Opsi terowongan untuk AWS Site-to-Site VPN koneksi Anda - AWS Site-to-Site VPN

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Opsi terowongan untuk AWS Site-to-Site VPN koneksi Anda

Anda menggunakan Site-to-Site VPN koneksi untuk menghubungkan jaringan jarak jauh Anda ke fileVPC. Setiap Site-to-Site VPN koneksi memiliki dua terowongan, dengan masing-masing terowongan menggunakan alamat IP publik yang unik. Penting untuk mengonfigurasi kedua terowongan untuk redundansi. Ketika satu terowongan menjadi tidak tersedia (misalnya, turun untuk pemeliharaan), lalu lintas jaringan secara otomatis diarahkan ke terowongan yang tersedia untuk koneksi tertentu Site-to-SiteVPN.

Diagram berikut menunjukkan dua terowongan VPN koneksi. Setiap terowongan berakhir di Availability Zone yang berbeda untuk memberikan peningkatan ketersediaan. Lalu lintas dari jaringan lokal untuk AWS menggunakan kedua terowongan. Lalu lintas dari AWS ke jaringan lokal lebih memilih salah satu terowongan, tetapi secara otomatis dapat gagal ke terowongan lain jika ada kegagalan di AWS samping.

Dua terowongan VPN koneksi antara gateway pribadi virtual dan gateway pelanggan.

Saat membuat Site-to-Site VPN sambungan, Anda mengunduh file konfigurasi khusus untuk perangkat gateway pelanggan yang berisi informasi untuk mengonfigurasi perangkat, termasuk informasi untuk mengonfigurasi setiap terowongan. Anda dapat secara opsional menentukan sendiri beberapa opsi terowongan saat Anda membuat Site-to-Site VPN koneksi. Jika tidak, AWS memberikan nilai default.

catatan

Site-to-Site VPNtitik akhir terowongan mengevaluasi proposal dari gateway pelanggan Anda dimulai dengan nilai konfigurasi terendah dari daftar di bawah ini, terlepas dari urutan proposal dari gateway pelanggan. Anda dapat menggunakan modify-vpn-connection-options perintah untuk membatasi daftar opsi AWS endpoint akan menerima. Untuk informasi selengkapnya, lihat modify-vpn-connection-optionsdi Referensi Baris EC2 Perintah Amazon.

Berikut ini adalah opsi terowongan yang dapat Anda konfigurasi.

catatan

Beberapa opsi terowongan memiliki beberapa nilai default. Misalnya, IKEversi memiliki dua nilai opsi terowongan default: ikev1 danikev2. Semua nilai default akan dikaitkan dengan opsi terowongan itu jika Anda tidak memilih nilai tertentu. Klik untuk menghapus nilai default apa pun yang tidak ingin Anda kaitkan dengan opsi terowongan. Misalnya, jika Anda hanya ingin menggunakan ikev1 untuk IKE versi, klik ikev2 untuk menghapusnya.

Batas waktu deteksi rekan mati (DPD)

Jumlah detik setelah DPD batas waktu terjadi. Batas DPD waktu 40 detik berarti bahwa VPN titik akhir akan menganggap peer mati 30 detik setelah keep-alive pertama yang gagal. Anda dapat menentukan 30 atau lebih tinggi.

Default: 40

Tindakan waktu tunggu habis DPD

Tindakan yang harus diambil setelah batas waktu deteksi rekan mati (DPD) terjadi. Anda dapat menentukan sebagai berikut:

  • Clear: Akhiri IKE sesi saat DPD batas waktu terjadi (hentikan terowongan dan bersihkan rute)

  • None: Jangan mengambil tindakan saat DPD batas waktu terjadi

  • Restart: Mulai ulang IKE sesi saat DPD batas waktu terjadi

Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN opsi inisiasi terowongan.

Default: Clear

VPNopsi pencatatan

Dengan Site-to-Site VPN log, Anda dapat memperoleh akses ke detail tentang pembentukan terowongan IP Security (IPsec), negosiasi Internet Key Exchange (IKE), dan pesan protokol deteksi rekan mati (DPD).

Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN log.

Format log yang tersedia:json, text

IKEversi

IKEVersi yang diizinkan untuk VPN terowongan. Anda dapat menentukan satu atau beberapa nilai default.

Default:, ikev1 ikev2

Di dalam terowongan IPv4 CIDR

Rentang IPv4 alamat dalam (internal) untuk VPN terowongan. Anda dapat menentukan ukuran /30 CIDR blok dari 169.254.0.0/16 rentang. CIDRBlok harus unik di semua Site-to-Site VPN koneksi yang menggunakan gateway pribadi virtual yang sama.

catatan

CIDRBlok tidak perlu unik di semua koneksi pada gateway transit. Namun, jika mereka tidak unik, itu dapat menciptakan konflik di gateway pelanggan Anda. Lanjutkan dengan hati-hati saat menggunakan kembali CIDR blok yang sama pada beberapa Site-to-Site VPN koneksi di gateway transit.

CIDRBlok berikut dicadangkan dan tidak dapat digunakan:

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

Default: Ukuran /30 IPv4 CIDR blok dari 169.254.0.0/16 rentang.

Di dalam terowongan IPv6 CIDR

(hanya IPv6 VPN koneksi) Rentang IPv6 alamat dalam (internal) untuk VPN terowongan. Anda dapat menentukan ukuran /126 CIDR blok dari rentang lokalfd00::/8. CIDRBlok harus unik di semua Site-to-Site VPN koneksi yang menggunakan gateway transit yang sama.

Default: Ukuran /126 IPv6 CIDR blok dari rentang lokalfd00::/8.

IPv4Jaringan Lokal CIDR

(hanya IPv4 VPN koneksi) IPv4 CIDR Rentang di sisi gateway pelanggan (lokal) yang diizinkan untuk berkomunikasi melalui VPN terowongan.

Default 0.0.0.0/0

IPv4Jaringan Jarak Jauh CIDR

(hanya IPv4 VPN koneksi) IPv4 CIDR Rentang di AWS sisi yang diizinkan untuk berkomunikasi melalui VPN terowongan.

Default 0.0.0.0/0

IPv6Jaringan Lokal CIDR

(hanya IPv6 VPN koneksi) IPv6 CIDR Rentang di sisi gateway pelanggan (lokal) yang diizinkan untuk berkomunikasi melalui VPN terowongan.

Default: ::/0

IPv6Jaringan Jarak Jauh CIDR

(hanya IPv6 VPN koneksi) IPv6 CIDR Rentang di AWS sisi yang diizinkan untuk berkomunikasi melalui VPN terowongan.

Default: ::/0

Nomor grup Diffie-Hellman (DH) fase 1

Nomor kelompok DH yang diizinkan untuk VPN terowongan untuk fase 1 IKE negosiasi. Anda dapat menentukan satu atau beberapa nilai default.

Default: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Nomor grup Diffie-Hellman (DH) fase 2

Nomor kelompok DH yang diizinkan untuk VPN terowongan untuk fase 2 IKE negosiasi. Anda dapat menentukan satu atau beberapa nilai default.

Default: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Algoritme enkripsi fase 1

Algoritma enkripsi yang diizinkan untuk VPN terowongan untuk fase 1 IKE negosiasi. Anda dapat menentukan satu atau beberapa nilai default.

Default:AES128,, - -16AES256, AES128 - GCM -16 AES256 GCM

Algoritme enkripsi fase 2

Algoritma enkripsi yang diizinkan untuk VPN terowongan untuk IKE negosiasi fase 2. Anda dapat menentukan satu atau beberapa nilai default.

Default:AES128,, - -16AES256, AES128 - GCM -16 AES256 GCM

Algoritme integritas fase 1

Algoritma integritas yang diizinkan untuk VPN terowongan untuk fase 1 IKE negosiasi. Anda dapat menentukan satu atau beberapa nilai default.

Default:, SHA2 -256, -384SHA1, -512 SHA2 SHA2

Algoritme integritas fase 2

Algoritma integritas yang diizinkan untuk VPN terowongan untuk fase 2 IKE negosiasi. Anda dapat menentukan satu atau beberapa nilai default.

Default:, SHA2 -256, -384SHA1, -512 SHA2 SHA2

Masa hidup fase 1
catatan

AWS memulai tombol ulang dengan nilai waktu yang ditetapkan dalam bidang seumur hidup Fase 1 dan Fase 2 seumur hidup. Jika masa hidup berbeda dari nilai handshake yang dinegosiasikan, hal ini dapat mengganggu konektivitas terowongan.

Masa hidup dalam hitungan detik untuk fase 1 IKE negosiasi. Anda dapat menentukan angka antara 900 hingga 28.800.

Default: 28.800 (8 jam)

Masa hidup fase 2
catatan

AWS memulai tombol ulang dengan nilai waktu yang ditetapkan dalam bidang seumur hidup Fase 1 dan Fase 2 seumur hidup. Jika masa hidup berbeda dari nilai handshake yang dinegosiasikan, hal ini dapat mengganggu konektivitas terowongan.

Masa hidup dalam hitungan detik untuk fase 2 IKE negosiasi. Anda dapat menentukan angka antara 900 hingga 3.600. Angka yang Anda tentukan harus kurang dari jumlah detik untuk masa hidup fase 1.

Default: 3.600 (1 jam)

Kunci yang telah dibagikan sebelumnya () PSK

Kunci pra-bersama (PSK) untuk menetapkan hubungan keamanan pertukaran kunci internet awal (IKE) antara gateway target dan gateway pelanggan.

Panjangnya PSK harus antara 8 dan 64 karakter dan tidak dapat dimulai dengan nol (0). Karakter yang diizinkan adalah karakter alfanumerik, titik (.), dan garis bawah (_).

Default: String alfanumerik 32-karakter.

Masukkan ulang data fuzz

Persentase jendela memasukkan ulang data (ditentukan oleh waktu margin memasukkan ulang data) pada saat waktu memasukkan ulang data dipilih secara acak.

Anda dapat menentukan nilai persentase antara 0 hingga 100.

Default: 100

Waktu margin memasukkan ulang data

Waktu margin dalam hitungan detik sebelum masa pakai fase 1 dan fase 2 berakhir, di mana AWS sisi VPN koneksi melakukan IKE rekey.

Anda dapat menentukan angka antara 60 dan setengah dari nilai masa pakai fase 2.

Waktu yang tepat saat memasukkan ulang data dipilih secara acak berdasarkan nilai untuk memasukkan ulang data fuzz.

Default: 270 (4,5 menit)

Paket ukuran jendela replay

Jumlah paket di jendela IKE replay.

Anda dapat menentukan nilai antara 64 hingga 2048.

Default: 1024

Tindakan awal

Tindakan yang harus diambil saat membangun terowongan untuk VPN koneksi. Anda dapat menentukan sebagai berikut:

  • Start: AWS memulai IKE negosiasi untuk membawa terowongan ke atas. Hanya didukung jika gateway pelanggan Anda dikonfigurasi menggunakan alamat IP.

  • Add: Perangkat gateway pelanggan Anda harus memulai IKE negosiasi untuk membawa terowongan ke atas.

Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN opsi inisiasi terowongan.

Default: Add

Kontrol siklus hidup titik akhir terowongan

Kontrol siklus hidup titik akhir terowongan memberikan kontrol atas jadwal penggantian titik akhir.

Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN kontrol siklus hidup titik akhir terowongan.

Default: Off

Anda dapat menentukan opsi terowongan saat membuat Site-to-Site VPN koneksi, atau Anda dapat memodifikasi opsi terowongan untuk VPN koneksi yang ada. Untuk informasi selengkapnya, lihat topik berikut.