Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Si tiene un dispositivo que no figura en la lista de ejemplos anterior, en esta sección se describen los requisitos que debe cumplir el dispositivo para poder utilizarlo a fin de establecer una conexión Site-to-Site VPN.
Hay cuatro puntos principales para la configuración del dispositivo de gateway de cliente. Los siguientes símbolos representan cada parte de la configuración.
|
Asociación de seguridad de intercambio de claves de Internet (IKE). Esto es necesario para intercambiar las claves utilizadas para establecer la asociación IPsec de seguridad. |
|
IPsec asociación de seguridad. Gestiona el cifrado del túnel, la autenticación, etc. |
|
Interfaz de túnel. Recibe el tráfico entrante y saliente del túnel. |
|
(Opcional) Asociación entre pares con protocolo de gateway fronterizo (BGP) Para dispositivos que usan BGP, intercambia rutas entre el dispositivo de gateway de cliente y la gateway privada virtual. |
En la siguiente tabla se indican los requisitos que debe cumplir el dispositivo de gateway de cliente, el RFC relacionado (a modo de referencia) y comentarios acerca de los requisitos.
Cada conexión de VPN consta de dos túneles independientes. Cada túnel contiene una asociación de seguridad IKE, una asociación de IPsec seguridad y un emparejamiento BGP. Está limitado a un par de asociaciones de seguridad (SA) único por túnel (uno de entrada y otro de salida) y, por lo tanto, a dos pares de SA únicos en total para dos túneles (cuatro). SAs Algunos dispositivos utilizan una VPN basada en políticas y crean tantas SAs entradas de ACL como sea posible. Por lo tanto, es posible que necesite consolidar sus reglas y luego filtrar para no permitir el tráfico no deseado.
De forma predeterminada, el túnel de VPN aparece cuando se genera tráfico y se inicia la negociación de IKE desde el lado de la conexión de VPN. En su lugar, puede configurar la conexión VPN para iniciar la negociación del IKE desde el AWS lado de la conexión. Para obtener más información, consulte AWS Site-to-Site VPN opciones de inicio de túnel.
Los puntos de enlace de VPN dan soporte al cambio de clave y comienzan las nuevas negociaciones cuando la primera fase está a punto de caducar si el dispositivo de gateway de cliente no ha enviado tráfico de renegociación.
| Requisito | RFC | Comentarios |
|---|---|---|
|
Establecimiento de una asociación de seguridad de IKE
|
La asociación de seguridad IKE se establece primero entre la puerta de enlace privada virtual y el dispositivo de puerta de enlace del cliente mediante una clave previamente compartida o un certificado privado que se utiliza AWS Private Certificate Authority como autenticador. Cuando se establece, IKE negocia una clave efímera para proteger los mensajes futuros de IKE. Tiene que haber un acuerdo completo entre los parámetros, incluidos los parámetros de cifrado y autenticación. Al crear una conexión VPN en AWS, puede especificar su propia clave previamente compartida para cada túnel o puede dejar que AWS genere una por usted. Como alternativa, puede especificar el certificado privado que se utilizará AWS Private Certificate Authority para el dispositivo de pasarela de su cliente. Para obtener más información sobre la configuración de túneles de VPN, consulte Opciones de túnel para su AWS Site-to-Site VPN conexión. Se admiten las siguientes versiones: IKEv1 y IKEv2. Solo admitimos el modo principal con IKEv1. El servicio Site-to-Site VPN es una solución basada en rutas. Si utiliza una configuración basada en políticas, debe limitar su configuración a una asociación de seguridad (SA) única. |
|
|
Establezca asociaciones IPsec de seguridad en modo túnel
|
Mediante la clave efímera IKE, las claves se establecen entre la puerta de enlace privada virtual y el dispositivo de puerta de enlace del cliente para formar una asociación de IPsec seguridad (SA). El tráfico entre las gateways se cifra y se descifra mediante esta SA. IKE rota automáticamente y de forma regular las claves efímeras que se utilizan para cifrar el tráfico dentro de la IPsec SA para garantizar la confidencialidad de las comunicaciones. |
|
|
Uso del cifrado AES de 128 bits o la función de cifrado AES de 256 bits |
La función de cifrado se utiliza para garantizar la privacidad tanto de IKE como de las asociaciones de seguridad. IPsec |
|
|
Uso de la función de hash SHA-1 o SHA-2 (256) |
Esta función de hash se utiliza para autenticar tanto las asociaciones IKE como las de IPsec seguridad. |
|
|
Uso de la confidencialidad directa total Diffie-Hellman |
IKE utiliza Diffie-Hellman para establecer claves efímeras para proteger todas las comunicaciones entre los dispositivos de gateway de cliente y las gateways privadas virtuales. Se admiten los siguientes grupos:
|
|
|
(Conexiones VPN enrutadas dinámicamente) Utilice la detección de pares muertos IPsec |
La detección de pares muertos permite a los dispositivos de VPN identificar rápidamente cuándo una condición de red impide la entrega de paquetes a través de Internet. Cuando esto sucede, las gateways eliminan las asociaciones de seguridad e intentan crear nuevas asociaciones. Durante este proceso, si es posible, se utiliza el IPsec túnel alternativo. |
|
|
(Conexiones de VPN enrutadas dinámicamente) Vincular el túnel a la interfaz lógica (VPN basada en rutas)
|
Ninguno |
El dispositivo debe poder vincular el IPsec túnel a una interfaz lógica. La interfaz lógica contiene una dirección IP utilizada para establecer el intercambio de tráfico BGP con la gateway privada virtual. Esta interfaz lógica no debería realizar ninguna encapsulación adicional (por ejemplo, GRE o IP en IP). Su interfaz debería configurarse en una unidad de transmisión máxima (MTU) de 1399 bytes. |
|
(Conexiones de VPN enrutadas dinámicamente) Establecimiento de intercambio de tráfico BGP
|
BGP se utiliza para intercambiar rutas entre el dispositivo de gateway de cliente y la gateway privada virtual para dispositivos que utilizan BGP. Todo el tráfico BGP se cifra y se transmite a través de la Asociación IPsec de Seguridad. Se requiere el BGP para que ambas puertas de enlace intercambien los prefijos IP a los que se puede acceder a través de la SA. IPsec |
Una conexión AWS VPN no admite Path MTU Discovery (RFC 1191).
Si tiene un firewall entre el dispositivo de gateway de cliente e Internet, consulte Reglas de firewall para un dispositivo de puerta de enlace del AWS Site-to-Site VPN cliente.
