Opsi inisiasi IKE terowongan VPN Aturan dan batasan Bekerja dengan opsi inisiasi terowongan VPN

Opsi inisiasi terowongan Site-to-Site VPN

Secara default, perangkat gateway pelanggan Anda harus memunculkan terowongan untuk koneksi Site-to-Site VPN Anda dengan menghasilkan lalu lintas dan memulai proses negosiasi Pertukaran Kunci Internet (IKE). Anda dapat mengonfigurasi terowongan VPN Anda untuk menentukan yang AWS harus memulai atau memulai kembali proses negosiasi IKE sebagai gantinya.

Opsi inisiasi IKE terowongan VPN

Opsi inisiasi IKE berikut tersedia. Anda dapat menerapkan salah satu atau kedua opsi, untuk salah satu atau kedua terowongan dalam koneksi VPN Site-to-Site Anda. Lihat Opsi terowongan VPN untuk detail selengkapnya tentang pengaturan opsi terowongan ini dan lainnya.

Tindakan awal: Tindakan yang harus diambil saat membuat terowongan VPN untuk koneksi VPN baru atau yang diubah. Secara default, perangkat gateway pelanggan Anda memulai proses negosiasi IKE untuk membuka terowongan. Anda dapat menentukan yang AWS harus memulai proses negosiasi IKE sebagai gantinya.
Tindakan batas waktu DPD: Tindakan yang harus diambil setelah batas waktu dead peer detection (DPD) terjadi. Secara default, sesi IKE dihentikan, terowongan turun, dan rute dihapus. Anda dapat menentukan yang AWS harus memulai ulang sesi IKE ketika batas waktu DPD terjadi, atau Anda dapat menentukan yang tidak AWS boleh mengambil tindakan ketika batas waktu DPD terjadi.

Aturan dan batasan

Aturan dan batasan berikut berlaku:

Untuk memulai negosiasi IKE, AWS memerlukan alamat IP publik perangkat gateway pelanggan Anda. Jika Anda mengonfigurasi otentikasi berbasis sertifikat untuk koneksi VPN Anda dan Anda tidak menentukan alamat IP saat membuat sumber daya gateway pelanggan AWS, Anda harus membuat gateway pelanggan baru dan menentukan alamat IP. Kemudian, ubah koneksi VPN dan tentukan gateway pelanggan baru. Untuk informasi selengkapnya, lihat Ubah gateway pelanggan untuk koneksi VPN Site-to-Site.
Inisiasi IKE (aksi startup) dari AWS sisi koneksi VPN hanya didukung untuk IKEv2.
Jika menggunakan inisiasi IKE dari AWS sisi koneksi VPN, itu tidak termasuk pengaturan batas waktu. Ini akan terus mencoba untuk membangun koneksi sampai satu dibuat. Selain itu, AWS sisi koneksi VPN akan memulai kembali negosiasi IKE ketika menerima pesan hapus SA dari gateway pelanggan Anda.
Jika perangkat gateway pelanggan Anda berada di belakang firewall atau perangkat lain yang menggunakan Network Address Translation (NAT), perangkat tersebut harus memiliki identitas (IDr) yang dikonfigurasi. Untuk informasi lebih lanjut tentang IDr, lihat RFC 7296.

Jika Anda tidak mengonfigurasi inisiasi IKE dari AWS samping untuk terowongan VPN Anda dan koneksi VPN mengalami periode waktu idle (biasanya 10 detik, tergantung pada konfigurasi Anda), terowongan mungkin akan turun. Untuk mencegah hal ini, Anda dapat menggunakan alat pemantauan jaringan untuk menghasilkan keepalive pings.

Bekerja dengan opsi inisiasi terowongan VPN

Untuk informasi lebih lanjut tentang penggunaan opsi inisiasi terowongan VPN, lihat topik berikut:

Untuk membuat koneksi VPN baru dan menentukan opsi inisiasi terowongan VPN: Langkah 5: Buat koneksi VPN
Untuk mengubah opsi inisiasi terowongan VPN untuk koneksi VPN yang ada: Mengubah opsi terowongan Site-to-Site VPN

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

VPNopsi otentikasi terowongan

Penggantian titik akhir