Opções de túnel para sua AWS Site-to-Site VPN conexão - AWS Site-to-Site VPN

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Opções de túnel para sua AWS Site-to-Site VPN conexão

Você usa uma Site-to-Site VPN conexão para conectar sua rede remota a umVPC. Cada Site-to-Site VPN conexão tem dois túneis, com cada túnel usando um endereço IP público exclusivo. Para a redundância, é importante configurar ambos os túneis. Quando um túnel fica indisponível (por exemplo, inativo para manutenção), o tráfego da rede é roteado automaticamente para o túnel disponível para essa conexão específica Site-to-SiteVPN.

O diagrama a seguir mostra os dois túneis de uma VPN conexão. Cada túnel termina em uma zona de disponibilidade diferente para fornecer maior disponibilidade. Tráfego da rede local para AWS usar os dois túneis. O tráfego AWS para a rede local prefere um dos túneis, mas pode passar automaticamente para o outro túnel se houver uma falha lateral. AWS

Os dois túneis de uma VPN conexão entre um gateway privado virtual e um gateway do cliente.

Ao criar uma Site-to-Site VPN conexão, você baixa um arquivo de configuração específico para o dispositivo de gateway do cliente que contém informações para configurar o dispositivo, incluindo informações para configurar cada túnel. Opcionalmente, você mesmo pode especificar algumas das opções de túnel ao criar a Site-to-Site VPN conexão. Caso contrário, a AWS fornece os valores padrão.

nota

Site-to-Site VPNos endpoints de túnel avaliam as propostas do gateway do cliente, começando com o menor valor configurado da lista abaixo, independentemente do pedido de proposta do gateway do cliente. Você pode usar o modify-vpn-connection-options comando para restringir a lista de opções que os AWS endpoints aceitarão. Para obter mais informações, consulte modify-vpn-connection-optionsna Amazon EC2 Command Line Reference.

Veja a seguir as opções de túnel que você pode configurar.

nota

Algumas opções de túnel têm vários valores padrão. Por exemplo, IKEas versões têm dois valores de opção de túnel padrão: ikev1 ikev2 e. Todos os valores padrão serão associados a essa opção de túnel se você não escolher valores específicos. Clique para remover qualquer valor padrão que você não queira associar à opção de túnel. Por exemplo, se você quiser usar somente ikev1 para a IKE versão, clique ikev2 para removê-la.

Tempo limite de detecção de pares mortos (DPD)

O número de segundos após os quais ocorre um DPD tempo limite. Um DPD tempo limite de 40 segundos significa que o VPN endpoint considerará o par morto 30 segundos após a primeira falha no keep-alive. Você pode especificar 30 ou superior.

Padrão: 60

Ação de tempo limite do DPD

A ação a ser tomada após o tempo limite da detecção de pares mortos (DPD) ocorrer. Você pode especificar o seguinte:

  • Clear: Encerre a IKE sessão quando ocorrer DPD o tempo limite (pare o túnel e limpe as rotas)

  • None: não realize nenhuma ação quando o DPD tempo limite ocorrer

  • Restart: reinicie a IKE sessão quando ocorrer DPD o tempo limite

Para obter mais informações, consulte AWS Site-to-Site VPN opções de iniciação de túnel.

Padrão: Clear

VPNopções de registro

Com Site-to-Site VPN os registros, você pode obter acesso a detalhes sobre o estabelecimento do túnel IP Security (IPsec), negociações do Internet Key Exchange (IKE) e mensagens do protocolo de detecção de pares mortos (DPD).

Para obter mais informações, consulte AWS Site-to-Site VPN troncos.

Formatos de log disponíveis: json, text

IKEversões

As IKE versões permitidas para o VPN túnel. Você pode especificar um ou mais dos valores padrão.

Padrões:, ikev1 ikev2

Dentro do túnel IPv4 CIDR

O intervalo de IPv4 endereços internos (internos) do VPN túnel. Você pode especificar um CIDR bloco de tamanho /30 a partir do 169.254.0.0/16 intervalo. O CIDR bloco deve ser exclusivo em todas as Site-to-Site VPN conexões que usam o mesmo gateway privado virtual.

nota

O CIDR bloco não precisa ser exclusivo em todas as conexões em um gateway de trânsito. No entanto, se eles não forem exclusivos, isso pode criar um conflito no gateway do cliente. Prossiga com cuidado ao reutilizar o mesmo CIDR bloco em várias Site-to-Site VPN conexões em um gateway de trânsito.

Os seguintes CIDR blocos são reservados e não podem ser usados:

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

Padrão: um IPv4 CIDR bloco de tamanho /30 do 169.254.0.0/16 intervalo.

Dentro do túnel IPv6 CIDR

(somente IPv6 VPN conexões) O intervalo de IPv6 endereços internos (internos) do VPN túnel. Você pode especificar um CIDR bloco de tamanho /126 a partir do fd00::/8 intervalo local. O CIDR bloco deve ser exclusivo em todas as Site-to-Site VPN conexões que usam o mesmo gateway de trânsito.

Padrão: um IPv6 CIDR bloco de tamanho /126 do fd00::/8 intervalo local.

IPv4Rede local CIDR

(somente IPv4 VPN conexão) O IPv4 CIDR intervalo no lado do gateway do cliente (local) que tem permissão para se comunicar pelos VPN túneis.

Padrão: 0.0.0.0/0

IPv4Rede remota CIDR

(somente IPv4 VPN conexão) O IPv4 CIDR alcance no AWS lado em que é permitido se comunicar pelos VPN túneis.

Padrão: 0.0.0.0/0

IPv6Rede local CIDR

(somente IPv6 VPN conexão) O IPv6 CIDR intervalo no lado do gateway do cliente (local) que tem permissão para se comunicar pelos VPN túneis.

Padrão: ::/0

IPv6Rede remota CIDR

(somente IPv6 VPN conexão) O IPv6 CIDR alcance no AWS lado em que é permitido se comunicar pelos VPN túneis.

Padrão: ::/0

Fase 1 Números de grupos Diffie-Hellman (DH)

Os números do grupo DH que são permitidos para o VPN túnel durante a fase 1 das IKE negociações. Você pode especificar um ou mais dos valores padrão.

Padrões: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Fase 2 Números de grupos Diffie-Hellman (DH)

Os números do grupo DH que são permitidos para o VPN túnel na fase 2 das IKE negociações. Você pode especificar um ou mais dos valores padrão.

Padrões: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Fase 1 Algoritmos de criptografia

Os algoritmos de criptografia permitidos para o VPN túnel na fase 1 das IKE negociações. Você pode especificar um ou mais dos valores padrão.

Padrões:AES128,, - -16AES256, AES128 - GCM -16 AES256 GCM

Fase 2 Algoritmos de criptografia

Os algoritmos de criptografia permitidos para o VPN túnel para IKE negociações da fase 2. Você pode especificar um ou mais dos valores padrão.

Padrões:AES128,, - -16AES256, AES128 - GCM -16 AES256 GCM

Fase 1 Algoritmos de integridade

Os algoritmos de integridade permitidos para o VPN túnel na fase 1 das IKE negociações. Você pode especificar um ou mais dos valores padrão.

Padrões:SHA1, SHA2 -256, -384, -512 SHA2 SHA2

Fase 2 Algoritmos de integridade

Os algoritmos de integridade permitidos para o VPN túnel na fase 2 das IKE negociações. Você pode especificar um ou mais dos valores padrão.

Padrões:SHA1, SHA2 -256, -384, -512 SHA2 SHA2

Tempo de vida da fase 1
nota

AWS inicie as rechaves com os valores de tempo definidos nos campos Vida útil da Fase 1 e Vida útil da Fase 2. Se as vidas úteis forem diferentes dos valores negociados no handshake, isso poderá interromper a conectividade do túnel.

A vida útil em segundos para a fase 1 das IKE negociações. Você pode especificar um número entre 900 e 28.800.

Padrão: 28.800 (8 horas)

Tempo de vida da fase 2
nota

AWS inicie as rechaves com os valores de tempo definidos nos campos Vida útil da Fase 1 e Vida útil da Fase 2. Se as vidas úteis forem diferentes dos valores negociados no handshake, isso poderá interromper a conectividade do túnel.

A vida útil em segundos para a fase 2 das IKE negociações. Você pode especificar um número entre 900 e 3.600. O número especificado deve ser menor que o número de segundos para a vida útil da fase 1.

Padrão: 3.600 (1 hora)

Chave pré-compartilhada () PSK

A chave pré-compartilhada (PSK) para estabelecer a associação de segurança inicial de troca de chaves da Internet (IKE) entre o gateway de destino e o gateway do cliente.

O PSK deve ter entre 8 e 64 caracteres e não pode começar com zero (0). Os caracteres permitidos são alfanuméricos, pontos (.) e sublinhados (_).

Padrão: uma string de 32 caracteres alfanuméricos.

Fuzz de rechaveamento

A porcentagem da janela de rechaveamento (determinada pelo tempo de margem de rechaveamento) dentro da qual o tempo de rechaveamento é selecionado aleatoriamente.

Você pode especificar um valor percentual entre 0 e 100.

Padrão: 100

Tempo de margem de rechaveamento

O tempo de margem em segundos antes da expiração da vida útil das fases 1 e 2, durante o qual o AWS lado da VPN conexão executa uma IKE nova chave.

Você pode especificar um número entre 60 e metade do valor de vida útil da fase 2.

A hora exata do rechaveamento é selecionada aleatoriamente com base no valor de fuzz de rechaveamento.

Padrão: 270 (4,5 minutos)

Reproduzir pacotes de tamanho da janela

O número de pacotes em uma janela de IKE repetição.

Você pode especificar um valor entre 64 e 2048.

Padrão: 1024

Ação de inicialização

A ação a ser tomada ao estabelecer o túnel para uma VPN conexão. Você pode especificar o seguinte:

  • Start: AWS inicia a IKE negociação para abrir o túnel. Somente compatível se o gateway do cliente estiver configurado com um endereço IP.

  • Add: Seu dispositivo de gateway do cliente deve iniciar a IKE negociação para abrir o túnel.

Para obter mais informações, consulte AWS Site-to-Site VPN opções de iniciação de túnel.

Padrão: Add

Controle de ciclo de vida do endpoint de túnel

O controle de ciclo de vida do endpoint de túnel oferece controle sobre o cronograma de substituições de endpoints.

Para obter mais informações, consulte AWS Site-to-Site VPN controle do ciclo de vida do endpoint do túnel.

Padrão: Off

Você pode especificar as opções de túnel ao criar uma Site-to-Site VPN conexão ou pode modificar as opções de túnel de uma VPN conexão existente. Para obter mais informações, consulte os tópicos a seguir.