Options d'initiation du tunnel Site-to-Site VPN - AWS Site-to-Site VPN
Options de lancement IKE du tunnel VPNRègles et limitationsUtilisation des options de lancement du tunnel VPN

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Options d'initiation du tunnel Site-to-Site VPN

Par défaut, votre périphérique de passerelle client doit activer les tunnels de votre connexion Site-to-Site VPN en générant du trafic et en lançant le processus de négociation IKE (Internet Key Exchange). Vous pouvez configurer vos tunnels VPN pour spécifier que AWS doit lancer ou redémarrer le processus de négociation IKE à la place.

Options de lancement IKE du tunnel VPN

Les options de lancement IKE suivantes sont disponibles. Vous pouvez implémenter l'une ou l'autre des options (ou les deux) pour l'un ou l'autre des tunnels (ou les deux) dans votre connexion VPN site à site. Consultez Options de tunnel VPN pour plus de détails sur ces paramètres d'option de tunnel en particulier et les autres.

  • Action de démarrage : action à effectuer lors de l'établissement du tunnel VPN pour une connexion VPN nouvelle ou modifiée. Par défaut, votre périphérique de passerelle client lance le processus de négociation IKE pour activer le tunnel. Vous pouvez spécifier que AWS doit lancer le processus de négociation IKE à la place.

  • Action de l'expiration du délai d'attente DPD : action à effectuer après l'expiration du délai d'attente de la fonction Dead Peer Detection (DPD). Par défaut, la session IKE est arrêtée, le tunnel est arrêté et les routes sont supprimées. Vous pouvez spécifier que AWSAWS doit redémarrer la session IKE ou ne doit effectuer aucune action lors de l'expiration du délai d'attente de la fonction DPD (Dead Peer Detection).

Règles et limitations

Les règles et limitations suivantes s'appliquent :

  • Pour lancer la négociation IKE, AWS a besoin de l'adresse IP publique de votre périphérique de passerelle client. Si vous avez configuré l'authentification basée sur un certificat pour votre connexion VPN et que vous n'avez pas spécifié d'adresse IP lors de la création de la ressource de passerelle client dans AWS, vous devez créer une nouvelle passerelle client et spécifier l'adresse IP. Ensuite, modifiez la connexion VPN et spécifiez la nouvelle passerelle client. Pour de plus amples informations, veuillez consulter Modification de la passerelle client pour une connexion VPN site à site.

  • Le lancement IKE (action de démarrage) depuis le côté AWS de la connexion VPN n'est pris en charge que pour IKEv2.

  • Si vous utilisez le lancement IKE côté AWS de la connexion VPN, il n'inclut pas de paramètre de délai d'attente. Il essaiera continuellement d'établir une connexion jusqu'à ce qu'elle soit établie. En outre, le côté AWS de la connexion VPN relancera la négociation IKE lorsqu'il recevra un message de suppression de SA provenant de votre passerelle client.

  • Si votre périphérique de passerelle client se trouve derrière un pare-feu ou un autre périphérique utilisant NAT (Network Address Translation), il doit avoir une identité (IDR) configurée. Pour plus d'informations sur une IDr, consulter RFC 7296.

Si vous ne configurez pas le lancement IKE depuis le côté AWS pour votre tunnel VPN et que la connexion VPN subit une période d'inactivité (généralement 10 secondes, selon votre configuration), le tunnel risque de s'arrêter. Pour éviter cela, vous pouvez utiliser un outil de surveillance du réseau pour générer des tests ping keepalive.

Utilisation des options de lancement du tunnel VPN

Pour de plus amples informations sur l'utilisation des options de lancement du tunnel VPN, veuillez consulter les rubriques suivantes :