Opsi terowongan untuk koneksi Site-to-Site VPN Anda - AWS Site-to-Site VPN

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Opsi terowongan untuk koneksi Site-to-Site VPN Anda

Anda menggunakan koneksi Site-to-Site VPN untuk menghubungkan jaringan jarak jauh Anda ke VPC. Setiap koneksi VPN Site-to-Site memiliki dua terowongan, dengan masing-masing terowongan menggunakan alamat IP publik yang unik. Penting untuk mengonfigurasi kedua terowongan untuk redundansi. Ketika satu terowongan menjadi tidak tersedia (misalnya, terganggu karena pemeliharaan), lalu lintas jaringan secara otomatis dirutekan ke terowongan yang tersedia untuk koneksi Site-to-Site VPN tertentu.

Diagram berikut menunjukkan dua terowongan koneksi VPN. Setiap terowongan berakhir di Availability Zone yang berbeda untuk memberikan peningkatan ketersediaan. Lalu lintas dari jaringan lokal untuk AWS menggunakan kedua terowongan. Lalu lintas dari AWS ke jaringan lokal lebih memilih salah satu terowongan, tetapi secara otomatis dapat gagal ke terowongan lain jika ada kegagalan di AWS samping.

Dua terowongan koneksi VPN antara gateway pribadi virtual dan gateway pelanggan.

Ketika Anda membuat koneksi Site-to-Site VPN, Anda mengunduh file konfigurasi khusus untuk perangkat gateway pelanggan Anda yang berisi informasi untuk mengonfigurasi perangkat, termasuk informasi untuk mengonfigurasi setiap terowongan. Anda dapat secara opsional menentukan beberapa opsi terowongan sendiri ketika Anda membuat koneksi Site-to-Site VPN. Jika tidak, AWS memberikan nilai default.

catatan

Titik akhir terowongan Site-to-Site VPN mengevaluasi proposal dari gateway pelanggan Anda dimulai dengan nilai terkonfigurasi terendah dari daftar di bawah ini, terlepas dari urutan proposal dari gateway pelanggan. Anda dapat menggunakan modify-vpn-connection-options perintah untuk membatasi daftar opsi AWS endpoint akan menerima. Untuk informasi selengkapnya, lihat modify-vpn-connection-optionsdi Referensi Baris Perintah Amazon EC2.

Berikut ini adalah opsi terowongan yang dapat Anda konfigurasi.

Waktu habis deteksi peer mati (DPD)

Jumlah detik setelah batas waktu DPD terjadi. Batas waktu DPD 40 detik berarti bahwa titik akhir VPN akan menganggap peer mati 30 detik setelah kegagalan pertama tetap hidup. Anda dapat menentukan 30 atau lebih tinggi.

Default: 40

Tindakan waktu habis DPD

Tindakan yang diambil setelah waktu habis deteksi peer mati (DPD) terjadi. Anda dapat menentukan sebagai berikut:

  • Clear: Mengakhiri sesi IKE ketika waktu habis DPD terjadi (menghentikan terowongan dan menghapus rute)

  • None: Tidak mengambil tindakan ketika waktu habis DPD terjadi

  • Restart: Memulai ulang sesi IKE ketika waktu habis DPD terjadi

Untuk informasi selengkapnya, lihat Opsi inisiasi terowongan Site-to-Site VPN.

Default: Clear

Opsi pencatatan VPN

Dengan log VPN Site-to-Site, Anda dapat memperoleh akses ke detail tentang pembentukan terowongan IP Security (IPsec), negosiasi Internet Key Exchange (IKE), dan pesan protokol deteksi rekan mati (DPD).

Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN log.

Format log yang tersedia:json, text

Versi IKE

Versi (IKE) yang diizinkan untuk terowongan VPN. Anda dapat menentukan satu atau beberapa nilai default.

Default: ikev1, ikev2

Di dalam terowongan IPv4 CIDR

Rentang alamat IPv4 di dalam (internal) untuk terowongan VPN. Anda dapat menentukan blok CIDR ukuran /30 dari rentang 169.254.0.0/16. Blok CIDR harus unik di semua koneksi Site-to-Site VPN yang menggunakan gateway privat virtual yang sama.

catatan

Blok CIDR tidak perlu unik di semua koneksi pada gateway transit. Namun, jika mereka tidak unik, itu dapat menciptakan konflik di gateway pelanggan Anda. Lanjutkan dengan hati-hati saat menggunakan kembali blok CIDR yang sama pada beberapa koneksi VPN Site-to-Site pada gateway transit.

Blok CIDR berikut dicadangkan dan tidak dapat digunakan:

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

Default: Blok CIDR IPv4 ukuran /30 dari rentang 169.254.0.0/16.

Di dalam terowongan IPv6 CIDR

(Hanya koneksi VPN IPv6) Rentang alamat IPv6 di dalam (internal) untuk terowongan VPN. Anda dapat menentukan blok CIDR ukuran /126 dari rentang fd00::/8 lokal. Blok CIDR harus unik di semua koneksi Site-to-Site VPN yang menggunakan gateway transit yang sama.

Default: Blok CIDR IPv6 CIDR /126 dari rentang fd00::/8.

CIDR Jaringan IPv4 Lokal

(Hanya koneksi VPN IPv4) Rentang CIDR IPv4 di sisi gateway pelanggan (on-premise) yang diizinkan untuk berkomunikasi melalui terowongan VPN.

Default 0.0.0.0/0

CIDR Jaringan IPv4 Jarak Jauh

(Hanya koneksi IPv4 VPN) Rentang IPv4 CIDR di AWS samping yang diizinkan untuk berkomunikasi melalui terowongan VPN.

Default 0.0.0.0/0

CIDR Jaringan IPv6 Lokal

(Hanya koneksi VPN IPv6) Rentang CIDR IPv6 di sisi gateway pelanggan (on-premise) yang diizinkan untuk berkomunikasi melalui terowongan VPN.

Default: ::/0

CIDR Jaringan IPv6 Jarak Jauh

(Hanya koneksi IPv6 VPN) Rentang IPv6 CIDR di AWS samping yang diizinkan untuk berkomunikasi melalui terowongan VPN.

Default: ::/0

Nomor grup Diffie-Hellman (DH) fase 1

Nomor grup DH yang diizinkan untuk terowongan VPN fase 1 dari negosiasi IKE. Anda dapat menentukan satu atau beberapa nilai default.

Default: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Nomor grup Diffie-Hellman (DH) fase 2

Nomor grup DH yang diizinkan untuk terowongan VPN fase 2 dari negosiasi IKE. Anda dapat menentukan satu atau beberapa nilai default.

Default: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Algoritme enkripsi fase 1

Algoritme enkripsi yang diizinkan untuk terowongan VPN fase 1 dari negosiasi IKE. Anda dapat menentukan satu atau beberapa nilai default.

Default: AES128, AES256, AES128-GCM-16, AES256-GCM-16

Algoritme enkripsi fase 2

Algoritme enkripsi yang diizinkan untuk terowongan VPN fase 2 dari negosiasi IKE. Anda dapat menentukan satu atau beberapa nilai default.

Default: AES128, AES256, AES128-GCM-16, AES256-GCM-16

Algoritme integritas fase 1

Algoritme integritas yang diizinkan untuk terowongan VPN fase 1 dari negosiasi IKE. Anda dapat menentukan satu atau beberapa nilai default.

Standar: SHA1, SHA2-256, SHA2-384, SHA2-512

Algoritme integritas fase 2

Algoritme integritas yang diizinkan untuk terowongan VPN fase 2 dari negosiasi IKE. Anda dapat menentukan satu atau beberapa nilai default.

Standar: SHA1, SHA2-256, SHA2-384, SHA2-512

Masa hidup fase 1
catatan

AWS memulai tombol ulang dengan nilai waktu yang ditetapkan dalam bidang seumur hidup Fase 1 dan Fase 2 seumur hidup. Jika masa hidup berbeda dari nilai handshake yang dinegosiasikan, hal ini dapat mengganggu konektivitas terowongan.

Masa hidup dalam hitungan detik untuk fase 1 dari negosiasi IKE. Anda dapat menentukan angka antara 900 hingga 28.800.

Default: 28.800 (8 jam)

Masa hidup fase 2
catatan

AWS memulai tombol ulang dengan nilai waktu yang ditetapkan dalam bidang seumur hidup Fase 1 dan Fase 2 seumur hidup. Jika masa hidup berbeda dari nilai handshake yang dinegosiasikan, hal ini dapat mengganggu konektivitas terowongan.

Masa hidup dalam hitungan detik untuk fase 2 dari negosiasi IKE. Anda dapat menentukan angka antara 900 hingga 3.600. Angka yang Anda tentukan harus kurang dari jumlah detik untuk masa hidup fase 1.

Default: 3.600 (1 jam)

Kunci pra-berbagi (PSK)

Kunci pra-bersama (PSK) untuk membangun asosiasi keamanan pertukaran kunci internet awal (IKE) antara gateway target dan gateway pelanggan.

Panjang karakter PSK harus antara 8 hingga 64 dan tidak boleh diawali dengan nol (0). Karakter yang diizinkan adalah karakter alfanumerik, titik (.), dan garis bawah (_).

Default: String alfanumerik 32-karakter.

Masukkan ulang data fuzz

Persentase jendela memasukkan ulang data (ditentukan oleh waktu margin memasukkan ulang data) pada saat waktu memasukkan ulang data dipilih secara acak.

Anda dapat menentukan nilai persentase antara 0 hingga 100.

Default: 100

Waktu margin memasukkan ulang data

Waktu margin dalam hitungan detik sebelum masa pakai fase 1 dan fase 2 berakhir, di mana AWS sisi koneksi VPN melakukan rekey IKE.

Anda dapat menentukan angka antara 60 dan setengah dari nilai masa pakai fase 2.

Waktu yang tepat saat memasukkan ulang data dipilih secara acak berdasarkan nilai untuk memasukkan ulang data fuzz.

Default: 270 (4,5 menit)

Paket ukuran jendela replay

Jumlah paket di jendela replay IKE.

Anda dapat menentukan nilai antara 64 hingga 2048.

Default: 1024

Tindakan awal

Tindakan yang dilakukan saat membuat terowongan untuk koneksi VPN. Anda dapat menentukan sebagai berikut:

  • Start: AWS memulai negosiasi IKE untuk membawa terowongan ke atas. Hanya didukung jika gateway pelanggan Anda dikonfigurasi menggunakan alamat IP.

  • Add: Perangkat gateway pelanggan Anda harus memulai negoisasi IKE untuk memunculkan terowongan.

Untuk informasi selengkapnya, lihat Opsi inisiasi terowongan Site-to-Site VPN.

Default: Add

Kontrol siklus hidup titik akhir terowongan

Kontrol siklus hidup titik akhir terowongan memberikan kontrol atas jadwal penggantian titik akhir.

Untuk informasi selengkapnya, lihat Kontrol siklus hidup titik akhir terowongan.

Default: Off

Anda dapat menentukan opsi terowongan ketika Anda membuat koneksi Site-to-Site VPN, atau Anda dapat mengubah opsi terowongan untuk koneksi VPN yang ada. Untuk informasi selengkapnya, lihat topik berikut.