AWS Site-to-Site VPN Optionen zur Tunnelinitiierung - AWS Site-to-Site VPN
VPNOptionen für die IKE TunnelinitiierungRegeln und EinschränkungenArbeiten Sie mit Optionen zur VPN Tunnelinitiierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Site-to-Site VPN Optionen zur Tunnelinitiierung

Standardmäßig muss Ihr Kunden-Gateway-Gerät die Tunnel für Ihre Site-to-Site VPN Verbindung aufrufen, indem es Datenverkehr generiert und den Aushandlungsprozess für Internet Key Exchange (IKE) einleitet. Sie können Ihre VPN Tunnel so konfigurieren, dass der IKE Verhandlungsprozess stattdessen initiiert oder neu gestartet werden AWS muss.

VPNOptionen für die IKE Tunnelinitiierung

Die folgenden IKE Initiierungsoptionen sind verfügbar. Sie können eine oder beide Optionen für einen oder beide Tunnel in Ihrer Site-to-Site VPN Verbindung implementieren. Weitere Informationen zu diesen und anderen Tunneloptionseinstellungen finden Sie unter VPN-Tunneloptionen.

  • Startaktion: Die Aktion, die beim Einrichten des VPN Tunnels für eine neue oder geänderte VPN Verbindung ausgeführt werden muss. Standardmäßig leitet Ihr Kunden-Gateway-Gerät den IKE Verhandlungsprozess ein, um den Tunnel einzurichten. Sie können angeben, dass stattdessen der IKE Verhandlungsprozess eingeleitet werden AWS muss.

  • DPDTimeout-Aktion: Die Aktion, die nach einem Timeout bei Dead-Peer-Erkennung (DPD) ausgeführt werden soll. Standardmäßig wird die IKE Sitzung beendet, der Tunnel wird unterbrochen und die Routen werden entfernt. Sie können angeben, dass die IKE Sitzung neu gestartet AWS werden muss, wenn ein DPD Timeout eintritt, oder Sie können angeben, dass bei einem DPD Timeout keine Aktion ausgeführt AWS werden darf.

Regeln und Einschränkungen

Die folgenden Regeln und Einschränkungen gelten:

  • Um eine IKE Verhandlung einzuleiten, AWS ist die öffentliche IP-Adresse Ihres Kunden-Gateway-Geräts erforderlich. Wenn Sie die zertifikatsbasierte Authentifizierung für Ihre VPN Verbindung konfiguriert haben und bei der Erstellung der Kunden-Gateway-Ressource in keine IP-Adresse angegeben haben AWS, müssen Sie ein neues Kunden-Gateway erstellen und die IP-Adresse angeben. Ändern Sie dann die VPN Verbindung und geben Sie das neue Kunden-Gateway an. Weitere Informationen finden Sie unter Das Kunden-Gateway für eine AWS Site-to-Site VPN Verbindung ändern.

  • IKEDie Initiierung (Startaktion) von der AWS Seite der VPN Verbindung aus wird IKEv2 nur für unterstützt.

  • Wenn die IKE Initiierung von der AWS Seite der VPN Verbindung aus verwendet wird, beinhaltet sie keine Timeout-Einstellung. Sie wird solange versuchen, eine Verbindung herzustellen, bis sie erfolgreich ist. Darüber hinaus leitet die AWS VPN Verbindungsseite die IKE Verhandlung erneut ein, wenn sie von Ihrem Kunden-Gateway eine SA-Döschmeldung erhält.

  • Wenn sich Ihr Kunden-Gateway-Gerät hinter einer Firewall oder einem anderen Gerät befindet, das Network Address Translation (NAT) verwendet, muss für dieses Gerät eine Identität (IDr) konfiguriert sein. Weitere Informationen dazu finden Sie IDr unter RFC7296.

Wenn Sie die AWS seitliche IKE Initiierung Ihres VPN Tunnels nicht konfigurieren und die VPN Verbindung eine Zeit lang inaktiv ist (normalerweise 10 Sekunden, abhängig von Ihrer Konfiguration), kann der Tunnel ausfallen. Um dies zu verhindern, können Sie ein Tool zur Netzwerküberwachung verwenden, das „Keep-alive“-Pings generiert.

Arbeiten Sie mit Optionen zur VPN Tunnelinitiierung

Weitere Informationen zum Arbeiten mit VPN Tunnelinitiierungsoptionen finden Sie in den folgenden Themen: