As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Site-to-Site VPN opções de iniciação de túnel
Por padrão, o dispositivo de gateway do cliente deve abrir os túneis da sua Site-to-Site VPN conexão gerando tráfego e iniciando o processo de negociação do Internet Key Exchange (IKE). Você pode configurar seus VPN túneis para especificar que, em vez disso, AWS devem iniciar ou reiniciar o processo de IKE negociação.
VPNopções de IKE iniciação de túnel
As seguintes opções IKE de iniciação estão disponíveis. Você pode implementar uma ou ambas as opções para um ou ambos os túneis em sua Site-to-Site VPN conexão. Consulte Opções de túnel do VPN para obter mais detalhes sobre essas e outras configurações de opções de túnel.
-
Ação de inicialização: a ação a ser tomada ao estabelecer o VPN túnel para uma VPN conexão nova ou modificada. Por padrão, seu dispositivo de gateway do cliente inicia o processo IKE de negociação para abrir o túnel. Você pode especificar que, em vez disso, AWS deve iniciar o processo IKE de negociação.
-
DPDação de tempo limite: a ação a ser tomada após a ocorrência do tempo limite da detecção de pares mortos (DPD). Por padrão, a IKE sessão é interrompida, o túnel é desativado e as rotas são removidas. Você pode especificar que AWS deve reiniciar a IKE sessão quando ocorrer DPD o tempo limite ou pode especificar que não AWS deve realizar nenhuma ação quando o DPD tempo limite ocorrer.
Regras e limitações
As seguintes regras e limitações são aplicáveis:
-
Para iniciar a IKE negociação, é AWS necessário o endereço IP público do seu dispositivo de gateway do cliente. Se você configurou a autenticação baseada em certificado para sua VPN conexão e não especificou um endereço IP ao criar o recurso de gateway do cliente AWS, deverá criar um novo gateway do cliente e especificar o endereço IP. Em seguida, modifique a VPN conexão e especifique o novo gateway do cliente. Para obter mais informações, consulte Alterar o gateway do cliente para uma AWS Site-to-Site VPN conexão.
-
IKEa iniciação (ação de inicialização) do AWS lado da VPN conexão é suportada IKEv2 apenas por.
-
Se estiver usando IKE a iniciação pelo AWS lado da VPN conexão, ela não inclui uma configuração de tempo limite. Ela tentará continuamente estabelecer uma conexão até conseguir. Além disso, o AWS lado da VPN conexão reiniciará a IKE negociação quando receber uma mensagem SA de exclusão do gateway do cliente.
-
Se o dispositivo de gateway do cliente estiver protegido por um firewall ou outro dispositivo usando Network Address Translation (NAT), ele deverá ter uma identidade (IDr) configurada. Para obter mais informações sobreIDr, consulte RFC7296
.
Se você não configurar a IKE iniciação AWS lateral do VPN túnel e a VPN conexão passar por um período de inatividade (geralmente 10 segundos, dependendo da configuração), o túnel poderá cair. Para evitar isso, você pode usar uma ferramenta de monitoramento de rede que envie pings keepalive.
Trabalhando com opções de iniciação de VPN túneis
Para obter mais informações sobre como trabalhar com as opções de iniciação de VPN túneis, consulte os tópicos a seguir:
-
Para criar uma nova VPN conexão e especificar as opções de iniciação do VPN túnel: Etapa 5: criar uma VPN conexão
-
Para modificar as opções de iniciação do VPN túnel para uma VPN conexão existente: Modificar opções de AWS Site-to-Site VPN túnel
