As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Arquivos de configuração de roteamento dinâmico que podem ser baixados para o dispositivo de gateway AWS Site-to-Site VPN do cliente
Para baixar um arquivo de configuração de amostra com valores específicos para sua configuração de Site-to-Site VPN conexão, use o VPC console da Amazon, a linha de AWS comando ou a Amazon EC2API. Para obter mais informações, consulte Etapa 6: baixar o arquivo de configuração.
Os arquivos usam valores de espaço reservado para alguns componentes. Por exemplo, eles usam:
-
Valores de exemplo para a ID da VPN conexão, ID do gateway do cliente e ID do gateway privado virtual
-
Espaços reservados para os AWS endpoints de endereço IP remotos (externos) (
AWS_ENDPOINT_1eAWS_ENDPOINT_2) -
Um espaço reservado para o endereço IP da interface externa roteável pela Internet no dispositivo de gateway do cliente (
your-cgw-ip-address) -
Um espaço reservado para o valor da chave pré-compartilhada () pre-shared-key
-
Valores de exemplo para o túnel dentro de endereços IP.
-
Valores de exemplo para MTU configuração.
nota
MTUas configurações fornecidas nos arquivos de configuração de amostra são apenas exemplos. Consulte Melhores práticas para um dispositivo de gateway AWS Site-to-Site VPN do cliente para obter informações sobre como definir o MTU valor ideal para sua situação.
Além de fornecer valores de espaço reservado, os arquivos especificam os requisitos mínimos para uma Site-to-Site VPN conexão deAES128,SHA1, e do grupo Diffie-Hellman 2 na maioria das AWS regiões e AES128SHA2, e do grupo Diffie-Hellman 14 nas regiões. AWS GovCloud Eles também especificam chaves pré-compartilhadas para autenticação. Você deve modificar o arquivo de configuração de exemplo para aproveitar os algoritmos de segurança adicionais, grupos Diffie-Hellman, certificados privados e tráfego. IPv6
O diagrama a seguir fornece uma visão geral dos diferentes componentes configurados no dispositivo de gateway do cliente. Ele inclui valores de exemplo para os endereços IP da interface do túnel.
Dispositivos Cisco: informações adicionais
Alguns Cisco suportam ASAs apenas o modo ativo/em espera. Quando você usa esses CiscoASAs, você pode ter somente um túnel ativo por vez. O outro túnel em espera ficará ativo se o primeiro túnel ficar indisponível. Com essa redundância, você deve sempre ter conectividade com você VPC por meio de um dos túneis.
A Cisco ASAs da versão 9.7.1 e posterior suporta o modo ativo/ativo. Ao usar esses CiscoASAs, você pode ter os dois túneis ativos ao mesmo tempo. Com essa redundância, você deve sempre ter conectividade com você VPC por meio de um dos túneis.
Para dispositivos Cisco, é necessário fazer o seguinte:
-
Configurar a interface externa.
-
Certifique-se de que o número ISAKMP de sequência da política de criptografia seja exclusivo.
-
Garanta que o número Crypto List Policy Sequence seja exclusivo.
-
Certifique-se de que o Crypto IPsec Transform Set e a Crypto ISAKMP Policy Sequence estejam em harmonia com quaisquer outros IPsec túneis configurados no dispositivo.
-
Certifique-se de que o número de SLA monitoramento seja exclusivo.
-
Configurar todo o roteamento interno que move o tráfego entre o gateway do cliente e a rede local.
Dispositivos Juniper: informações adicionais
As informações a seguir se aplicam aos exemplos de arquivos de configuração para dispositivos Juniper J-Series e de gateway SRX do cliente.
-
A interface externa é chamada de
ge-0/0/0.0. -
A interface do IDs túnel é chamada de
st0.1est0.2. -
Certifique-se de identificar a zona de segurança da interface de uplink (as informações de configuração usam a zona padrão "untrust").
-
Certifique-se de identificar a zona de segurança da interface interna (as informações de configuração usam a zona padrão "trust").
