Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
File di configurazione del routing dinamico scaricabili per AWS Site-to-Site VPN il dispositivo gateway del cliente
Per scaricare un file di configurazione di esempio con valori specifici per la configurazione della tua Site-to-Site VPN connessione, usa la VPC console Amazon, la AWS riga di comando o Amazon EC2API. Per ulteriori informazioni, consulta Fase 6: download del file di configurazione.
I file utilizzano valori segnaposto per alcuni componenti. Ad esempio, utilizzano:
-
Valori di esempio per l'ID di VPN connessione, l'ID del gateway del cliente e l'ID del gateway privato virtuale
-
Segnaposto per gli endpoint degli indirizzi AWS IP remoti (esterni) (
AWS_ENDPOINT_1eAWS_ENDPOINT_2) -
Un segnaposto per l'indirizzo IP per l'interfaccia esterna indirizzabile a Internet sul dispositivo gateway del cliente (
your-cgw-ip-address) -
Un segnaposto per il valore chiave già condiviso () pre-shared-key
-
Valori di esempio per indirizzi IP interni del tunnel.
-
Valori di esempio per l'impostazione. MTU
Nota
MTUle impostazioni fornite nei file di configurazione di esempio sono solo esempi. Per informazioni sull'impostazione del MTU valore ottimale Le migliori pratiche per un dispositivo gateway per i AWS Site-to-Site VPN clienti per la situazione in uso, fare riferimento a.
Oltre a fornire valori segnaposto, i file specificano i requisiti minimi per una Site-to-Site VPN connessione di AES128SHA1, e il gruppo Diffie-Hellman 2 nella maggior parte delle regioni e AES128SHA2, e il gruppo Diffie-Hellman 14 AWS nelle regioni. AWS GovCloud Specificano inoltre le chiavi precondivise per l'autenticazione. È necessario modificare il file di configurazione di esempio per sfruttare algoritmi di sicurezza aggiuntivi, gruppi Diffie-Hellman, certificati privati e traffico. IPv6
Nel diagramma seguente viene fornita una panoramica dei diversi componenti configurati nel dispositivo gateway del cliente. Questa include valori di esempio per gli indirizzi IP di interfaccia di tunnel.
Dispositivi Cisco: informazioni aggiuntive
Alcuni Cisco supportano ASAs solo la modalità Active/Standby. Quando usi questi CiscoASAs, puoi avere solo un tunnel attivo alla volta. Il tunnel in standby diventa attivo se il primo tunnel non è più disponibile. Con questa ridondanza, dovresti sempre avere la connettività VPC attraverso uno dei tunnel.
Cisco a ASAs partire dalla versione 9.7.1 e successive supporta la modalità Active/Active. Quando usi questi CiscoASAs, puoi avere entrambi i tunnel attivi contemporaneamente. Con questa ridondanza, dovresti sempre avere la connettività VPC attraverso uno dei tunnel.
Per dispositivi Cisco, è necessario effettuare le seguenti operazioni:
-
Configurare l'interfaccia esterna.
-
Assicurati che il numero di Crypto ISAKMP Policy Sequence sia univoco.
-
Assicurarti che il numero di sequenza della policy della lista Crypto sia univoco.
-
Assicurati che Crypto IPsec Transform Set e Crypto ISAKMP Policy Sequence siano in armonia con tutti gli altri IPsec tunnel configurati sul dispositivo.
-
Assicurati che il numero di SLA monitoraggio sia univoco.
-
Configurare l'intero routing interno che sposta il traffico tra il dispositivo gateway del cliente e la tua rete locale.
Dispositivi Juniper: informazioni aggiuntive
Le seguenti informazioni si applicano ai file di configurazione di esempio per i dispositivi gateway Juniper Juniper J-Series e per i SRX clienti.
-
L'interfaccia esterna è denominata come
ge-0/0/0.0. -
L'interfaccia IDs del tunnel è denominata come
st0.1est0.2. -
Assicurarsi di identificare la zona di sicurezza per l'interfaccia di collegamento (le informazioni di configurazione utilizzano la zona predefinita "untrust").
-
Assicurarsi di identificare la zona di sicurezza per l'interfaccia interna (le informazioni di configurazione utilizzano la zona predefinita "trust").
