站点到站点 VPN 连接的隧道选项 - AWS Site-to-Site VPN

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

站点到站点 VPN 连接的隧道选项

您使用站点到站点 VPN 连接将远程网络连接到 VPC。每个 Site-to-Site VPN 连接都有两个隧道,每个隧道都使用唯一的公有 IP 地址。配置两条隧道以提供冗余能力是重要的步骤。当一个隧道不可用(例如,因维护而关闭)时,网络流量会自动路由到该特定站点到站点 VPN 连接的可用隧道。

下图展示了 VPN 连接的两条隧道。每条隧道在不同的可用区终止,以提供更高的可用性。从本地网络到 AWS 的流量使用这两条隧道。从 AWS 到本地网络的流量首选其中一条隧道,但如果 AWS 侧出现故障,则可以自动失效转移到另一条隧道。

虚拟私有网关和客户网关之间的 VPN 连接的两条隧道。

当您创建站点到站点 VPN 连接时,将会下载一个特定于客户网关设备的配置文件,其中包含有关配置设备的信息,包括有关配置每个隧道的信息。在创建站点到站点 VPN 连接时,您可以选择自己指定某些隧道选项。否则,AWS 会提供默认值。

注意

无论客户网关的建议顺序如何,站点到站点 VPN 隧道终端节点都会从下面列表中配置的最低值开始评估来自客户网关的建议顺序。您可以使用 modify-vpn-connection-options 命令来限制 AWS 终端节点将接受的选项列表。有关详细信息,请参阅 Amazon EC2 命令行参考中的 modify-vpn-connection-options

以下是您可以配置的隧道选项。

失效对端检测 (DPD) 超时

发生 DPD 超时之后的秒数。DPD 超时为 40 秒意味着 VPN 端点将在第一次保持连接失败 30 秒后认为对端失效。您可以指定 30 或更高值。

原定设置值:40

DPD 超时操作

发生失效对端检测 (DPD) 超时后采取的操作。您可以指定:

  • Clear:当发生 DPD 超时时结束 IKE 会话(停止隧道并清除路由)

  • None:当发生 DPD 超时时不采取任何操作

  • Restart:当发生 DPD 超时时重新启动 IKE 会话

有关更多信息,请参阅站点到站点 VPN 隧道启动选项

默认值:Clear

VPN 日志记录选项

使用 Site-to-Site VPN 日志,您可以访问有关 IP 安全性(IPsec)隧道建立、互联网密钥交换(IKE)协商和失效对端检测(DPD)协议消息的详细信息。

有关更多信息,请参阅AWS Site-to-Site VPN 日志

可用的日志格式:jsontext

IKE 版本

VPN 隧道允许的 IKE 版本。您可以指定一个或多个默认值。

默认值:ikev1ikev2

隧道内 IPv4 CIDR

VPN 隧道内的(内部)IPv4 地址范围。您可以指定 169.254.0.0/16 范围中大小为 /30 的 CIDR 块。对于使用同一虚拟私有网关的所有站点到站点 VPN 连接,CIDR 块必须是唯一的。

注意

对于一个中转网关上的所有连接,CIDR 块无需唯一。但如果它们不唯一,则可能会在客户网关上造成冲突。在一个中转网关上的多个 Site-to-Site VPN 连接上重复使用同一 CIDR 块时,应谨慎操作。

以下 CIDR 块由系统保留,不能使用:

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

默认值:169.254.0.0/16 范围内大小为 /30 的 IPv4 CIDR 块。

隧道内 IPv6 CIDR

(仅限 IPv6 VPN 连接)VPN 隧道内的(内部)IPv6 地址范围。您可以指定本地 fd00::/8 范围内的大小为 /126 的 CIDR 块。对于使用同一中转网关的所有站点到站点 VPN 连接,CIDR 块必须是唯一的。

默认值:本地 fd00::/8 范围内大小为 /126 的 IPv6 CIDR 块。

本地 IPv4 网络 CIDR

(仅限 IPv4 VPN 连接)客户网关(本地)端上允许通过 VPN 隧道进行通信的 IPv4 CIDR 范围。

默认值:0.0.0.0/0

远程 IPv4 网络 CIDR

(仅限 IPv4 VPN 连接)AWS 端上允许通过 VPN 隧道进行通信的 IPv4 CIDR 范围。

默认值:0.0.0.0/0

本地 IPv6 网络 CIDR

(仅限 IPv6 VPN 连接)客户网关(本地)端上允许通过 VPN 隧道进行通信的 IPv6 CIDR 范围。

默认值:::/0

远程 IPv6 网络 CIDR

(仅限 IPv6 VPN 连接)AWS 端上允许通过 VPN 隧道进行通信的 IPv6 CIDR 范围。

默认值:::/0

阶段 1 Diffie-Hellman (DH) 组编号

对于 VPN 隧道的阶段 1 IKE 协商,允许的 DH 组编号。您可以指定一个或多个默认值。

默认值:2、14、15、16、17、18、19、20、21、22、23、24

阶段 2 Diffie-Hellman (DH) 组编号

对于 VPN 隧道的阶段 2 IKE 协商,允许的 DH 组编号。您可以指定一个或多个默认值。

默认值:2、5、14、15、16、17、18、19、20、21、22、23、24

阶段 1 加密算法

对于 VPN 隧道的阶段 1 IKE 协商,允许的加密算法。您可以指定一个或多个默认值。

默认值:AES128、AES256、AES128-GCM-16、AES256-GCM-16

阶段 2 加密算法

对于 VPN 隧道的阶段 2 IKE 协商,允许的加密算法。您可以指定一个或多个默认值。

默认值:AES128、AES256、AES128-GCM-16、AES256-GCM-16

阶段 1 完整性算法

对于 VPN 隧道的阶段 1 IKE 协商,允许的完整性算法。您可以指定一个或多个默认值。

原定设置:SHA1、SHA2-256、SHA2-384、SHA2-512

阶段 2 完整性算法

对于 VPN 隧道的阶段 2 IKE 协商,允许的完整性算法。您可以指定一个或多个默认值。

原定设置:SHA1、SHA2-256、SHA2-384、SHA2-512

阶段 1 生命周期
注意

AWS 使用在阶段 1 生命周期和阶段 2 生命周期字段中设置的计时值来启动更改密钥。如果此生命周期与协商的握手值不同,则可能会中断隧道连接。

IKE 协商的阶段 1 的生命周期,以秒为单位。您可以指定 900 到 28800 之间的数字。

默认值:28800(8 小时)

阶段 2 生命周期
注意

AWS 使用在阶段 1 生命周期和阶段 2 生命周期字段中设置的计时值来启动更改密钥。如果此生命周期与协商的握手值不同,则可能会中断隧道连接。

IKE 协商的阶段 2 的生命周期,以秒为单位。您可以指定 900 到 3600 之间的数字。您指定的数字必须小于阶段 1 生命周期的秒数。

默认值:3600(1 小时)

预共享密钥 (PSK)

预共享密钥 (PSK),用于在目标网关和客户网关之间建立初始 Internet 密钥交换 (IKE) 安全关联。

PSK 的长度必须在 8 到 64 个字符之间,而且不能以零 (0) 开头。允许的字符是字母数字字符、句点 (.) 和下划线 (_)。

默认值:32 个字符的字母数字字符串。

更改密钥模糊值

在其中随机选择更改密钥时间的更改密钥窗口的百分比(由更改密钥容许时间确定)

您可以指定介于 0 到 100 之间的百分比值。

默认值:100

更改密钥容许时间

在阶段 1 和阶段 2 生命周期过期之前容许 VPN 连接的 AWS 端执行 IKE 密钥更改的时间(以秒为单位)。

您可以指定一个介于 60 和阶段 2 生命周期值一半之间的数字。

更改密钥的确切时间基于更改密钥模糊值随机选择。

原定设置:270(4.5 分钟)

回放窗口大小的数据包

IKE 回放窗口中的数据包数。

您可以指定 64 到 2048 之间的值。

默认值:1024

启动操作

为 VPN 连接建立隧道时要执行的操作。您可以指定:

  • Start:AWS 启动 IKE 协商以启动隧道。仅当您的客户网关配置了 IP 地址时才支持。

  • Add:您的客户网关设备必须启动 IKE 协商才能启动隧道。

有关更多信息,请参阅站点到站点 VPN 隧道启动选项

默认值:Add

隧道端点生命周期控制

隧道端点生命周期控制提供对端点替换计划的控制。

有关更多信息,请参阅隧道端点生命周期控制

默认值:Off

您可以在创建站点到站点 VPN 连接时指定隧道选项,也可以修改现有 VPN 连接的隧道选项。有关更多信息,请参阅以下主题: