Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wenn Sie ein Gerät haben, das nicht in der obigen Beispielliste aufgeführt ist, werden in diesem Abschnitt die Anforderungen beschrieben, die das Gerät erfüllen muss, damit Sie es zum Herstellen einer Site-to-Site VPN-Verbindung verwenden können.
Die Konfiguration Ihres Kunden-Gateway-Geräts umfasst vier zentrale Elemente. Die folgenden Symbole stellen die einzelnen Teile der Konfiguration dar.
|
IKE-Sicherheitszuordnung (Internet Key Exchange). Dies ist für den Austausch von Schlüsseln erforderlich, die zur Einrichtung der IPsec Sicherheitsbeziehung verwendet wurden. |
|
IPsec Sicherheitsverband. Damit wird die Verschlüsselung, die Authentifizierung usw. des Tunnels abgewickelt. |
|
Tunnelschnittstelle. Dadurch wird der zum und vom Tunnel gehende Datenverkehr empfangen. |
|
(Optional) BGP-Peering (Border Gateway Protocol). Bei Geräten, die BGP verwenden, tauscht dies Routen zwischen dem Kunden-Gateway-Gerät und dem Virtual Private Gateway aus. |
In der folgenden Tabelle sind die Anforderungen für das Kunden-Gateway-Gerät, der zugehörige RFC (als Referenz) und Kommentare zu den Anforderungen aufgeführt.
Jede VPN-Verbindung besteht aus zwei separaten Tunneln. Jeder Tunnel enthält eine IKE-Sicherheitsverbindung, eine IPsec Sicherheitsverbindung und ein BGP-Peering. Sie sind auf ein eindeutiges Sicherheitszuordnungspaar (SA) pro Tunnel (ein eingehender und ein ausgehender) und somit auf insgesamt zwei eindeutige SA-Paare für zwei Tunnel (vier) beschränkt. SAs Einige Geräte verwenden ein richtlinienbasiertes VPN und erstellen bis zu viele SAs ACL-Einträge. Daher müssen Sie möglicherweise Ihre Regeln konsolidieren und dann filtern, damit Sie keinen unerwünschten Datenverkehr zulassen.
Standardmäßig wird der VPN-Tunnel bei der Generierung von Datenverkehr gestartet und die IKE-Aushandlung von Ihrer Seite der VPN-Verbindung initiiert wird. Sie können die VPN-Verbindung so konfigurieren, dass die IKE-Verhandlung stattdessen von der AWS Seite der Verbindung aus initiiert wird. Weitere Informationen finden Sie unter AWS Site-to-Site VPN Optionen zur Tunnelinitiierung.
VPN-Endpunkte unterstützen die Erstellung neuer Schlüssel und können kurz vor Ablauf von Phase 1 Neuverhandlungen starten, wenn das Kunden-Gateway-Gerät keinen Neuverhandlungsdatenverkehr gesendet hat.
| Anforderung | RFC | Kommentare |
|---|---|---|
|
IKE-Sicherheitszuordnung herstellen
|
Die IKE-Sicherheitsverbindung wird zunächst zwischen dem virtuellen privaten Gateway und dem Kunden-Gateway-Gerät mithilfe eines vorab gemeinsam genutzten Schlüssels oder eines privaten Zertifikats, das AWS Private Certificate Authority als Authentifikator verwendet wird, hergestellt. Wenn es eingerichtet ist, handelt IKE einen kurzlebigen Schlüssel aus, um zukünftige IKE-Nachrichten zu sichern. Die Parameter müssen vollständig übereinstimmen, einschließlich der Verschlüsselungs- und Authentifizierungsparameter. Wenn Sie in eine VPN-Verbindung herstellen AWS, können Sie für jeden Tunnel Ihren eigenen Pre-Shared Key angeben oder einen für Sie AWS generieren lassen. Alternativ können Sie das private Zertifikat angeben, das für Ihr Kunden-Gateway-Gerät verwendet werden AWS Private Certificate Authority soll. Weitere Informationen zum Konfigurieren von VPN-Tunneln finden Sie unter Tunneloptionen für Ihre AWS Site-to-Site VPN Verbindung. Die folgenden Versionen werden unterstützt: IKEv1 und IKEv2. Wir unterstützen den Hauptmodus nur mit IKEv1. Der Site-to-Site VPN-Dienst ist eine routenbasierte Lösung. Wenn Sie eine richtlinienbasierte Konfiguration verwenden, müssen Sie Ihre Konfiguration auf eine einzelne Sicherheitszuordnung beschränken. |
|
|
Richten Sie IPsec Sicherheitszuordnungen im Tunnelmodus ein
|
Mithilfe des kurzlebigen IKE-Schlüssels werden Schlüssel zwischen dem Virtual Private Gateway und dem Kunden-Gateway-Gerät eingerichtet, um eine IPsec Sicherheitsverbindung (SA) zu bilden. Der Datenverkehr zwischen den Gateways wird über diese SA ver- und entschlüsselt. Die kurzlebigen Schlüssel, die zur Verschlüsselung des Datenverkehrs innerhalb der IPsec SA verwendet werden, werden von IKE regelmäßig automatisch rotiert, um die Vertraulichkeit der Kommunikation zu gewährleisten. |
|
|
Verwenden der AES 128-Bit- oder AES 256-Bit-Verschlüsselungsfunktion |
Die Verschlüsselungsfunktion wird verwendet, um den Datenschutz sowohl für IKE als auch für Sicherheitszuordnungen zu gewährleisten. IPsec |
|
|
Verwenden Sie die SHA-1- oder SHA-2 (256)-Hash-Funktion |
Diese Hashing-Funktion wird verwendet, um sowohl IKE- als auch IPsec Sicherheitszuordnungen zu authentifizieren. |
|
|
Verwenden von Diffie-Hellman Perfect Forward Secrecy. |
IKE nutzt Diffie-Hellman zur Etablierung der temporären Schlüssel zur Absicherung der gesamten Kommunikation zwischen Kunden-Gateway-Geräten und Virtual Private Gateways. Folgende Gruppen werden unterstützt:
|
|
|
(Dynamisch geroutete VPN-Verbindungen) Verwenden Sie Dead Peer Detection IPsec |
Die Nutzung von Dead Peer Detection ermöglicht den VPN-Geräten die schnelle Erkennung von Netzwerkbedingungen, die verhindern, dass Pakete über das Internet zugestellt werden können. Wenn dies auftritt, löschen die Gateways die Sicherheitsaushandlungen und versuchen, neue Aushandlungen zu erstellen. Während dieses Vorgangs wird, wenn möglich, der alternative IPsec Tunnel verwendet. |
|
|
(Dynamisch geroutete VPN-Verbindungen) Binden Sie den Tunnel an die logische Schnittstelle (routenbasiertes VPN)
|
Keine |
Ihr Gerät muss in der Lage sein, den IPsec Tunnel an eine logische Schnittstelle zu binden. Die logische Schnittstelle umfasst eine IP-Adresse, die zur Etablierung des BGP-Peerings mit dem Virtual Private Gateway verwendet wird. Die logische Schnittstelle sollte keine zusätzliche Kapselung durchführen (z. B. GRE oder IP in IP). Die Schnittstelle sollte mit einer MTU (Maximum Transmission Unit) von 1399 Byte konfiguriert sein. |
|
(Dynamisch geroutete VPN-Verbindungen) Richten Sie BGP-Peerings ein
|
BGP wird zum Austausch von Routen zwischen dem Kunden-Gateway-Gerät und dem Virtual Private Gateway verwendet. Der gesamte BGP-Verkehr wird verschlüsselt und über die IPsec Security Association übertragen. BGP ist für beide Gateways erforderlich, um die IP-Präfixe auszutauschen, die über die SA erreichbar sind. IPsec |
Eine AWS VPN-Verbindung unterstützt Path MTU Discovery (RFC 1191) nicht.
Wenn sich eine Firewall zwischen Ihrem Kunden-Gateway-Gerät und dem Internet befindet, vgl. Firewall-Regeln für ein AWS Site-to-Site VPN Kunden-Gateway-Gerät.
