Opsi terowongan untuk AWS Site-to-Site VPN koneksi Anda - AWS Site-to-Site VPN

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Opsi terowongan untuk AWS Site-to-Site VPN koneksi Anda

Anda menggunakan koneksi Site-to-Site VPN untuk menghubungkan jaringan jarak jauh Anda ke VPC. Setiap koneksi Site-to-Site VPN memiliki dua terowongan, dengan masing-masing terowongan menggunakan alamat IP publik yang unik. Penting untuk mengonfigurasi kedua terowongan untuk redundansi. Ketika satu terowongan menjadi tidak tersedia (misalnya, turun untuk pemeliharaan), lalu lintas jaringan secara otomatis diarahkan ke terowongan yang tersedia untuk Site-to-Site koneksi VPN tertentu.

Diagram berikut menunjukkan dua terowongan koneksi VPN. Setiap terowongan berakhir di Availability Zone yang berbeda untuk memberikan peningkatan ketersediaan. Lalu lintas dari jaringan lokal untuk AWS menggunakan kedua terowongan. Lalu lintas dari AWS ke jaringan lokal lebih memilih salah satu terowongan, tetapi secara otomatis dapat gagal ke terowongan lain jika ada kegagalan di AWS samping.

Dua terowongan koneksi VPN antara gateway pribadi virtual dan gateway pelanggan.

Saat Anda membuat koneksi Site-to-Site VPN, Anda mengunduh file konfigurasi khusus untuk perangkat gateway pelanggan Anda yang berisi informasi untuk mengonfigurasi perangkat, termasuk informasi untuk mengonfigurasi setiap terowongan. Anda dapat secara opsional menentukan sendiri beberapa opsi terowongan saat Anda membuat koneksi Site-to-Site VPN. Jika tidak, AWS memberikan nilai default.

catatan

Site-to-Site Titik akhir terowongan VPN mengevaluasi proposal dari gateway pelanggan Anda dimulai dengan nilai konfigurasi terendah dari daftar di bawah ini, terlepas dari urutan proposal dari gateway pelanggan. Anda dapat menggunakan modify-vpn-connection-options perintah untuk membatasi daftar opsi AWS endpoint akan menerima. Untuk informasi selengkapnya, lihat modify-vpn-connection-optionsdi Referensi Baris EC2 Perintah Amazon.

Berikut ini adalah opsi terowongan yang dapat Anda konfigurasi.

catatan

Beberapa opsi terowongan memiliki beberapa nilai default. Misalnya, versi IKE memiliki dua nilai opsi terowongan default: ikev1 danikev2. Semua nilai default akan dikaitkan dengan opsi terowongan itu jika Anda tidak memilih nilai tertentu. Klik untuk menghapus nilai default apa pun yang tidak ingin Anda kaitkan dengan opsi terowongan. Misalnya, jika Anda hanya ingin menggunakan ikev1 untuk versi IKE, klik ikev2 untuk menghapusnya.

Waktu habis deteksi peer mati (DPD)

Jumlah detik setelah batas waktu DPD terjadi. Batas waktu DPD 30 detik berarti bahwa titik akhir VPN akan menganggap peer mati 30 detik setelah kegagalan pertama tetap hidup. Anda dapat menentukan 30 atau lebih tinggi.

Default: 40

Tindakan waktu habis DPD

Tindakan yang diambil setelah waktu habis deteksi peer mati (DPD) terjadi. Anda dapat menentukan sebagai berikut:

  • Clear: Mengakhiri sesi IKE ketika waktu habis DPD terjadi (menghentikan terowongan dan menghapus rute)

  • None: Tidak mengambil tindakan ketika waktu habis DPD terjadi

  • Restart: Memulai ulang sesi IKE ketika waktu habis DPD terjadi

Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN opsi inisiasi terowongan.

Default: Clear

Opsi pencatatan VPN

Dengan log Site-to-Site VPN, Anda dapat memperoleh akses ke detail tentang pembentukan terowongan IP Security (IPsec), negosiasi Internet Key Exchange (IKE), dan pesan protokol deteksi rekan mati (DPD).

Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN log.

Format log yang tersedia:json, text

Versi IKE

Versi (IKE) yang diizinkan untuk terowongan VPN. Anda dapat menentukan satu atau beberapa nilai default.

Default:, ikev1 ikev2

Di dalam terowongan IPv4 CIDR

Rentang IPv4 alamat dalam (internal) untuk terowongan VPN. Anda dapat menentukan blok CIDR ukuran /30 dari rentang 169.254.0.0/16. Blok CIDR harus unik di semua koneksi Site-to-Site VPN yang menggunakan gateway pribadi virtual yang sama.

catatan

Blok CIDR tidak perlu unik di semua koneksi pada gateway transit. Namun, jika mereka tidak unik, itu dapat menciptakan konflik di gateway pelanggan Anda. Lanjutkan dengan hati-hati saat menggunakan kembali blok CIDR yang sama pada beberapa koneksi Site-to-Site VPN di gateway transit.

Blok CIDR berikut dicadangkan dan tidak dapat digunakan:

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

Default: Ukuran /30 IPv4 CIDR blok dari rentang. 169.254.0.0/16

Di dalam terowongan IPv6 CIDR

(Hanya koneksi IPv6 VPN) Rentang IPv6 alamat dalam (internal) untuk terowongan VPN. Anda dapat menentukan blok CIDR ukuran /126 dari rentang fd00::/8 lokal. Blok CIDR harus unik di semua koneksi Site-to-Site VPN yang menggunakan gateway transit yang sama.

Default: Blok IPv6 CIDR ukuran/126 dari rentang lokal. fd00::/8

CIDR IPv4 Jaringan Lokal

(Hanya koneksi IPv4 VPN) Rentang IPv4 CIDR di sisi gateway pelanggan (lokal) yang diizinkan untuk berkomunikasi melalui terowongan VPN.

Default 0.0.0.0/0

CIDR IPv4 Jaringan Jarak Jauh

(Hanya koneksi IPv4 VPN) Rentang IPv4 CIDR di AWS sisi yang diizinkan untuk berkomunikasi melalui terowongan VPN.

Default 0.0.0.0/0

CIDR IPv6 Jaringan Lokal

(Hanya koneksi IPv6 VPN) Rentang IPv6 CIDR di sisi gateway pelanggan (lokal) yang diizinkan untuk berkomunikasi melalui terowongan VPN.

Default: ::/0

CIDR IPv6 Jaringan Jarak Jauh

(Hanya koneksi IPv6 VPN) Rentang IPv6 CIDR di AWS sisi yang diizinkan untuk berkomunikasi melalui terowongan VPN.

Default: ::/0

Nomor grup Diffie-Hellman (DH) fase 1

Nomor grup DH yang diizinkan untuk terowongan VPN fase 1 dari negosiasi IKE. Anda dapat menentukan satu atau beberapa nilai default.

Default: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Nomor grup Diffie-Hellman (DH) fase 2

Nomor grup DH yang diizinkan untuk terowongan VPN fase 2 dari negosiasi IKE. Anda dapat menentukan satu atau beberapa nilai default.

Default: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Algoritme enkripsi fase 1

Algoritme enkripsi yang diizinkan untuk terowongan VPN fase 1 dari negosiasi IKE. Anda dapat menentukan satu atau beberapa nilai default.

Default:,, -GCM-16 AES128 AES256, AES128 -GCM-16 AES256

Algoritme enkripsi fase 2

Algoritme enkripsi yang diizinkan untuk terowongan VPN fase 2 dari negosiasi IKE. Anda dapat menentukan satu atau beberapa nilai default.

Default:,, -GCM-16 AES128 AES256, AES128 -GCM-16 AES256

Algoritme integritas fase 1

Algoritme integritas yang diizinkan untuk terowongan VPN fase 1 dari negosiasi IKE. Anda dapat menentukan satu atau beberapa nilai default.

Default:, SHA2 -256, -384 SHA1, -512 SHA2 SHA2

Algoritme integritas fase 2

Algoritme integritas yang diizinkan untuk terowongan VPN fase 2 dari negosiasi IKE. Anda dapat menentukan satu atau beberapa nilai default.

Default:, SHA2 -256, -384 SHA1, -512 SHA2 SHA2

Masa hidup fase 1
catatan

AWS memulai tombol ulang dengan nilai waktu yang ditetapkan dalam bidang seumur hidup Fase 1 dan Fase 2 seumur hidup. Jika masa hidup berbeda dari nilai handshake yang dinegosiasikan, hal ini dapat mengganggu konektivitas terowongan.

Masa hidup dalam hitungan detik untuk fase 1 dari negosiasi IKE. Anda dapat menentukan angka antara 900 hingga 28.800.

Default: 28.800 (8 jam)

Masa hidup fase 2
catatan

AWS memulai tombol ulang dengan nilai waktu yang ditetapkan dalam bidang seumur hidup Fase 1 dan Fase 2 seumur hidup. Jika masa hidup berbeda dari nilai handshake yang dinegosiasikan, hal ini dapat mengganggu konektivitas terowongan.

Masa hidup dalam hitungan detik untuk fase 2 dari negosiasi IKE. Anda dapat menentukan angka antara 900 hingga 3.600. Angka yang Anda tentukan harus kurang dari jumlah detik untuk masa hidup fase 1.

Default: 3.600 (1 jam)

Kunci pra-berbagi (PSK)

Kunci pra-bersama (PSK) untuk membangun asosiasi keamanan pertukaran kunci internet awal (IKE) antara gateway target dan gateway pelanggan.

Panjang karakter PSK harus antara 8 hingga 64 dan tidak boleh diawali dengan nol (0). Karakter yang diizinkan adalah karakter alfanumerik, titik (.), dan garis bawah (_).

Default: String alfanumerik 32-karakter.

Masukkan ulang data fuzz

Persentase jendela memasukkan ulang data (ditentukan oleh waktu margin memasukkan ulang data) pada saat waktu memasukkan ulang data dipilih secara acak.

Anda dapat menentukan nilai persentase antara 0 hingga 100.

Default: 100

Waktu margin memasukkan ulang data

Waktu margin dalam hitungan detik sebelum masa pakai fase 1 dan fase 2 berakhir, di mana AWS sisi koneksi VPN melakukan rekey IKE.

Anda dapat menentukan angka antara 60 dan setengah dari nilai masa pakai fase 2.

Waktu yang tepat saat memasukkan ulang data dipilih secara acak berdasarkan nilai untuk memasukkan ulang data fuzz.

Default: 270 (4,5 menit)

Paket ukuran jendela replay

Jumlah paket di jendela replay IKE.

Anda dapat menentukan nilai antara 64 hingga 2048.

Default: 1024

Tindakan awal

Tindakan yang dilakukan saat membuat terowongan untuk koneksi VPN. Anda dapat menentukan sebagai berikut:

  • Start: AWS memulai negosiasi IKE untuk membawa terowongan ke atas. Hanya didukung jika gateway pelanggan Anda dikonfigurasi menggunakan alamat IP.

  • Add: Perangkat gateway pelanggan Anda harus memulai negoisasi IKE untuk memunculkan terowongan.

Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN opsi inisiasi terowongan.

Default: Add

Kontrol siklus hidup titik akhir terowongan

Kontrol siklus hidup titik akhir terowongan memberikan kontrol atas jadwal penggantian titik akhir.

Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN kontrol siklus hidup titik akhir terowongan.

Default: Off

Anda dapat menentukan opsi terowongan saat membuat koneksi Site-to-Site VPN, atau Anda dapat memodifikasi opsi terowongan untuk koneksi VPN yang ada. Untuk informasi selengkapnya, lihat topik berikut.