本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
站台對站台 VPN 通道啟動選項
根據預設,您的客戶閘道裝置必須透過產生流量並啟動網際網路金鑰交換 (IKE) 交涉程序,為您的站台對站台 VPN 連接開啟通道。您可以設定 VPN 通道,以指定 AWS 必須改為啟動或重新啟動 IKE 協商程序。
VPN 通道 IKE 啟動選項
您可以使用下列 IKE 啟動選項。您可以針對 Site-to-Site VPN 連線中的一或兩個通道實作任一個或兩個選項。如需這些和其他通道選項設定的詳細資訊,請參閱 VPN 通道選項。
-
啟動動作:為新的或修改的 VPN 連線建立 VPN 通道時要採取的動作。根據預設,您的客戶閘道裝置會啟動 IKE 交涉程序來啟動通道。您可以指定 AWS 必須改為啟動 IKE 交涉程序。
-
DPD 逾時動作:發生無效對等偵測 (DPD) 逾時之後要採取的動作。根據預設,IKE 工作階段會停止、關閉通道,並移除路由。您可以指定 AWS 必須在 DPD 逾時發生時重新啟動 IKE 工作階段,或者您可以指定 AWS 在 DPD 逾時發生時不必採取任何動作。
規則與限制
下列為適用規則和限制:
-
若要啟動 IKE 交涉,AWS 需要客戶閘道裝置的公有 IP 地址。如果您為 VPN 連接設定了憑證型身分驗證,但在 AWS 中建立客戶閘道資源時未指定 IP 地址,則必須建立新的客戶閘道並指定 IP 地址。然後,修改 VPN 連線,並指定新的客戶閘道。如需更多詳細資訊,請參閱 變更站台對站台 VPN 連接的客戶閘道。
-
IKEv2 僅支援從 VPN 連接的 AWS 端進行 IKE 啟動 (啟動動作)。
-
如果從 VPN 連線的 AWS 端使用 IKE 啟動,則不包括逾時設定。它將持續嘗試建立連線,直到成功為止。此外,VPN 連線的 AWS 端在收到來自客戶閘道的刪除 SA 訊息時將重新起始 IKE 協商。
-
如果您的客戶閘道裝置位於防火牆或其他使用網路位址轉譯 (NAT) 的裝置後面,則必須設定識別碼 (IDr)。如需 IDr 的詳細資訊,請參閱 RFC 7296
。
如果您未針對 VPN 通道從 AWS 端設定 IKE 啟動,且 VPN 連接經歷一段閒置時間 (通常為 10 秒,視組態而定),則通道可能會停止運作。若要避免這種情況,您可以使用網路監控工具來產生持續作用 ping。
使用 VPN 通道啟動選項
如需使用 VPN 通道啟動選項的詳細資訊,請參閱下列主題:
-
建立新的 VPN 連接並指定 VPN 通道啟動選項:步驟 5:建立 VPN 連接
-
修改現有 VPN 連接的 VPN 通道啟動選項:修改 Site-to-Site VPN 通道選項
