion Site-to-Site VPN pour connecter votre réseau distant à un VPC. Chaque connexion Site-to-Site VPN a deux tunnels, chacun utilisant une adresse IP publique de passerelle réseau privé virtuel unique. Il est important de configurer deux tunnels pour la redondance. Quand un tunnel devient indisponible (par exemple, à des fins de maintenance), le trafic réseau est automatiquement acheminé vers le tunnel disponible pour cette connexion Site-to-Site VPN spécifique.

Le schéma suivant illustre les deux tunnels de la connexion Site-to-Site VPN.

Lorsque vous créez une connexion Site-to-Site VPN, vous téléchargez un fichier de configuration spécifique à votre périphérique de passerelle client qui contient les informations nécessaires à la configuration du périphérique, notamment pour chacun des tunnels. Si vous le souhaitez, vous pouvez spécifier vous-même certaines options de tunnel lorsque vous créez la connexion Site-to-Site VPN. Sinon, AWS fournit des valeurs par défaut.

Le tableau suivant décrit plus en détail les options de tunnel que vous pouvez configurer.

Élément Description Valeurs par défaut fournies par AWS
Délai d'expiration de la fonction Dead Peer Detection (DPD) (secondes)

Durée au terme de laquelle l'expiration DPD se produit.

Vous pouvez spécifier 30 secondes ou plus.

30
Versions IKE Versions IKE autorisées pour le tunnel VPN. Vous pouvez spécifier une ou plusieurs valeurs par défaut. ikev1, ikev2

CIDR interne du tunnel

Plage d'adresses IP internes pour le tunnel VPN. Vous pouvez spécifier un bloc d'adresse CIDR d'une taille de /30 dans la plage 169.254.0.0/16. Le bloc d'adresse CIDR doit être unique sur l'ensemble des connexions Site-to-Site VPN qui utilisent la même passerelle réseau privé virtuel.

Les blocs d'adresse CIDR suivants sont réservés et ne peuvent pas être utilisés :

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

Bloc d'adresse CIDR de taille /30 dans la plage 169.254.0.0/16.

Numéros de groupe Diffie-Hellman (DH) de la phase 1 Numéros de groupe DH autorisés pour le tunnel VPN pour la phase 1 des négociations IKE. Vous pouvez spécifier une ou plusieurs valeurs par défaut. 2, 14, 15, 16, 17, 18, 22, 23, 24
Numéros de groupe Diffie-Hellman (DH) de la phase 2 Numéros de groupe DH autorisés pour le tunnel VPN pour la phase 2 des négociations IKE. Vous pouvez spécifier une ou plusieurs valeurs par défaut. 2, 5, 14, 15, 16, 17, 18, 22, 23, 24
Algorithmes de chiffrement de la phase 1 Algorithmes de chiffrement autorisés pour le tunnel VPN pour la phase 1 des négociations IKE. Vous pouvez spécifier une ou plusieurs valeurs par défaut. AES128, AES256
Algorithmes de chiffrement de la phase 2 Algorithmes de chiffrement autorisés pour le tunnel VPN pour la phase 2 des négociations IKE. Vous pouvez spécifier une ou plusieurs valeurs par défaut. AES128, AES256
Algorithmes d'intégrité de la phase 1 Algorithmes d'intégrité autorisés pour le tunnel VPN pour la phase 1 des négociations IKE. Vous pouvez spécifier une ou plusieurs valeurs par défaut. SHA-1, SHA2-256
Algorithmes d'intégrité de la phase 2 Algorithmes d'intégrité autorisés pour le tunnel VPN pour la phase 2 des négociations IKE. Vous pouvez spécifier une ou plusieurs valeurs par défaut. SHA-1, SHA2-256
Durée de vie de la phase 1 (secondes) Durée de vie en secondes de la phase 1 de la négociation IKE. Vous pouvez spécifier un nombre compris entre 900 et 28 800. 28 800 (8 heures)
Durée de vie de la phase 2 (secondes) Durée de vie en secondes de la phase 2 de la négociation IKE. Vous pouvez spécifier un nombre compris entre 900 et 3 600. Le nombre que vous spécifiez doit être inférieur au nombre de secondes de la durée de vie de la phase 1. 3 600 (1 heure)

Clé pré-partagée (PSK)

Clé prépartagée (pre-shared key, PSK) permettant d'établir l'association de sécurité IKE (internet key exchange) initiale entre la passerelle réseau privé virtuel et la passerelle client.

La clé pré-partagée doit comporter entre 8 et 64 caractères et ne peut pas commencer par un zéro (0). Les caractères autorisés sont les caractères alphanumériques, les points (.) et les traits de soulignement (_).

Chaîne alphanumérique de 32 caractères.

Fuzz du changement de clé (pourcentage)

Pourcentage de la fenêtre de changement de clé (déterminé par le temps de la marge du changement de clé) dans laquelle le temps de changement de clé est sélectionné aléatoirement.

Vous pouvez spécifier une valeur comprise entre 0 et 100.

100
Durée de marge du changement de clé (secondes)

Durée de marge en secondes avant l'expiration de la durée de vie de la phase 2, au cours de laquelle le côté AWS de la connexion VPN effectue un changement de clé IKE.

Vous pouvez spécifier un nombre compris entre 60 et la moitié de la valeur en secondes de la durée de vie de la phase 2.

L'heure exacte du changement de clé est sélectionnée aléatoirement en fonction de la valeur du fuzz de changement de clé.

540 (9 minutes)
Paquets de taille de la fenêtre de réexécution

Nombre de paquets dans une fenêtre de réexécution IKE.

Vous pouvez spécifier une valeur comprise entre 64 et 2 048.

1 024

Vous pouvez modifier les options de tunnel après avoir créé la connexion Site-to-Site VPN. Vous ne pouvez pas configurer les options de tunnel d'une connexion VPN classique AWS.