As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Se você tiver um dispositivo que não esteja na lista de exemplos anterior, esta seção descreve os requisitos que o dispositivo deve atender para que você possa usá-lo para estabelecer uma conexão Site-to-Site VPN.
Há quatro etapas principais para a configuração do seu dispositivo de gateway do cliente. Os símbolos a seguir representam cada parte da configuração.
|
Associação de segurança do Internet Key Exchange (IKE). Isso é necessário para trocar as chaves usadas para estabelecer a associação IPsec de segurança. |
|
IPsec associação de segurança. Isso lida com a criptografia do túnel, com a autenticação e assim por diante. |
|
Interface do túnel. Isso recebe tráfego de e para o túnel. |
|
(Opcional) Emparelhamento de Protocolo de Gateway da Borda (BGP) Para dispositivos que usam BGP, isso troca as rotas entre o dispositivo de gateway do cliente e o gateway privado virtual. |
A tabela a seguir lista os requisitos para o dispositivo de gateway do cliente, o RFC relacionado (para referência) e comentários sobre os requisitos.
Cada conexão VPN consiste em dois túneis separados. Cada túnel contém uma associação de segurança IKE, uma associação de IPsec segurança e um emparelhamento BGP. Você está limitado a um par exclusivo de associação de segurança (SA) por túnel (um de entrada e um de saída) e, portanto, a dois pares de SA exclusivos no total para dois túneis (quatro). SAs Alguns dispositivos usam uma VPN baseada em políticas e criam tantas entradas de SAs ACL. Assim, talvez seja necessário consolidar as regras e, depois, filtrar para não permitir o tráfego indesejado.
Por padrão, o túnel da VPN é ativado quando o tráfego é gerado e a negociação do protocolo IKE é iniciada do seu lado da conexão VPN. Em vez disso, você pode configurar a conexão VPN para iniciar a negociação IKE do AWS lado da conexão. Para obter mais informações, consulte AWS Site-to-Site VPN opções de iniciação de túnel.
Os endpoints de VPN são compatíveis com o rechaveamento e poderão iniciar renegociações quando a fase 1 estiver prestes a expirar, se o dispositivo de gateway do cliente não tiver enviado nenhum tráfego de renegociação.
| Requisito | RFC | Comentários |
|---|---|---|
|
Estabelecer associação de segurança IKE
|
A associação de segurança IKE é estabelecida primeiro entre o gateway privado virtual e o dispositivo de gateway do cliente usando uma chave pré-compartilhada ou um certificado privado usado AWS Private Certificate Authority como autenticador. Quando estabelecido, o IKE negocia uma chave efêmera para proteger futuras mensagens de IKE. Deve haver um acordo completo entre os parâmetros, incluindo parâmetros de criptografia e de autenticação. Ao criar uma conexão VPN no AWS, você pode especificar sua própria chave pré-compartilhada para cada túnel ou deixar AWS gerar uma para você. Como alternativa, você pode especificar o certificado privado usado AWS Private Certificate Authority para usar em seu dispositivo de gateway do cliente. Para obter mais informações, sobre como configurar túneis da VPN, consulte Opções de túnel para sua AWS Site-to-Site VPN conexão. As seguintes versões são suportadas: IKEv1 IKEv2 e. Suportamos o modo principal somente com IKEv1. O serviço Site-to-Site VPN é uma solução baseada em rotas. Se você estiver usando uma configuração com base em políticas, limite a configuração a uma única associação de segurança (SA). |
|
|
Estabeleça associações de IPsec segurança no modo Túnel
|
Usando a chave efêmera IKE, as chaves são estabelecidas entre o gateway privado virtual e o dispositivo de gateway do cliente para formar uma associação de IPsec segurança (SA). O tráfego entre os gateways é criptografado e descriptografado. usando essa SA. As chaves efêmeras usadas para criptografar o tráfego dentro do IPsec SA são alternadas automaticamente pelo IKE regularmente para garantir a confidencialidade das comunicações. |
|
|
Usar a função de criptografia AES de 128 bits ou AES de 256 bits |
A função de criptografia é usada para garantir a privacidade do IKE e das associações IPsec de segurança. |
|
|
Usar a função de hashing SHA-1 ou SHA-2 (256) |
Essa função de hashing é usada para autenticar tanto o IKE quanto as associações de segurança. IPsec |
|
|
Use o Diffie-Hellman Perfect Forward Secrecy. |
O IKE usa Diffie-Hellman para estabelecer chaves efêmeras para proteger toda a comunicação entre os dispositivos de gateway do cliente e os gateways privados virtuais. Os seguintes grupos são compatíveis:
|
|
|
(Conexões VPN roteadas dinamicamente) Use o Dead Peer Detection IPsec |
O Dead Peer Detection permite que os dispositivos de VPN identifiquem rapidamente quando uma condição de rede impede a entrega de pacotes pela Internet. Quando isso ocorre, os gateways excluem as associações de segurança e tentam criar outras associações. Durante esse processo, o IPsec túnel alternativo é usado, se possível. |
|
|
(Conexões VPN roteadas dinamicamente) Vincular o túnel à interface lógica (VPN baseada em rota)
|
Nenhum |
Seu dispositivo deve ser capaz de vincular o IPsec túnel a uma interface lógica. A interface lógica contém um endereço IP que é usado para estabelecer o emparelhamento de BGP com o gateway privado virtual. Essa interface lógica não deve executar encapsulamento adicional (por exemplo, GRE ou IP em IP). A interface deve ser configurada para uma Maximum Transmission Unit (MTU) de 1.399 bytes. |
|
(Conexões VPN roteadas dinamicamente) Estabelecer emparelhamentos de BGP
|
O BGP é usado para trocar as rotas entre o dispositivo de gateway do cliente e o gateway privado virtual para dispositivos que usam o BGP. Todo o tráfego BGP é criptografado e transmitido pela IPsec Security Association. O BGP é necessário para que ambos os gateways troquem os prefixos IP que podem ser acessados por meio do SA. IPsec |
Uma conexão AWS VPN não oferece suporte ao Path MTU Discovery (RFC 1191
Se houver um firewall entre o dispositivo de gateway do cliente e a Internet, consulte Regras de firewall para um dispositivo de gateway AWS Site-to-Site VPN do cliente.
