站台對站台 VPN 連接的通道選項 - AWS Site-to-Site VPN

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

站台對站台 VPN 連接的通道選項

您使用站台對站台 VPN 連接將遠端網路連線到 VPC。每個站台對站台 VPN 連接都有兩個通道,每個通道都使用唯一的公有 IP 地址。兩個通道都務必要設定備援。當一個通道無法使用時 (例如,因維護而停機),網路流量會自動路由到該特定站台對站台 VPN 連接可用的通道。

下圖顯示 VPN 連接的兩個通道。每個通道終止於不同可用區域,以提供更高的可用性。來自內部部署網路以 AWS 使用這兩個通道的流量。來 AWS 自內部部署網路的流量偏好其中一個通道,但如果 AWS 側面發生故障,則可以自動容錯移轉到另一個通道。

虛擬私有閘道和客戶閘道間 VPN 連接的兩個通道。

當您建立站台對站台 VPN 連接時,您要下載客戶閘道裝置專用的組態檔案,其包含裝置的設定資訊,包括每個通道的設定資訊。您可以在建立站台對站台 VPN 連接時,選擇自行指定一些通道選項。否則, AWS 會提供預設值。

注意

站台對站台 VPN 通道端點會從下面的清單中最低設定值開始評估來自客戶閘道的提案,無論客戶閘道的提案順序為何。您可以使用指modify-vpn-connection-options令來限制 AWS 端點將接受的選項清單。如需詳細資訊,請參閱 Amazon EC2 命令列參考modify-vpn-connection-options中的一文。

以下是您可以配置的通道選項。

失效對等偵測 (DPD) 逾時

DPD 逾時發生之前經過的秒數。若 DPD 逾時為 40 秒,表示 VPN 端點在第一次保持連線失敗後經過 30 秒,便會將對等端視為失效。您可以指定 30 或更高。

預設:40

逾時動作

發生無效對等偵測 (DPD) 逾時之後要採取的動作。您可以指定下列選項:

  • Clear:發生 DPD 逾時時結束 IKE 工作階段 (停止通道並清除路由)

  • None:DPD 逾時發生時不採取任何動作

  • Restart:發生 DPD 逾時的時候,請重新啟動 IKE 工作階段

如需更多詳細資訊,請參閱 站台對站台 VPN 通道啟動選項

預設:Clear

VPN 記錄選項

透過站台對站台 VPN 日誌,您可以存取 IP 安全性 (IPsec) 通道建立、網際網路金鑰交換 (IKE) 交涉,以及失效對等偵測 (DPD) 通訊協定訊息的詳細資料。

如需詳細資訊,請參閱 AWS Site-to-Site VPN 日誌

可用的日誌格式:jsontext

IKE 版本

VPN 通道允許的 IKE 版本。您可以指定一個或多個預設值。

預設:ikev1ikev2

通道內部 IPv4

VPN 通道內 (內部) IPv4 地址範圍。您可在 169.254.0.0/16 範圍中指定大小為 /30 的 CIDR 區塊。CIDR 區塊在使用相同虛擬私有閘道的所有站台對站台 VPN 連接中必須是唯一的。

注意

CIDR 區塊在傳輸閘道上的所有連接中不需要是唯一的。但是,如果它們不是唯一的,則可能會在您的客戶閘道上造成衝突。在傳輸閘道上的多個 Site-to-Site VPN 連接上重複使用相同 CIDR 區塊時,請小心操作。

以下為預留的 CIDR 區塊,無法使用:

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

預設值:在 169.254.0.0/16 範圍中且大小為 /30 IPv4 CIDR 的區塊。

通道內部 IPv6

(僅限 IPv6 VPN 連線) VPN 通道內 (內部) IPv6 地址範圍。您可在 fd00::/8 範圍中指定大小為 /126 的 CIDR 區塊。CIDR 區塊在使用相同傳輸閘道的所有站台對站台 VPN 連接中必須是唯一的。

預設值:在本機 fd00::/8 範圍中且大小為 /126 IPv6 CIDR 的區塊。

本機 IPv4 網路 CIDR

(僅限 IPv4 VPN 連線) 客戶閘道 (內部部署) 端上允許透過 VPN 通道進行通訊的 IPv4 CIDR 範圍。

預設:0.0.0.0/0

遠端 IPv4 網路 CIDR

(僅限 IPv4 VPN 連線) AWS 側邊允許透過 VPN 通道進行通訊的 IPv4 CIDR 範圍。

預設:0.0.0.0/0

本機 IPv6 網路 CIDR

(僅限 IPv6 VPN 連線) 客戶閘道 (內部部署) 端上允許透過 VPN 通道進行通訊的 IPv6 CIDR 範圍。

預設:::/0

遠端 IPv6 網路 CIDR

(僅適用於 IPv6 VPN 連線) 一 AWS 端允許透過 VPN 通道進行通訊的 IPv6 CIDR 範圍。

預設:::/0

階段 1 Diffie-Hellman (DH) 群組號碼

IKE 交涉的階段 1 所允許的 VPN 通道 DH 群組號碼。您可以指定一個或多個預設值。

預設值:2、14、15、16、17、18、19、20、21、22、23、24

階段 2 Diffie-Hellman (DH) 群組號碼

IKE 交涉的階段 2 所允許的 VPN 通道 DH 群組號碼。您可以指定一個或多個預設值。

預設值:2、5、14、15、16、17、18、19、20、21、22、23、24

階段 1 加密演算法

IKE 交涉的階段 1 所允許的 VPN 通道加密演算法。您可以指定一個或多個預設值。

預設值:AES128、AES256、AES128-GCM-16、AES256-GCM-16

階段 2 加密演算法

階段 2 IKE 交涉所允許的 VPN 通道加密演算法。您可以指定一個或多個預設值。

預設值:AES128、AES256、AES128-GCM-16、AES256-GCM-16

階段 1 完整性演算法

IKE 交涉的階段 1 所允許的 VPN 通道完整性演算法。您可以指定一個或多個預設值。

預設值:SHA1、SHA2-256、SHA2-384、SHA2-512

階段 2 完整性演算法

IKE 交涉的階段 2 所允許的 VPN 通道完整性演算法。您可以指定一個或多個預設值。

預設值:SHA1、SHA2-256、SHA2-384、SHA2-512

階段 1 存留期
注意

AWS 使用階段 1 存留期和階段 2 存留期欄位中設定的計時值來啟動重新金鑰。如果此類存留期與交涉的交握值不同,這可能會中斷通道連線。

IKE 交涉的階段 1 存留期 (以秒計)。您可以指定介於 900 到 28,800 之間的數字。

預設值:28,800 (8 小時)

階段 2 存留期
注意

AWS 使用階段 1 存留期和階段 2 存留期欄位中設定的計時值來啟動重新金鑰。如果此類存留期與交涉的交握值不同,這可能會中斷通道連線。

IKE 交涉的階段 2 存留期 (以秒計)。您可以指定介於 900 到 3,600 之間的數字。您指定的數字必須小於階段 1 存留期的秒數。

預設值:3,600 (1 小時)

預先共享金鑰 (PSK)

在目標閘道與客戶閘道之間建立初始網際網路金鑰交換 (IKE) 安全關聯的預先共用金鑰 (PSK)。

PSK 的長度必須介於 8 至 64 個字元,而且開頭不可為零 (0)。允許的字元為英數字元、句點 (.) 和底線 (_)。

預設值:32 個字元的英數字串。

重設金鑰模糊

在重設金鑰時間內隨機選取的重設金鑰時段百分比 (由重設金鑰邊際時間決定)。

您可以指定介於 0 到 100 之間的百分比值。

預設:100

重設金鑰邊際時間

在階段 1 和階段 2 存留期到期之前的保證金時間 (以秒為單位),在此期間 VPN 連線 AWS 端執行 IKE 重設金鑰。

您可以指定介於 60 到階段 2 存留期一半值之間的數字。

重設金鑰的確切時間會根據重設金鑰模糊的值隨機選取。

預設值:270 (4.5 分鐘)

重新顯示視窗大小封包

IKE 重新顯示視窗中的封包數目。

您可指定介於 64 到 2048 之間的值。

預設:1024

啟動動作

為 VPN 連線建立通道時要採取的動作。您可以指定下列選項:

  • Start: AWS 啟動 IKE 談判以使隧道起來。只有在您的客戶閘道已設定 IP 位址時才支援。

  • Add:您的客戶閘道裝置必須啟動 IKE 交涉,才能啟動通道

如需更多詳細資訊,請參閱 站台對站台 VPN 通道啟動選項

預設:Add

通道端點生命週期控制

通道端點生命週期控制可為端點更換的排程提供控制。

如需詳細資訊,請參閱 通道端點生命週期控制

預設:Off

您可以在建立站台對站台 VPN 連接時指定通道選項,也可以修改現有 VPN 連接的通道選項。如需詳細資訊,請參閱下列主題: