本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
站台對站台 VPN 通道啟動選項
根據預設,您的客戶閘道裝置必須透過產生流量並啟動網際網路金鑰交換 (IKE) 交涉程序,為您的站台對站台 VPN 連接開啟通道。您可以設定 VPN 通道,以指定 AWS 必須啟動或重新啟動 IKE 交涉程序。
VPN 通道 IKE 啟動選項
您可以使用下列 IKE 啟動選項。您可以針對 Site-to-Site VPN 連線中的一或兩個通道實作任一個或兩個選項。如需這些和其他通道選項設定的詳細資訊,請參閱 VPN 通道選項。
-
啟動動作:為新的或修改的 VPN 連線建立 VPN 通道時要採取的動作。根據預設,您的客戶閘道裝置會啟動 IKE 交涉程序來啟動通道。您可以指定 AWS 必須改為起始 IKE 交涉程序。
-
DPD 逾時動作:發生無效對等偵測 (DPD) 逾時之後要採取的動作。根據預設,IKE 工作階段會停止、關閉通道,並移除路由。您可以指定在 DPD 逾時發生時 AWS 必須重新啟動 IKE 工作階段,也可以指定在發生 DPD 逾時時不採取任何動作。 AWS
規則與限制
下列為適用規則和限制:
-
若要啟動 IKE 交涉, AWS 需要客戶閘道裝置的公用 IP 位址。如果您為 VPN 連線設定憑證型驗證,但在中建立客戶閘道資源時並未指定 IP 位址 AWS,則必須建立新的客戶閘道並指定 IP 位址。然後,修改 VPN 連線,並指定新的客戶閘道。如需詳細資訊,請參閱 變更站台對站台 VPN 連接的客戶閘道。
-
僅支援 IKEv2 從 VPN 連線 AWS 側邊進行 IKE 啟動 (啟動動作)。
-
如果從 VPN 連線 AWS 端使用 IKE 初始化,則不包含逾時設定。它將持續嘗試建立連線,直到成功為止。此外,當 VPN 連線接收到來自客戶閘道的刪除 SA 訊息時,會重新啟動 IKE 交涉。 AWS
-
如果您的客戶閘道裝置位於防火牆或其他使用網路位址轉譯 (NAT) 的裝置後面,則必須設定識別碼 (IDr)。如需 IDr 的詳細資訊,請參閱 RFC 7296
。
如果您未從 VPN 通道 AWS 側面設定 IKE 初始化,且 VPN 連線經歷一段閒置時間 (通常是 10 秒,視您的組態而定),則通道可能會停止運作。若要避免這種情況,您可以使用網路監控工具來產生持續作用 ping。
使用 VPN 通道啟動選項
如需使用 VPN 通道啟動選項的詳細資訊,請參閱下列主題:
-
建立新的 VPN 連接並指定 VPN 通道啟動選項:步驟 5:建立 VPN 連接
-
修改現有 VPN 連接的 VPN 通道啟動選項:修改 Site-to-Site VPN 通道選項
