Opzioni di tunnel per la connessione Site-to-Site VPN

Utilizza una connessione Site-to-Site VPN per connettere la rete remota a un VPC. Ogni connessione VPN Site-to-Site dispone di due tunnel, in cui ogni tunnel utilizza un indirizzo IP pubblico. È importante configurare Entrambi i tunnel per la ridondanza. Quando un tunnel diventa non disponibile (ad esempio, inattivo per manutenzione), il traffico di rete viene instradato automaticamente al tunnel disponibile per tale connessione Site-to-Site VPN specifica.

Nel seguente diagramma vengono mostrati i due tunnel di una connessione VPN. Ogni tunnel termina in una zona di disponibilità diversa per fornire una maggiore disponibilità. Il traffico proveniente dalla rete on-premise ad AWS utilizza entrambi i tunnel. Il traffico da AWS verso la rete on-premise preferisce uno dei tunnel, ma può eseguire automaticamente il failover sull'altro tunnel in caso di guasto sul lato AWS.

Quando crei una connessione Site-to-Site VPN, scarica una file di configurazione specifico per il dispositivo gateway del cliente contenente informazioni per configurare il dispositivo, incluse informazioni per configurare ogni tunnel. Facoltativamente puoi specificare alcune delle opzioni tunnel quando crei la connessione Site-to-Site VPN. In caso contrario, AWS fornisce valori predefiniti.

Nota

Gli endpoint del tunnel Site-to-Site VPN valutano le proposte del gateway del cliente a partire dal valore configurato più basso dall'elenco riportato di seguito, indipendentemente dall'ordine della proposta del gateway del cliente. È possibile utilizzare il commando modify-vpn-connection-options per limitare l'elenco delle opzioni che gli endpoint AWS accetteranno. Per ulteriori informazioni, consulta modify-vpn-connection-options nella Guida di riferimento alla riga di comando di Amazon EC2.

Di seguito sono riportate le opzioni tunnel che è possibile configurare.

Timeout Dead Peer Detection (DPD)

La durata in secondi dopo la quale si verifica il timeout DPD. Un timeout DPD di 40 secondi significa che l'endpoint VPN considererà il peer morto 30 secondi dopo il primo keep-alive fallito. Puoi specificare una valore maggiore o uguale a 30.

Impostazione predefinita: 40

Operazione di timeout DPD

L'azione da eseguire dopo il timeout di rilevamento del peer morto (DPD). È possibile specificare le forme seguenti:

• Clear: terminare la sessione IKE quando si verifica il timeout DPD (arrestare il tunnel e cancellare i percorsi)

• None: non eseguire alcuna azione quando si verifica un timeout DPD

• Restart: riavviare la sessione IKE quando si verifica il timeout DPD

Per ulteriori informazioni, consulta Opzioni di avvio del tunnel Site-to-Site VPN.

Default: Clear

Opzioni di registrazione VPN

Con i registri VPN sito-sito, è possibile accedere ai dettagli sulla creazione del tunnel IP Security (IPSec), le negoziazioni Internet Key Exchange (IKE) e i messaggi di protocollo Dead Peer Detection (DPD).

Per ulteriori informazioni, consulta AWS Site-to-Site VPN registri.

Formati di registro disponibili: json, text

Versioni IKE

Le versioni IKE consentite per il tunnel VPN. Puoi specificare uno o più dei valori predefiniti.

ikev1, ikev2 (impostazione predefinita)

CIDR IPv4 tunnel interno

L'intervallo di indirizzi IPv4 interni del tunnel VPN. Puoi specificare un blocco CIDR di dimensione /30 dall'intervallo 169.254.0.0/16. Il blocco CIDR devono essere univoco per tutte le connessioni Site-to-Site VPN che utilizzano lo stesso gateway virtuale privato.

Nota

Il blocco CIDR non deve essere univoco per tutte le connessioni su un gateway di transito. Tuttavia, se non sono univoci, può verificarsi un conflitto sul gateway del cliente. Procedi con attenzione quando riutilizzi lo stesso blocco CIDR su più connessioni Site-to-Site VPN su un gateway di transito.

I seguenti blocchi CIDR sono riservati e non possono essere utilizzati:

• 169.254.0.0/30

• 169.254.1.0/30

• 169.254.2.0/30

• 169.254.3.0/30

• 169.254.4.0/30

• 169.254.5.0/30

• 169.254.169.252/30

Impostazione predefinita: un blocco CIDR IPv4 di dimensione /30 dall'intervallo 169.254.0.0/16.

CIDR IPv6 tunnel interno

(Solo connessioni VPN IPv6) Intervallo di indirizzi IPv6 interni per il tunnel VPN. Puoi specificare un blocco CIDR di dimensione /126 dall'intervallo fd00::/8 locale. Il blocco CIDR deve essere univoco per tutte le connessioni Site-to-Site VPN che utilizzano lo stesso gateway di transito.

Impostazione predefinita: un blocco CIDR IPv6 di dimensione /126 dall'intervallo fd00::/8 locale.

CIDR rete IPv4 locale

(Facoltativo) Per CIDR di rete IPv4 locale, specificare l'intervallo CIDR IPv4 sul lato customer gateway (on-premises) a cui è consentito comunicare attraverso i tunnel VPN.

Impostazione predefinita: 0.0.0.0/0

CIDR rete IPv4 remota

(Solo connessione VPN IPv4) L'intervallo CIDR IPv4 sul lato AWS a cui è consentito comunicare attraverso i tunnel VPN.

Impostazione predefinita: 0.0.0.0/0

CIDR rete IPv6 locale

(Solo connessione VPN IPv6) Intervallo CIDR IPv6 sul lato customer gateway (on-premises) a cui è consentito comunicare tramite i tunnel VPN.

Impostazione predefinita: 0

CIDR rete IPv6 remota

(Solo connessione VPN IPv6) L'intervallo CIDR IPv6 sul lato AWS a cui è consentito comunicare attraverso i tunnel VPN.

Impostazione predefinita: 0

Numeri di gruppo fase 1 Diffie-Hellman (DH)

I numeri di gruppo DH consentiti per il tunnel VPN per la fase 1 delle negoziazioni IKE. Puoi specificare uno o più dei valori predefiniti.

Impostazione predefinita: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Numeri di gruppo fase 2 Diffie-Hellman (DH)

I numeri di gruppo DH consentiti per il tunnel VPN per la fase 2 delle negoziazioni IKE. Puoi specificare uno o più dei valori predefiniti.

Impostazione predefinita: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Algoritmi di crittografia fase 1

Gli algoritmi di crittografia consentiti per il tunnel VPN per la fase 1 delle negoziazioni IKE. Puoi specificare uno o più dei valori predefiniti.

Impostazione predefinita: AES128, AES256, AES128-GCM-16, AES256-GCM-16

Algoritmi di crittografia fase 2

Gli algoritmi di crittografia consentiti per il tunnel VPN per la fase 2 delle negoziazioni IKE. Puoi specificare uno o più dei valori predefiniti.

Impostazione predefinita: AES128, AES256, AES128-GCM-16, AES256-GCM-16

Algoritmi di integrità fase 1

Gli algoritmi di integrità consentiti per il tunnel VPN per la fase 1 delle negoziazioni IKE. Puoi specificare uno o più dei valori predefiniti.

Di Default: SHA1, SHA2-256, SHA2-384, SHA2-512

Algoritmi di integrità fase 2

Gli algoritmi di integrità consentiti per il tunnel VPN per la fase 2 delle negoziazioni IKE. Puoi specificare uno o più dei valori predefiniti.

Di Default: SHA1, SHA2-256, SHA2-384, SHA2-512

Durata della fase 1

Nota

AWS avvia la reimpostazione delle chiavi con i valori di temporizzazione impostati nei campi Durata della fase 1 e Durata della fase 2. Se tali durate sono diverse dai valori di handshake negoziati, ciò potrebbe interrompere la connettività del tunnel.

La durata in secondi per la fase 1 delle negoziazioni IKE. Puoi specificare un numero compreso tra 900 e 28.800.

Impostazione predefinita: 28.800 (8 ore)

Durata della fase 2

Nota

AWS avvia la reimpostazione delle chiavi con i valori di temporizzazione impostati nei campi Durata della fase 1 e Durata della fase 2. Se tali durate sono diverse dai valori di handshake negoziati, ciò potrebbe interrompere la connettività del tunnel.

La durata in secondi per la fase 2 delle negoziazioni IKE. Puoi specificare un numero compreso tra 900 e 3.600. Il numero specificato deve essere inferiore al numero di secondi di durata della fase 1.

Impostazione predefinita: 3.600 (1 ora)

Chiave precondivisa (PSK)

La chiave precondivisa (PSK) per stabilire l'associazione di sicurezza Internet Key Exchange (IKE) tra il gateway di destinazione e il gateway del cliente.

La PSK deve Essere compresa tra 8 e 64 caratteri di lunghezza e non può iniziare con zero (0). Sono consentiti caratteri alfanumerici, spazi, trattini, punti (.) e trattini bassi (_).

Impostazione predefinita: una stringa alfanumerica di 32 caratteri.

Fuzz di emissione nuova chiave

La percentuale della finestra di rekey (determinata dal tempo di margine di rekey) entro la quale il tempo di rekey viene selezionato in modo casuale.

È possibile specificare un valore percentuale compreso tra 0 e 100.

Impostazione predefinita: 100

Tempo di margine di emissione nuova chiave

Il tempo di margine in secondi prima che scadano la fase 1 e la fase 2, durante le quali il lato AWS della connessione VPN esegue una emissione nuova chiave IKE.

Puoi specificare un numero compreso tra 60 e metà del valore di durata della fase 2.

L'ora esatta di emissione nuova chiave viene selezionata in modo casuale in base al valore di fuzz di emissione nuova chiave.

Impostazione predefinita: 270 (4,5 minuti)

Pacchetti dimensioni finestra di riproduzione

Il numero di pacchetti in una finestra di riproduzione IKE.

Puoi specificare un valore compreso tra 64 e 2048.

Impostazione predefinita: 1024

Azione di avvio

L'azione da intraprendere quando si stabilisce il tunnel per una connessione VPN. È possibile specificare le forme seguenti:

• Start: AWS avvia la negoziazione IKE per aprire il tunnel. Supportato solo se il gateway del cliente è configurato con un indirizzo IP.

• Add: il dispositivo gateway del cliente deve avviare la negoziazione IKE per attivare il tunnel.

Per ulteriori informazioni, consulta Opzioni di avvio del tunnel Site-to-Site VPN.

Default: Add

Controllo del tunnel

Il controllo del ciclo di vita degli endpoit del tunnel consente di controllare la pianificazione delle sostituzioni degli endpoint.

Per ulteriori informazioni, consulta Controllo del ciclo di vita dell’endpoint del tunnel.

Default: Off

Puoi specificare le opzioni di tunnel quando crei una connessione Site-to-Site VPN oppure modifichi le opzioni di tunnel per una connessione VPN esistente. Per ulteriori informazioni, consulta i seguenti argomenti:

• Fase 5: creazione di una connessione VPN

• Modifica delle opzioni del tunnel per Site-to-Site VPN