Initiierungsoptionen für Site-to-Site-VPN-Tunnel - AWS Site-to-Site VPN
Optionen zur IKE-Initiierung des VPN-TunnelsRegeln und EinschränkungenArbeiten mit Optionen zur VPN-Tunnel-Initiierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Initiierungsoptionen für Site-to-Site-VPN-Tunnel

Standardmäßig muss Ihr Kunden-Gateway-Gerät die Tunnel für Ihre Site-to-Site-VPN-Verbindung aufbauen, indem Datenverkehr generiert und der IKE (Internet Key Exchange)-Aushandlungsprozess initiiert wird. Sie können Ihre VPN-Tunnel so konfigurieren, dass sie angeben, dass stattdessen der IKE-Verhandlungsprozess initiiert oder neu gestartet werden AWS muss.

Optionen zur IKE-Initiierung des VPN-Tunnels

Die folgenden Optionen zur IKE-Initiierung sind verfügbar. Sie können eine oder beide Optionen für einen oder beide Tunnel in Ihrer Site-to-Site-VPN-Verbindung implementieren. Weitere Informationen zu diesen und anderen Tunneloptionseinstellungen finden Sie unter VPN-Tunneloptionen.

  • Startaktion: Die beim Einrichten des VPN-Tunnels für eine neue oder geänderte VPN-Verbindung auszuführende Aktion. Standardmäßig initiiert Ihr Kunden-Gateway-Gerät den IKE-Aushandlungsprozess, um den Tunnel aufzubauen. Sie können angeben, dass stattdessen der IKE-Verhandlungsprozess initiiert werden AWS muss.

  • Aktion bei DPD-Timeout Die nach dem Timeout der Dead Peer Detection (DPD) auszuführende Aktion. Standardmäßig wird die IKE-Sitzung beendet, der Tunnel wird heruntergefahren und die Routen werden entfernt. Sie können angeben, dass die IKE-Sitzung neu gestartet AWS werden muss, wenn ein DPD-Timeout auftritt, oder Sie können angeben, dass bei einem DPD-Timeout keine Aktion ausgeführt AWS werden darf.

Regeln und Einschränkungen

Die folgenden Regeln und Einschränkungen gelten:

  • Um die IKE-Verhandlung einzuleiten, AWS ist die öffentliche IP-Adresse Ihres Kunden-Gateway-Geräts erforderlich. Wenn Sie die zertifikatsbasierte Authentifizierung für Ihre VPN-Verbindung konfiguriert haben und bei der Erstellung der Kunden-Gateway-Ressource keine IP-Adresse angegeben haben AWS, müssen Sie ein neues Kunden-Gateway erstellen und die IP-Adresse angeben. Ändern Sie dann die VPN-Verbindung und geben Sie das neue Kunden-Gateway an. Weitere Informationen finden Sie unter Das Kunden-Gateway für eine Site-to-Site-VPN-Verbindung ändern.

  • Die IKE-Initiierung (Startaktion) von der AWS Seite der VPN-Verbindung aus wird nur für IKEv2 unterstützt.

  • Wenn Sie die IKE-Initiierung von der AWS Seite der VPN-Verbindung aus verwenden, enthält sie keine Timeout-Einstellung. Sie wird solange versuchen, eine Verbindung herzustellen, bis sie erfolgreich ist. Darüber hinaus initiiert die AWS Seite der VPN-Verbindung erneut die IKE-Verhandlung, wenn sie von Ihrem Kunden-Gateway eine SA-Döschmeldung erhält.

  • Wenn sich Ihr Kunden-Gateway-Gerät hinter einer Firewall oder einem anderen Gerät befindet, das NAT (Network Address Translation) verwendet, muss eine Identität (IDr) konfiguriert sein. Weitere Informationen zu IDr finden Sie unter RFC 7296.

Wenn Sie die IKE-Initiierung nicht von der AWS Seite für Ihren VPN-Tunnel konfigurieren und die VPN-Verbindung eine Zeit lang inaktiv ist (normalerweise 10 Sekunden, abhängig von Ihrer Konfiguration), kann der Tunnel ausfallen. Um dies zu verhindern, können Sie ein Tool zur Netzwerküberwachung verwenden, das „Keep-alive“-Pings generiert.

Arbeiten mit Optionen zur VPN-Tunnel-Initiierung

Weitere Informationen zum Arbeiten mit den Optionen zur VPN-Tunnel-Initiierung finden Sie in den folgenden Themen: