Opzioni di tunnel per la tua AWS Site-to-Site VPN connessione - AWS Site-to-Site VPN

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Opzioni di tunnel per la tua AWS Site-to-Site VPN connessione

Si utilizza una Site-to-Site VPN connessione per connettere la rete remota a unVPC. Ogni Site-to-Site VPN connessione ha due tunnel, con ogni tunnel che utilizza un indirizzo IP pubblico univoco. È importante configurare Entrambi i tunnel per la ridondanza. Quando un tunnel diventa non disponibile (ad esempio, inattivo per manutenzione), il traffico di rete viene automaticamente indirizzato al tunnel disponibile per quella connessione specifica Site-to-SiteVPN.

Il diagramma seguente mostra i due tunnel di una connessione. VPN Ogni tunnel termina in una zona di disponibilità diversa per fornire una maggiore disponibilità. Il traffico proveniente dalla rete locale AWS utilizza entrambi i tunnel. Il traffico proveniente dalla AWS rete locale preferisce uno dei tunnel, ma può eseguire automaticamente il failover sull'altro tunnel in caso di guasto laterale. AWS

I due tunnel di una VPN connessione tra un gateway privato virtuale e un gateway per il cliente.

Quando si crea una Site-to-Site VPN connessione, si scarica un file di configurazione specifico per il dispositivo gateway del cliente che contiene informazioni per la configurazione del dispositivo, incluse le informazioni per la configurazione di ciascun tunnel. Facoltativamente, puoi specificare tu stesso alcune delle opzioni del tunnel quando crei la connessione. Site-to-Site VPN In caso contrario, AWS fornisce valori predefiniti.

Nota

Site-to-Site VPNgli endpoint del tunnel valutano le proposte del Customer Gateway partendo dal valore configurato più basso tra quelli elencati di seguito, indipendentemente dall'ordine di proposta inviato dal Customer Gateway. È possibile utilizzare il modify-vpn-connection-options comando per limitare l'elenco di opzioni accettate AWS dagli endpoint. Per ulteriori informazioni, consulta modify-vpn-connection-optionsAmazon EC2 Command Line Reference.

Di seguito sono riportate le opzioni tunnel che è possibile configurare.

Nota

Alcune opzioni di tunnel hanno più valori predefiniti. Ad esempio, IKEle versioni hanno due valori di opzione di tunnel predefiniti: ikev1 eikev2. Tutti i valori predefiniti verranno associati a quell'opzione di tunnel se non scegliete valori specifici. Fate clic per rimuovere qualsiasi valore predefinito che non desiderate associare all'opzione tunnel. Ad esempio, se desideri utilizzarlo solo ikev1 per la IKE versione, fai clic ikev2 per rimuoverla.

Timeout di Dead Peer Detection (DPD)

Il numero di secondi dopo i quali si verifica un DPD timeout. Un DPD timeout di 40 secondi significa che l'VPNendpoint considererà il peer morto 30 secondi dopo il primo keep-alive fallito. Puoi specificare una valore maggiore o uguale a 30.

Impostazione predefinita: 40

DPDOperazione di timeout

L'azione da intraprendere dopo il timeout di dead peer detection (). DPD È possibile specificare le forme seguenti:

  • Clear: Termina la IKE sessione quando si verifica il DPD timeout (ferma il tunnel e cancella i percorsi)

  • None: non intraprende alcuna azione quando si verifica il DPD timeout

  • Restart: riavvia la IKE sessione quando si verifica il DPD timeout

Per ulteriori informazioni, consulta AWS Site-to-Site VPN opzioni di avvio del tunnel.

Default: Clear

VPNopzioni di registrazione

Con Site-to-Site VPN i log, è possibile accedere ai dettagli sulla creazione del tunnel IP Security (IPsec), sulle negoziazioni Internet Key Exchange (IKE) e sui messaggi del protocollo Dead Peer Detection (DPD).

Per ulteriori informazioni, consulta AWS Site-to-Site VPN registri.

Formati di registro disponibili: json, text

IKEversioni

Le IKE versioni consentite per il VPN tunnel. Puoi specificare uno o più dei valori predefiniti.

Valori predefiniti:, ikev1 ikev2

Tunnel interno IPv4 CIDR

L'intervallo di IPv4 indirizzi interni (interni) del VPN tunnel. È possibile specificare un CIDR blocco di dimensione /30 dall'169.254.0.0/16intervallo. Il CIDR blocco deve essere univoco per tutte le Site-to-Site VPN connessioni che utilizzano lo stesso gateway privato virtuale.

Nota

Non è necessario che il CIDR blocco sia univoco per tutte le connessioni su un gateway di transito. Tuttavia, se non sono univoci, può verificarsi un conflitto sul gateway del cliente. Procedi con cautela quando riutilizzi lo stesso CIDR blocco su più Site-to-Site VPN connessioni su un gateway di transito.

I seguenti CIDR blocchi sono riservati e non possono essere utilizzati:

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

Impostazione predefinita: un IPv4 CIDR blocco di dimensione /30 compreso nell'169.254.0.0/16intervallo.

Tunnel interno IPv6 CIDR

(solo IPv6 VPN connessioni) L'intervallo di IPv6 indirizzi interni (interni) del VPN tunnel. È possibile specificare un CIDR blocco di dimensione /126 dall'fd00::/8intervallo locale. Il CIDR blocco deve essere unico per tutte le Site-to-Site VPN connessioni che utilizzano lo stesso gateway di transito.

Predefinito: un IPv6 CIDR blocco di dimensione /126 compreso nell'fd00::/8intervallo locale.

Rete locale IPv4 CIDR

(solo IPv4 VPN connessione) L'IPv4CIDRintervallo sul lato gateway del cliente (locale) a cui è consentito comunicare attraverso i VPN tunnel.

Impostazione predefinita: 0.0.0.0/0

Rete remota IPv4 CIDR

(solo IPv4 VPN connessione) L'IPv4CIDRintervallo sul AWS lato consentito per la comunicazione attraverso i VPN tunnel.

Impostazione predefinita: 0.0.0.0/0

Rete locale IPv6 CIDR

(solo IPv6 VPN connessione) L'IPv6CIDRintervallo sul lato gateway del cliente (locale) a cui è consentito comunicare attraverso i VPN tunnel.

Impostazione predefinita: 0

Rete remota IPv6 CIDR

(solo IPv6 VPN connessione) L'IPv6CIDRintervallo sul AWS lato consentito per la comunicazione attraverso i VPN tunnel.

Impostazione predefinita: 0

Numeri di gruppo fase 1 Diffie-Hellman (DH)

I numeri di gruppo DH consentiti per il VPN tunnel per la fase 1 delle IKE trattative. Puoi specificare uno o più dei valori predefiniti.

Valori predefiniti: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Numeri di gruppo fase 2 Diffie-Hellman (DH)

I numeri di gruppo DH consentiti per il VPN tunnel per la fase 2 delle trattative. IKE Puoi specificare uno o più dei valori predefiniti.

Valori predefiniti: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Algoritmi di crittografia fase 1

Gli algoritmi di crittografia consentiti per il VPN tunnel per la fase 1 delle negoziazioni. IKE Puoi specificare uno o più dei valori predefiniti.

Valori predefiniti:AES128,, - -16AES256, AES128 - GCM -16 AES256 GCM

Algoritmi di crittografia fase 2

Gli algoritmi di crittografia consentiti per il VPN tunnel per le negoziazioni della fase 2. IKE Puoi specificare uno o più dei valori predefiniti.

Valori predefiniti:AES128,, - -16AES256, AES128 - GCM -16 AES256 GCM

Algoritmi di integrità fase 1

Gli algoritmi di integrità consentiti per il VPN tunnel per la fase 1 delle negoziazioni. IKE Puoi specificare uno o più dei valori predefiniti.

Valori predefiniti:SHA1, SHA2 -256, -384, -512 SHA2 SHA2

Algoritmi di integrità fase 2

Gli algoritmi di integrità consentiti per il VPN tunnel per la fase 2 delle negoziazioni. IKE Puoi specificare uno o più dei valori predefiniti.

Valori predefiniti:SHA1, SHA2 -256, -384, -512 SHA2 SHA2

Durata della fase 1
Nota

AWS avvia le richiavi con i valori di temporizzazione impostati nei campi Durata fase 1 e Durata fase 2. Se tali durate sono diverse dai valori di handshake negoziati, ciò potrebbe interrompere la connettività del tunnel.

La durata in secondi per la fase 1 delle negoziazioni. IKE Puoi specificare un numero compreso tra 900 e 28.800.

Impostazione predefinita: 28.800 (8 ore)

Durata della fase 2
Nota

AWS avvia le richiavi con i valori temporali impostati nei campi Durata fase 1 e Durata fase 2. Se tali durate sono diverse dai valori di handshake negoziati, ciò potrebbe interrompere la connettività del tunnel.

La durata in secondi per la fase 2 delle negoziazioni. IKE Puoi specificare un numero compreso tra 900 e 3.600. Il numero specificato deve essere inferiore al numero di secondi di durata della fase 1.

Impostazione predefinita: 3.600 (1 ora)

Chiave precondivisa () PSK

La chiave precondivisa (PSK) per stabilire l'associazione di sicurezza iniziale per lo scambio di chiavi Internet (IKE) tra il gateway di destinazione e il gateway del cliente.

PSKDeve avere una lunghezza compresa tra 8 e 64 caratteri e non può iniziare con zero (0). Sono consentiti caratteri alfanumerici, spazi, trattini, punti (.) e trattini bassi (_).

Impostazione predefinita: una stringa alfanumerica di 32 caratteri.

Fuzz di emissione nuova chiave

La percentuale della finestra di rekey (determinata dal tempo di margine di rekey) entro la quale il tempo di rekey viene selezionato in modo casuale.

È possibile specificare un valore percentuale compreso tra 0 e 100.

Impostazione predefinita: 100

Tempo di margine di emissione nuova chiave

Il margine di tempo, espresso in secondi, prima della scadenza del periodo di vita della fase 1 e della fase 2, durante il quale il AWS lato della VPN connessione esegue una IKE nuova chiave.

Puoi specificare un numero compreso tra 60 e metà del valore di durata della fase 2.

L'ora esatta di emissione nuova chiave viene selezionata in modo casuale in base al valore di fuzz di emissione nuova chiave.

Impostazione predefinita: 270 (4,5 minuti)

Pacchetti dimensioni finestra di riproduzione

Il numero di pacchetti in una finestra di replay. IKE

Puoi specificare un valore compreso tra 64 e 2048.

Impostazione predefinita: 1024

Azione di avvio

L'azione da intraprendere quando si stabilisce il tunnel per una VPN connessione. È possibile specificare le forme seguenti:

  • Start: AWS avvia la IKE negoziazione per aprire il tunnel. Supportato solo se il gateway del cliente è configurato con un indirizzo IP.

  • Add: Il dispositivo Customer Gateway deve avviare la IKE negoziazione per attivare il tunnel.

Per ulteriori informazioni, consulta AWS Site-to-Site VPN opzioni di avvio del tunnel.

Default: Add

Controllo del tunnel

Il controllo del ciclo di vita degli endpoit del tunnel consente di controllare la pianificazione delle sostituzioni degli endpoint.

Per ulteriori informazioni, consulta AWS Site-to-Site VPN controllo del ciclo di vita degli endpoint del tunnel.

Default: Off

È possibile specificare le opzioni del tunnel quando si crea una Site-to-Site VPN connessione oppure modificare le opzioni del tunnel per una connessione esistenteVPN. Per ulteriori informazioni, consulta i seguenti argomenti: