AWS Site-to-Site VPN 通道啟動選項 - AWS Site-to-Site VPN

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Site-to-Site VPN 通道啟動選項

根據預設,您的客戶閘道裝置必須透過產生流量並啟動網際網路金鑰交換 (IKE) 交涉程序,來開啟VPN連線 Site-to-Site的通道。您可以設定VPN通道,以指定 AWS 必須啟動或重新啟動交IKE涉程序。

VPN 通道IKE啟動選項

下列IKE啟動選項可供使用。您可以為VPN連線中的 Site-to-Site一個或兩個通道實作 或兩個選項。如需這些和其他通道選項設定的詳細資訊,請參閱 VPN 通道選項

  • 啟動動作:建立新VPN連線或修改連線的VPN通道時要採取的動作。根據預設,您的客戶閘道裝置會啟動IKE交涉程序,以啟動通道。您可以指定 AWS 必須啟動交IKE涉程序。

  • DPD 逾時動作:發生無效對等偵測 (DPD) 逾時後要採取的動作。根據預設,IKE工作階段會停止、通道會關閉,而且路由會移除。您可以指定 必須在DPD逾時發生時 AWS 重新啟動IKE工作階段,也可以指定 在DPD逾時發生時不 AWS 採取任何動作。

規則與限制

下列為適用規則和限制:

  • 若要啟動IKE交涉, AWS 需要客戶閘道裝置的公有 IP 地址。如果您已為VPN連線設定憑證型身分驗證,且您在其中建立客戶閘道資源時未指定 IP 地址 AWS,則必須建立新的客戶閘道並指定 IP 地址。然後,修改VPN連線並指定新的客戶閘道。如需詳細資訊,請參閱變更 AWS Site-to-Site VPN 連線的客戶閘道

  • IKE IKEv2僅支援從VPN連線 AWS 側邊啟動 (啟動動作)。

  • 如果使用從VPN連線 AWS 端IKE啟動,則不包含逾時設定。它將持續嘗試建立連線,直到成功為止。此外,VPN連線 AWS 端會在從客戶閘道收到刪除 SA 訊息時,重新啟動交IKE涉。

  • 如果您的客戶閘道裝置位於防火牆或其他使用網路地址轉譯 (NAT) 的裝置後方,則必須設定身分 (IDr)。如需 的詳細資訊IDr,請參閱 RFC 7296

如果您未設定VPN從通道的 AWS 端IKE啟動,且VPN連線經歷閒置時間 (通常為 10 秒,取決於您的組態),則通道可能會停機。若要避免這種情況,您可以使用網路監控工具來產生持續作用 ping。

使用VPN通道啟動選項

如需使用VPN通道啟動選項的詳細資訊,請參閱下列主題: