Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Site-to-Site VPN opsi inisiasi terowongan
Secara default, perangkat gateway pelanggan Anda harus membuka terowongan untuk Site-to-Site VPN koneksi Anda dengan menghasilkan lalu lintas dan memulai proses negosiasi Internet Key Exchange (IKE). Anda dapat mengonfigurasi VPN terowongan Anda untuk menentukan yang AWS harus memulai atau memulai kembali IKE proses negosiasi sebagai gantinya.
VPNopsi IKE inisiasi terowongan
Opsi IKE inisiasi berikut tersedia. Anda dapat menerapkan salah satu atau kedua opsi, untuk satu atau kedua terowongan dalam Site-to-Site VPN koneksi Anda. Lihat VPNopsi terowongan untuk detail selengkapnya tentang pengaturan opsi terowongan ini dan lainnya.
-
Tindakan startup: Tindakan yang harus diambil saat membuat VPN terowongan untuk VPN koneksi baru atau yang dimodifikasi. Secara default, perangkat gateway pelanggan Anda memulai proses IKE negosiasi untuk meningkatkan terowongan. Anda dapat menentukan yang AWS harus memulai proses IKE negosiasi sebagai gantinya.
-
DPDtindakan batas waktu: Tindakan yang harus diambil setelah batas waktu deteksi rekan mati (DPD) terjadi. Secara default, IKE sesi dihentikan, terowongan turun, dan rute dihapus. Anda dapat menentukan yang AWS harus memulai ulang IKE sesi ketika DPD batas waktu terjadi, atau Anda dapat menentukan bahwa tidak AWS boleh mengambil tindakan ketika DPD batas waktu terjadi.
Aturan dan batasan
Aturan dan batasan berikut berlaku:
-
Untuk memulai IKE negosiasi, AWS memerlukan alamat IP publik perangkat gateway pelanggan Anda. Jika Anda mengonfigurasi otentikasi berbasis sertifikat untuk VPN koneksi Anda dan Anda tidak menentukan alamat IP saat membuat sumber daya gateway pelanggan AWS, Anda harus membuat gateway pelanggan baru dan menentukan alamat IP. Kemudian, ubah VPN koneksi dan tentukan gateway pelanggan baru. Untuk informasi selengkapnya, lihat Mengubah gateway pelanggan untuk AWS Site-to-Site VPN koneksi.
-
IKEinisiasi (aksi startup) dari AWS sisi VPN koneksi IKEv2 hanya didukung.
-
Jika menggunakan IKE inisiasi dari AWS sisi VPN koneksi, itu tidak termasuk pengaturan batas waktu. Ini akan terus mencoba untuk membangun koneksi sampai satu dibuat. Selain itu, AWS sisi VPN koneksi akan memulai kembali IKE negosiasi ketika menerima pesan menghapus SA dari gateway pelanggan Anda.
-
Jika perangkat gateway pelanggan Anda berada di belakang firewall atau perangkat lain yang menggunakan Network Address Translation (NAT), perangkat tersebut harus memiliki identitas (IDr) yang dikonfigurasi. Untuk informasi lebih lanjut tentangIDr, lihat RFC7296
.
Jika Anda tidak mengonfigurasi IKE inisiasi dari AWS samping untuk VPN terowongan Anda dan VPN koneksi mengalami periode waktu idle (biasanya 10 detik, tergantung pada konfigurasi Anda), terowongan mungkin akan turun. Untuk mencegah hal ini, Anda dapat menggunakan alat pemantauan jaringan untuk menghasilkan keepalive pings.
Bekerja dengan opsi inisiasi VPN terowongan
Untuk informasi selengkapnya tentang bekerja dengan opsi inisiasi VPN terowongan, lihat topik berikut:
-
Untuk membuat VPN koneksi baru dan menentukan opsi inisiasi VPN terowongan: Langkah 5: Buat VPN koneksi
-
Untuk memodifikasi opsi inisiasi VPN terowongan untuk VPN koneksi yang ada: Ubah opsi AWS Site-to-Site VPN terowongan
