AWS Site-to-Site VPN opzioni di avvio del tunnel - AWS Site-to-Site VPN
Opzioni di avvio IKE del tunnel VPNRegole e limitazioniUtilizzo delle opzioni di avvio del tunnel VPN

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Site-to-Site VPN opzioni di avvio del tunnel

Per impostazione predefinita, il dispositivo gateway del cliente deve attivare i tunnel per la connessione Site-to-Site VPN generando traffico e avviando il processo di negoziazione Internet Key Exchange (IKE). È possibile configurare i tunnel VPN per specificare che AWS deve invece avviare o riavviare il processo di negoziazione IKE.

Opzioni di avvio IKE del tunnel VPN

Sono disponibili le seguenti opzioni di avvio IKE. Puoi implementare una o entrambe le opzioni, per uno o entrambi i tunnel della tua connessione VPN. Site-to-Site Vedi Opzioni per tunnel VPN per maggiori dettagli su queste e altre impostazioni delle opzioni di tunnel.

  • Azione di avvio: l'azione da intraprendere quando si stabilisce il tunnel VPN per una connessione VPN nuova o modificata. Per impostazione predefinita, il dispositivo gateway cliente avvia il processo di negoziazione IKE per attivare il tunnel. È possibile specificare che AWS deve invece avviare il processo di negoziazione IKE.

  • Azione di timeout DPD: l'azione da eseguire dopo il timeout del rilevamento peer morto (DPD). Per impostazione predefinita, la sessione IKE viene interrotta, il tunnel si abbassa e i route vengono rimossi. È possibile specificare che AWS deve riavviare la sessione IKE quando si verifica il timeout DPD oppure specificare che non AWS deve eseguire alcuna azione quando si verifica il timeout DPD.

Regole e limitazioni

Si applicano le le seguenti regole e limitazioni:

  • Per avviare la negoziazione IKE, è AWS necessario l'indirizzo IP pubblico del dispositivo gateway del cliente. Se hai configurato l'autenticazione basata su certificati per la tua connessione VPN e non hai specificato un indirizzo IP quando hai creato la risorsa Customer Gateway in AWS, devi creare un nuovo gateway cliente e specificare l'indirizzo IP. Quindi, modificare la connessione VPN e specificare il nuovo gateway cliente. Per ulteriori informazioni, consulta Modificare il gateway del cliente per una AWS Site-to-Site VPN connessione.

  • L'avvio IKE (azione di avvio) dal AWS lato della connessione VPN è supportato solo per. IKEv2

  • Se si utilizza l'iniziazione IKE dal AWS lato della connessione VPN, non include un'impostazione di timeout. Cercherà continuamente di stabilire una connessione finché non ne verrà stabilita una. Inoltre, il AWS lato della connessione VPN riavvierà la negoziazione IKE quando riceverà un messaggio SA di eliminazione dal gateway del cliente.

  • Se il dispositivo gateway del cliente è protetto da un firewall o da un altro dispositivo che utilizza Network Address Translation (NAT), deve avere un'identità () configurata. IDr Per ulteriori informazioni su IDr, vedere RFC 7296.

Se non si configura l'iniziazione IKE AWS lateralmente per il tunnel VPN e la connessione VPN subisce un periodo di inattività (in genere 10 secondi, a seconda della configurazione), il tunnel potrebbe interrompersi. Per evitare ciò, è possibile utilizzare uno strumento di monitoraggio della rete per generare ping keepalive.

Utilizzo delle opzioni di avvio del tunnel VPN

Per ulteriori informazioni sull'utilizzo delle opzioni di avvio del tunnel VPN, vedere i seguenti argomenti: