Options de tunnel pour votre AWS Site-to-Site VPN connexion - AWS Site-to-Site VPN

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Options de tunnel pour votre AWS Site-to-Site VPN connexion

Vous utilisez une Site-to-Site VPN connexion pour connecter votre réseau distant à unVPC. Chaque Site-to-Site VPN connexion comporte deux tunnels, chaque tunnel utilisant une adresse IP publique unique. Il est important de configurer deux tunnels pour la redondance. Lorsqu'un tunnel devient indisponible (par exemple, en cas d'arrêt pour maintenance), le trafic réseau est automatiquement acheminé vers le tunnel disponible pour cette Site-to-Site VPN connexion spécifique.

Le schéma suivant montre les deux tunnels d'une VPN connexion. Chaque tunnel se termine dans une zone de disponibilité différente afin d'améliorer la disponibilité. Le trafic provenant du réseau local AWS utilise les deux tunnels. Le trafic AWS en provenance du réseau local préfère l'un des tunnels, mais peut automatiquement basculer vers l'autre tunnel en cas de défaillance AWS latérale.

Les deux tunnels d'une VPN connexion entre une passerelle privée virtuelle et une passerelle client.

Lorsque vous créez une Site-to-Site VPN connexion, vous téléchargez un fichier de configuration spécifique à votre dispositif de passerelle client qui contient des informations pour configurer l'appareil, notamment des informations pour configurer chaque tunnel. Vous pouvez éventuellement définir vous-même certaines options du tunnel lorsque vous créez la Site-to-Site VPN connexion. Sinon, AWS fournit des valeurs par défaut.

Note

Site-to-Site VPNles points de terminaison du tunnel évaluent les propositions provenant de votre passerelle client en commençant par la valeur configurée la plus faible de la liste ci-dessous, quelle que soit la commande de proposition émise par la passerelle client. Vous pouvez utiliser la modify-vpn-connection-options commande pour restreindre la liste des options que les AWS points de terminaison accepteront. Pour plus d'informations, consultez modify-vpn-connection-optionsla section Amazon EC2 Command Line Reference.

Voici les options de tunnel que vous pouvez configurer.

Note

Certaines options de tunnel comportent plusieurs valeurs par défaut. Par exemple, IKEversions possède deux valeurs d'option de tunnel par défaut : ikev1 etikev2. Toutes les valeurs par défaut seront associées à cette option de tunnel si vous ne choisissez pas de valeurs spécifiques. Cliquez pour supprimer toute valeur par défaut que vous ne souhaitez pas associer à l'option de tunnel. Par exemple, si vous souhaitez l'utiliser uniquement ikev1 pour la IKE version, cliquez ikev2 pour la supprimer.

Expiration du délai de détection des pairs morts (DPD)

Le nombre de secondes après lequel un DPD délai d'attente se produit. Un DPD délai d'attente de 40 secondes signifie que le VPN terminal considérera l'homologue comme mort 30 secondes après l'échec du premier keep-alive. Vous pouvez spécifier 30 secondes ou plus.

Valeur par défaut : 40

DPDAction de délai d'attente

L'action à entreprendre après l'expiration du délai de détection des pairs morts (DPD) est atteinte. Vous pouvez spécifier les valeurs suivantes :

  • Clear: Fin de la IKE session en cas d'expiration du DPD délai imparti (arrêt du tunnel et effacement des itinéraires)

  • None: ne rien faire en cas d'DPDexpiration du délai

  • Restart: Redémarrer la IKE session en cas d'DPDexpiration du délai

Pour de plus amples informations, veuillez consulter AWS Site-to-Site VPN options d'initiation du tunnel.

Par défaut: Clear

VPNoptions de journalisation

Site-to-SiteVPNLes journaux vous permettent d'accéder à des informations détaillées sur l'établissement du tunnel de sécurité IP (IPsec), les négociations relatives à l'échange de clés Internet (IKE) et les messages du protocole de détection des pairs morts (DPD).

Pour de plus amples informations, veuillez consulter AWS Site-to-Site VPN journaux.

Formats de journal disponibles :json, text

IKEversions

Les IKE versions autorisées pour le VPN tunnel. Vous pouvez spécifier une ou plusieurs valeurs par défaut.

Valeurs par défaut :ikev1, ikev2

Tunnel intérieur IPv4 CIDR

La plage d'IPv4adresses intérieures (internes) du VPN tunnel. Vous pouvez spécifier un CIDR bloc de taille /30 dans la 169.254.0.0/16 plage. Le CIDR bloc doit être unique pour toutes les Site-to-Site VPN connexions qui utilisent la même passerelle privée virtuelle.

Note

Il n'est pas nécessaire que le CIDR bloc soit unique pour toutes les connexions d'une passerelle de transit. Cependant, s'il n'est pas unique, cela peut créer un conflit sur votre passerelle client. Procédez avec prudence lorsque vous réutilisez le même CIDR bloc sur plusieurs Site-to-Site VPN connexions sur une passerelle de transit.

Les CIDR blocs suivants sont réservés et ne peuvent pas être utilisés :

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

Par défaut : un IPv4 CIDR bloc de taille /30 par rapport à la 169.254.0.0/16 plage.

Tunnel intérieur IPv6 CIDR

(IPv6VPNconnexions uniquement) La plage d'IPv6adresses internes (internes) du VPN tunnel. Vous pouvez spécifier un CIDR bloc de taille /126 à partir de la fd00::/8 plage locale. Le CIDR bloc doit être unique pour toutes les Site-to-Site VPN connexions utilisant la même passerelle de transit.

Par défaut : un IPv6 CIDR bloc de taille /126 par rapport à la fd00::/8 plage locale.

IPv4Réseau local CIDR

(IPv4VPNconnexion uniquement) IPv4 CIDR Plage du côté de la passerelle client (sur site) autorisée à communiquer via les VPN tunnels.

Par défaut : 0.0.0.0/0

IPv4Réseau distant CIDR

(IPv4VPNconnexion uniquement) La IPv4 CIDR plage située du AWS côté autorisé à communiquer via les VPN tunnels.

Par défaut : 0.0.0.0/0

IPv6Réseau local CIDR

(IPv6VPNconnexion uniquement) IPv6 CIDR Plage du côté de la passerelle client (sur site) autorisée à communiquer via les VPN tunnels.

Par défaut : ::/0

IPv6Réseau distant CIDR

(IPv6VPNconnexion uniquement) La IPv6 CIDR plage située du AWS côté autorisé à communiquer via les VPN tunnels.

Par défaut : ::/0

Numéros de groupe Diffie-Hellman (DH) de la phase 1

Les numéros de groupe DH autorisés pour le VPN tunnel pour la phase 1 des IKE négociations. Vous pouvez spécifier une ou plusieurs valeurs par défaut.

Valeurs par défaut : 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Numéros de groupe Diffie-Hellman (DH) de la phase 2

Les numéros de groupe DH autorisés pour le VPN tunnel pour la phase 2 des IKE négociations. Vous pouvez spécifier une ou plusieurs valeurs par défaut.

Valeurs par défaut : 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Algorithmes de chiffrement de la phase 1

Les algorithmes de chiffrement autorisés pour le VPN tunnel pour la phase 1 des IKE négociations. Vous pouvez spécifier une ou plusieurs valeurs par défaut.

Valeurs par défaut :AES128,AES256, AES128 - GCM -16, AES256 - -16 GCM

Algorithmes de chiffrement de la phase 2

Les algorithmes de chiffrement autorisés pour le VPN tunnel pour les IKE négociations de phase 2. Vous pouvez spécifier une ou plusieurs valeurs par défaut.

Valeurs par défaut :AES128,AES256, AES128 - GCM -16, AES256 - -16 GCM

Algorithmes d'intégrité de la phase 1

Les algorithmes d'intégrité autorisés pour le VPN tunnel pour la phase 1 des IKE négociations. Vous pouvez spécifier une ou plusieurs valeurs par défaut.

Valeurs par défaut :SHA1, SHA2 -256, -384, SHA2 -512 SHA2

Algorithmes d'intégrité de la phase 2

Les algorithmes d'intégrité autorisés pour le VPN tunnel pour la phase 2 des IKE négociations. Vous pouvez spécifier une ou plusieurs valeurs par défaut.

Valeurs par défaut :SHA1, SHA2 -256, -384, SHA2 -512 SHA2

Durée de vie phase 1
Note

AWS initialisez de nouvelles touches avec les valeurs temporelles définies dans les champs Durée de vie de la phase 1 et Durée de vie de la phase 2. Si ces durées de vie sont différentes des valeurs de liaison négociées, la connectivité du tunnel risque d'être interrompue.

Durée de vie en secondes pour la phase 1 des IKE négociations. Vous pouvez spécifier un nombre compris entre 900 et 28 800.

Valeur par défaut : 28 800 (8 heures)

Durée de vie phase 2
Note

AWS initialisez de nouvelles touches avec les valeurs temporelles définies dans les champs Durée de vie de la phase 1 et Durée de vie de la phase 2. Si ces durées de vie sont différentes des valeurs de liaison négociées, la connectivité du tunnel risque d'être interrompue.

Durée de vie en secondes pour la phase 2 des IKE négociations. Vous pouvez spécifier un nombre compris entre 900 et 3 600. Le nombre que vous spécifiez doit être inférieur au nombre de secondes de la durée de vie de la phase 1.

Valeur par défaut : 3 600 (1 heure)

Clé pré-partagée () PSK

La clé pré-partagée (PSK) pour établir l'association de sécurité initiale d'échange de clés Internet (IKE) entre la passerelle cible et la passerelle client.

PSKIl doit comporter entre 8 et 64 caractères et ne peut pas commencer par zéro (0). Les caractères autorisés sont les caractères alphanumériques, les points (.) et les traits de soulignement (_).

Valeur par défaut : chaîne alphanumérique de 32 caractères.

Fuzz du changement de clé

Pourcentage de la fenêtre de changement de clé (déterminé par le temps de la marge du changement de clé) dans laquelle le temps de changement de clé est sélectionné aléatoirement.

Vous pouvez spécifier une valeur de pourcentage comprise entre 0 et 100.

Par défaut : 100

Durée de marge du changement de clé

Durée de la marge en secondes avant l'expiration de la durée de vie des phases 1 et 2, pendant laquelle le AWS côté de la VPN connexion effectue une IKE nouvelle saisie.

Vous pouvez spécifier un nombre compris entre 60 et la moitié de la valeur de la durée de vie de la phase 2.

L'heure exacte du changement de clé est sélectionnée aléatoirement en fonction de la valeur du fuzz de changement de clé.

Valeur par défaut : 270 (4,5 minutes)

Paquets de taille de la fenêtre de réexécution

Le nombre de paquets dans une fenêtre IKE de rediffusion.

Vous pouvez spécifier une valeur comprise entre 64 et 2 048.

Par défaut: 1024

Action de démarrage

Action à effectuer lors de l'établissement du tunnel pour une VPN connexion. Vous pouvez spécifier les valeurs suivantes :

  • Start: AWS lance la IKE négociation pour faire monter le tunnel. Prise en charge uniquement si votre passerelle client est configurée avec une adresse IP.

  • Add: votre dispositif de passerelle client doit lancer la IKE négociation pour ouvrir le tunnel.

Pour de plus amples informations, veuillez consulter AWS Site-to-Site VPN options d'initiation du tunnel.

Par défaut: Add

Contrôle du cycle de vie des points de terminaison de tunnel

Le contrôle du cycle de vie des points de terminaison de tunnel permet de contrôler le calendrier de remplacement des points de terminaison.

Pour de plus amples informations, veuillez consulter AWS Site-to-Site VPN contrôle du cycle de vie des terminaux du tunnel.

Par défaut: Off

Vous pouvez spécifier les options du tunnel lorsque vous créez une Site-to-Site VPN connexion, ou vous pouvez modifier les options du tunnel pour une VPN connexion existante. Pour plus d’informations, consultez les rubriques suivantes :