本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
站点到站点 VPN 隧道启动选项
默认情况下,您的客户网关设备必须通过生成流量并启动 Internet 密钥交换 (IKE) 协商过程来为站点到站点 VPN 连接启动隧道。您可以将 VPN 隧道配置为指定 AWS 必须改为启动或重新启动 IKE 协商进程。
VPN 隧道 IKE 启动选项
以下 IKE 启动选项可用。您可以为站点到站点 VPN 连接中的一个或两个隧道实施任一选项或这两个选项。有关这些设置和其他隧道选项设置的更多详细信息,请参阅VPN 隧道选项。
-
启动操作:为新的或修改的 VPN 连接建立 VPN 隧道时要执行的操作。默认情况下,您的客户网关设备启动 IKE 协商过程以启动隧道。您可以指定 AWS 必须改为启动 IKE 协商进程。
-
DPD 超时操作:发生失效对端检测 (DPD) 超时后要采取的操作。默认情况下,IKE 会话停止,隧道关闭,路由将被移除。您可以指定在 DPD 超时发生时 AWS 必须重新启动 IKE 会话,也可以指定在发生 DPD 超时时时 AWS 不得采取任何操作。
规则和限制
以下规则和限制适用:
-
要启动 IKE 协商, AWS 需要您的客户网关设备的公有 IP 地址。如果您为 VPN 连接配置了基于证书的身份验证,并且在中创建客户网关资源时未指定 IP 地址 AWS,则必须创建新的客户网关并指定 IP 地址。然后,修改 VPN 连接并指定新的客户网关。有关更多信息,请参阅 更改 Site-to-Site VPN 连接的客户网关。
-
只有 IKEv2 支持从 VPN 连接 AWS 侧启动 IKE(启动操作)。
-
如果从 VPN 连接 AWS 侧使用 IKE 初始化,则不包括超时设置。它会不断尝试建立连接,直到建立连接。此外,当 VPN 连接 AWS 端收到来自您的客户网关的 delete SA 消息时,它将重新启动 IKE 协商。
-
如果您的客户网关设备位于使用网络地址转换 (NAT) 的防火墙或其他设备后面,则它必须配置有身份 (IDr)。有关 IDr 的更多信息,请参阅 RFC 7296
。
如果您没有从 AWS 侧面为 VPN 隧道配置 IKE 初始化,并且 VPN 连接有一段空闲时间(通常为 10 秒,具体取决于您的配置),则隧道可能会中断。为防止发生此问题,您可以使用网络监控工具来生成 keepalive Ping。
使用 VPN 隧道启动选项
有关使用 VPN 隧道启动选项的更多信息,请参阅以下主题:
-
要创建新的 VPN 连接并指定 VPN 隧道启动选项,请执行以下操作:步骤 5:创建 VPN 连接
-
要修改现有 VPN 连接的 VPN 隧道启动选项,请执行以下操作:修改 Site-to-Site VPN 隧道选项
