Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Jika Anda memiliki perangkat yang tidak ada dalam daftar contoh sebelumnya, bagian ini menjelaskan persyaratan yang harus dipenuhi perangkat agar Anda dapat menggunakannya untuk membuat koneksi Site-to-Site VPN.
Ada empat bagian utama untuk konfigurasi perangkat gateway pelanggan Anda. Simbol-simbol berikut mewakili setiap bagian dari konfigurasi.
|
Associate keamanan pertukaran kunci Internet (IKE). Ini diperlukan untuk bertukar kunci yang digunakan untuk mendirikan asosiasi IPsec keamanan. |
|
IPsec asosiasi keamanan. Hal ini menangani enkripsi terowongan, autentikasi, dan sebagainya. |
|
Antarmuka terowongan. Antarmuka terowongan menerima lalu lintas pergi ke dan dari terowongan. |
|
(Opsional) pering Border Gateway Protocol (BGP). Untuk perangkat yang menggunakan BGP, hal ini menukar rute antara perangkat gateway pelanggan dan gateway privat virtual. |
Tabel berikut mencantumkan persyaratan untuk perangkat gateway pelanggan, RFC terkait (sebagai referensi), dan komentar tentang persyaratan.
Setiap koneksi VPN terdiri dari dua terowongan terpisah. Setiap terowongan berisi asosiasi keamanan IKE, asosiasi IPsec keamanan, dan pengintip BGP. Anda terbatas pada satu pasangan asosiasi keamanan unik (SA) per terowongan (satu inbound dan satu outbound), dan oleh karena itu dua pasangan SA unik secara total untuk dua terowongan (empat). SAs Beberapa perangkat menggunakan VPN berbasis kebijakan dan membuat SAs sebanyak entri ACL. Oleh karena itu, Anda mungkin perlu untuk mengkonsolidasikan aturan Anda dan kemudian mem-filter sehingga Anda tidak mengizinkan lalu lintas yang tidak diinginkan.
Secara default, terowongan VPN muncul ketika lalu lintas yang dihasilkan dan negosiasi IKE dimulai dari sisi Anda dari koneksi VPN. Anda dapat mengonfigurasi koneksi VPN untuk memulai negosiasi IKE dari AWS sisi koneksi sebagai gantinya. Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN opsi inisiasi terowongan.
Titik akhir VPN mendukung fitur memasukkan ulang data dan dapat memulai negosiasi ulang ketika fase 1 akan kedaluwarsa apabila perangkat gateway pelanggan belum mengirim lalu lintas negosiasi ulang.
| Persyaratan | RFC | Komentar |
|---|---|---|
|
Membangun Asosiasi keamanan IKE
|
Asosiasi keamanan IKE didirikan pertama antara gateway pribadi virtual dan perangkat gateway pelanggan menggunakan kunci pra-bersama atau sertifikat pribadi yang digunakan AWS Private Certificate Authority sebagai autentikator. Ketika didirikan, IKE menegosiasi kunci sementara untuk mengamankan oesan IKE di masa depan. Harus ada kesepakatan lengkap di antara parameter, termasuk enkripsi dan autentikasi parameter. Saat Anda membuat koneksi VPN AWS, Anda dapat menentukan kunci pra-bersama Anda sendiri untuk setiap terowongan, atau Anda dapat membiarkan AWS membuatnya untuk Anda. Atau, Anda dapat menentukan sertifikat pribadi yang digunakan AWS Private Certificate Authority untuk digunakan untuk perangkat gateway pelanggan Anda. Untuk informasi selengkapnya tentang file konfigurasi terowongan VPN, lihat Opsi terowongan untuk AWS Site-to-Site VPN koneksi Anda. Versi berikut didukung: IKEv1 dan IKEv2. Kami mendukung mode Utama hanya dengan IKEv1. Layanan Site-to-Site VPN adalah solusi berbasis rute. Jika Anda menggunakan konfigurasi berbasis kebijakan, Anda harus membatasi konfigurasi Anda untuk satu keamanan Asosiasi (SA). |
|
|
Membangun asosiasi IPsec keamanan dalam mode Tunnel
|
Menggunakan kunci ephemeral IKE, kunci dibuat antara gateway pribadi virtual dan perangkat gateway pelanggan untuk membentuk asosiasi IPsec keamanan (SA). Lalu lintas antara gateway dienkripsi dan didekripsi menggunakan SA ini. Kunci singkat yang digunakan untuk mengenkripsi lalu lintas dalam IPsec SA secara otomatis diputar oleh IKE secara teratur untuk memastikan kerahasiaan komunikasi. |
|
|
Gunakan enkripsi AES 128-bit atau fungsi enkripsi AES 256-bit |
Fungsi enkripsi digunakan untuk memastikan privasi untuk IKE dan asosiasi IPsec keamanan. |
|
|
Gunakan fungsi hashing SHA-1 atau SHA-2 (256) |
Fungsi hashing ini digunakan untuk mengotentikasi IKE dan asosiasi IPsec keamanan. |
|
|
Gunakan Diffie-Hellman Perfect Forward Secrecy. |
IKE menggunakan Diffie-Hellman untuk membuat kunci sebagai untuk mengamankan semua komunikasi antara perangkat gateway pelanggan dan gateway privat virtual. Grup berikut didukung:
|
|
|
(Koneksi VPN yang dirutekan secara dinamis) Gunakan Dead Peer Detection IPsec |
Dead Peer Detection memungkinkan perangkat VPN untuk cepat mengidentifikasi ketika kondisi jaringan mencegah pengiriman paket di internet. Ketika ini terjadi, gateway menghapus Asosiasi keamanan dan mencoba untuk membuat Asosiasi baru. Selama proses ini, IPsec terowongan alternatif digunakan jika memungkinkan. |
|
|
(Koneksi VPN secara dinamis dirutekan) Menautkan terowongan ke antarmuka logis (Rute berbasis VPN)
|
Tidak ada |
Perangkat Anda harus dapat mengikat IPsec terowongan ke antarmuka logis. Antarmuka logis berisi alamat IP yang digunakan untuk membangun peering BGP ke gateway privat virtual. Antarmuka logis ini harus melakukan enkapsulasi tambahan (misalnya, GRE atau IP di IP). Antarmuka Anda harus diatur ke 1399 byte Unit Transmisi Maksimum (MTU). |
|
(Koneksi VPN yang dialihkan secara dinamis) Membangun peering BGP
|
BGP digunakan untuk menukar rute antara perangkat gateway pelanggan dan gateway privat virtual untuk perangkat yang menggunakan BGP. Semua lalu lintas BGP dienkripsi dan ditransmisikan melalui Asosiasi Keamanan. IPsec BGP diperlukan untuk kedua gateway untuk menukar awalan IP yang dapat dijangkau melalui SA. IPsec |
Koneksi AWS VPN tidak mendukung Path MTU Discovery (RFC 1191
Jika Anda memiliki firewall antara perangkat gateway pelanggan dan internet, lihat Aturan firewall untuk perangkat gateway AWS Site-to-Site VPN pelanggan.
