Opções de túnel para a conexão do Site-to-Site VPN - AWS Site-to-Site VPN

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Opções de túnel para a conexão do Site-to-Site VPN

Use uma conexão do Site-to-Site VPN para conectar a rede remota a uma VPC. Cada conexão da VPN local a local tem dois túneis, sendo que cada um usa um endereço IP público exclusivo. Para a redundância, é importante configurar ambos os túneis. Quando um túnel fica indisponível (por exemplo, para manutenção), o tráfego de rede é roteado automaticamente para o túnel que estiver disponível para aquela conexão do Site-to-Site VPN específica.

O diagrama a seguir mostra os dois túneis de uma conexão VPN. Cada túnel termina em uma zona de disponibilidade diferente para fornecer maior disponibilidade. O tráfego da rede on-premises para a AWS usa os dois túneis. O tráfego da AWS para a rede on-premises escolhe um dos túneis, mas pode ocorrer failover automaticamente para o outro túnel se houver uma falha do lado da AWS.

Os dois túneis de uma conexão VPN entre um gateway privado virtual e um gateway do cliente.

Ao criar uma conexão do Site-to-Site VPN, fazer download de um arquivo de configuração específico para seu dispositivo de gateway do cliente que contém informações para configuração do dispositivo, incluindo as informações para configuração de cada túnel. Como opção, você mesmo pode especificar algumas das opções de túnel ao criar a conexão do Site-to-Site VPN. Caso contrário, a AWS fornece os valores padrão.

nota

Os endpoints do túnel da VPN de local para local avaliam as propostas do gateway do cliente começando com o menor valor configurado da lista abaixo, independentemente da ordem da proposta do gateway do cliente. Você pode usar o comando modify-vpn-connection-options para restringir a lista de opções que os endpoints da AWS aceitarão. Para obter mais informações, consulte modify-vpn-connection-options em Referência de linha de comando do Amazon EC2.

Veja a seguir as opções de túnel que você pode configurar.

Tempo limite do Dead Peer Detection (DPD)

A duração, em segundos, após a qual ocorre o tempo limite do DPD. Um tempo limite do DPD de 40 segundos significa que o endpoint da VPN considerará o par desativado 30 segundos após a primeira falha no keep-alive. Você pode especificar 30 ou superior.

Padrão: 60

Ação de tempo limite do DPD

A ação a ser executada após atingir o tempo limite do Dead Peer Detection (DPD). Você pode especificar o seguinte:

  • Clear: finalizar a sessão do protocolo IKE quando o tempo limite do DPD for atingido (interromper o túnel e limpar as rotas)

  • None: nenhuma ação quando o tempo limite do DPD for atingido

  • Restart: reiniciar a sessão do protocolo IKE quando o tempo limite do DPD for atingido

Para obter mais informações, consulte Opções de iniciação de túnel do Site-to-Site VPN.

Padrão: Clear

Opções de registro em log da VPN

Com os logs do Site-to-Site VPN, você pode obter acesso a detalhes sobre estabelecimento do túnel de segurança IP (IPsec), negociações do Internet Key Exchange (IKE) e mensagens de protocolo Dead Peer Detection (DPD).

Para obter mais informações, consulte AWS Site-to-Site VPN troncos.

Formatos de log disponíveis: json, text

Versões do IKE

As versões do IKE que são permitidas para o túnel VPN. Você pode especificar um ou mais dos valores padrão.

Padrão: ikev1, ikev2

CIDR de IPv4 do túnel interno

O intervalo de endereços IPv4 internos para o túnel de VPN. É possível especificar um bloco CIDR de tamanho /30 a partir do intervalo 169.254.0.0/16. O bloco CIDR deve ser exclusivo em todas as conexões Site-to-Site VPN que usam o mesmo gateway privado virtual.

nota

O bloco CIDR não precisa ser exclusivo em todas as conexões em um gateway de trânsito. No entanto, se eles não forem exclusivos, isso pode criar um conflito no gateway do cliente. Tenha cuidado ao reutilizar o mesmo bloco CIDR em várias conexões VPN Site-to-Site em um gateway de trânsito.

Os seguintes blocos CIDR são reservados e não podem ser usados:

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

Padrão: um bloco CIDR IPv4 de tamanho /30 do intervalo 169.254.0.0/16.

CIDR de IPv6 do túnel interno

(Somente conexões VPN IPv6) O intervalo de endereços IPv6 internos para o túnel de VPN. É possível especificar um bloco CIDR de tamanho /126 a partir do intervalo fd00::/8 local. O bloco CIDR deve ser exclusivo em todas as conexões Site-to-Site VPN que usam o mesmo gateway de trânsito.

Padrão: um bloco CIDR IPv6 de tamanho /126 do intervalo fd00::/8 local.

CIDR de rede IPv4 local

(Somente conexão VPN IPv4) O intervalo CIDR IPv4 no gateway do cliente (no local) que tem permissão para se comunicar pelos túneis de VPN.

Padrão: 0.0.0.0/0

CIDR de rede IPv4 remota

(Somente conexão VPN IPv4) O intervalo CIDR IPv4 no lado da AWS que tem permissão para se comunicar pelos túneis de VPN.

Padrão: 0.0.0.0/0

CIDR de rede IPv6 local

(Somente conexão VPN IPv6) O intervalo CIDR IPv6 no gateway do cliente (local) que tem permissão para se comunicar pelos túneis de VPN.

Padrão: ::/0

CIDR de rede IPv6 remota

(Somente conexão VPN IPv6) O intervalo CIDR IPv6 no lado da AWS que tem permissão para se comunicar pelos túneis de VPN.

Padrão: ::/0

Fase 1 Números de grupos Diffie-Hellman (DH)

Os números de grupos DH que são permitidos para o túnel VPN para a fase 1 das negociações de IKE. Você pode especificar um ou mais dos valores padrão.

Padrão: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Fase 2 Números de grupos Diffie-Hellman (DH)

Os números de grupos DH que são permitidos para o túnel VPN para a fase 2 das negociações de IKE. Você pode especificar um ou mais dos valores padrão.

Padrão: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Fase 1 Algoritmos de criptografia

Os algoritmos de criptografia permitidos para o túnel VPN para a fase 1 das negociações de IKE. Você pode especificar um ou mais dos valores padrão.

Padrão: AES128, AES256, AES128-GCM-16, AES256-GCM-16

Fase 2 Algoritmos de criptografia

Os algoritmos de criptografia permitidos para o túnel VPN para a fase 2 das negociações de IKE. Você pode especificar um ou mais dos valores padrão.

Padrão: AES128, AES256, AES128-GCM-16, AES256-GCM-16

Fase 1 Algoritmos de integridade

Os algoritmos de integridade permitidos para o túnel VPN para a fase 1 das negociações de IKE. Você pode especificar um ou mais dos valores padrão.

Padrão: SHA1, SHA2-256, SHA2-384, SHA2-512

Fase 2 Algoritmos de integridade

Os algoritmos de integridade permitidos para o túnel VPN para a fase 2 das negociações de IKE. Você pode especificar um ou mais dos valores padrão.

Padrão: SHA1, SHA2-256, SHA2-384, SHA2-512

Tempo de vida da fase 1
nota

AWS inicia novas chaves com os valores de tempo definidos nos campos Vida útil da fase 1 e Vida útil da fase 2. Se as vidas úteis forem diferentes dos valores negociados no handshake, isso poderá interromper a conectividade do túnel.

O tempo de vida em segundos da fase 1 da negociação de IKE. Você pode especificar um número entre 900 e 28.800.

Padrão: 28.800 (8 horas)

Tempo de vida da fase 2
nota

AWS inicia novas chaves com os valores de tempo definidos nos campos Vida útil da fase 1 e Vida útil da fase 2. Se as vidas úteis forem diferentes dos valores negociados no handshake, isso poderá interromper a conectividade do túnel.

O tempo de vida em segundos da fase 2 da negociação de IKE. Você pode especificar um número entre 900 e 3.600. O número especificado deve ser menor que o número de segundos para a vida útil da fase 1.

Padrão: 3.600 (1 hora)

Chaves pré-compartilhadas (PSK)

Chave pré-compartilhada (PSK) para estabelecer a associação de IKE (Internet key exchange – Troca de chaves da Internet) inicial entre o gateway de destino e o gateway do cliente.

O PSK deve estar entre 8 e 64 caracteres de extensão e não pode começar com zero (0). Os caracteres permitidos são alfanuméricos, pontos (.) e sublinhados (_).

Padrão: uma string de 32 caracteres alfanuméricos.

Fuzz de rechaveamento

A porcentagem da janela de rechaveamento (determinada pelo tempo de margem de rechaveamento) dentro da qual o tempo de rechaveamento é selecionado aleatoriamente.

Você pode especificar um valor percentual entre 0 e 100.

Padrão: 100

Tempo de margem de rechaveamento

O tempo de margem em segundos antes de a vida útil da fase 1 e da fase 2 expirar, durante o qual o lado AWS da conexão VPN executa um rechaveamento do IKE.

Você pode especificar um número entre 60 e metade do valor de vida útil da fase 2.

A hora exata do rechaveamento é selecionada aleatoriamente com base no valor de fuzz de rechaveamento.

Padrão: 270 (4,5 minutos)

Reproduzir pacotes de tamanho da janela

O número de pacotes em uma janela de reprodução de IKE.

Você pode especificar um valor entre 64 e 2048.

Padrão: 1024

Ação de inicialização

A ação a ser realizada ao estabelecer o túnel para uma conexão VPN. Você pode especificar o seguinte:

  • Start: a AWS inicia a negociação do IKE para ativar o túnel. Somente compatível se o gateway do cliente estiver configurado com um endereço IP.

  • Add: o dispositivo de gateway do cliente deve iniciar a negociação do protocolo IKE para ativar o túnel.

Para obter mais informações, consulte Opções de iniciação de túnel do Site-to-Site VPN.

Padrão: Add

Controle de ciclo de vida do endpoint de túnel

O controle de ciclo de vida do endpoint de túnel oferece controle sobre o cronograma de substituições de endpoints.

Para obter mais informações, consulte Controle de ciclo de vida do endpoint de túnel.

Padrão: Off

É possível especificar as opções de túnel ao criar uma conexão do Site-to-Site VPN ou modificar as opções de túnel para uma conexão VPN existente. Para obter mais informações, consulte os tópicos a seguir: