As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Por padrão, o dispositivo de gateway do cliente deve abrir os túneis da sua conexão Site-to-Site VPN gerando tráfego e iniciando o processo de negociação do Internet Key Exchange (IKE). Você pode configurar seus túneis VPN para especificar que, em vez disso, AWS devem iniciar ou reiniciar o processo de negociação do IKE.
Opções de iniciação do protocolo IKE de túnel da VPN
As seguintes opções de iniciação do protocolo IKE estão disponíveis. Você pode implementar uma ou ambas as opções para um ou ambos os túneis em sua Site-to-Site conexão VPN. Consulte Opções de túnel VPN para obter mais detalhes sobre essas e outras configurações de opções de túnel.
-
Ação de inicialização: a ação a ser executada ao estabelecer o túnel da VPN para uma conexão VPN nova ou modificada. Por padrão, o dispositivo de gateway do cliente inicia o processo de negociação do protocolo IKE para ativar o túnel Você pode especificar que, em vez disso, AWS deve iniciar o processo de negociação do IKE.
-
Ação de tempo limite do DPD: a ação a ser executada após atingir o tempo limite do Dead Peer Detection (DPD). Por padrão, a sessão do protocolo IKE é interrompida, o túnel fica inativo e as rotas são removidas. Você pode especificar que AWS deve reiniciar a sessão IKE quando ocorrer o tempo limite do DPD, ou você pode especificar que não AWS deve realizar nenhuma ação quando o tempo limite do DPD ocorrer.
Regras e limitações
As seguintes regras e limitações são aplicáveis:
-
Para iniciar a negociação do IKE, é AWS necessário o endereço IP público do seu dispositivo de gateway do cliente. Se você configurou a autenticação baseada em certificado para sua conexão VPN e não especificou um endereço IP ao criar o recurso de gateway do cliente AWS, deverá criar um novo gateway do cliente e especificar o endereço IP. Depois, modifique a conexão VPN e especifique o novo gateway do cliente. Para obter mais informações, consulte Alterar o gateway do cliente para uma AWS Site-to-Site VPN conexão.
-
A iniciação IKE (ação de inicialização) do AWS lado da conexão VPN é suportada apenas por IKEv2 .
-
Se estiver usando a iniciação IKE do AWS lado da conexão VPN, ela não inclui uma configuração de tempo limite. Ela tentará continuamente estabelecer uma conexão até conseguir. Além disso, o AWS lado da conexão VPN reiniciará a negociação do IKE ao receber uma mensagem SA de exclusão do gateway do cliente.
-
Se o dispositivo de gateway do cliente estiver protegido por um firewall ou outro dispositivo usando Network Address Translation (NAT), ele deverá ter uma identidade (IDr) configurada. Para obter mais informações sobre IDr, consulte RFC 7296
.
Se você não configurar a iniciação do IKE pela AWS lateral do túnel VPN e a conexão VPN passar por um período de inatividade (geralmente 10 segundos, dependendo da configuração), o túnel poderá cair. Para evitar isso, você pode usar uma ferramenta de monitoramento de rede que envie pings keepalive.
Trabalhar com opções de iniciação de túnel da VPN
Para obter mais informações sobre como trabalhar com opções de iniciação de túnel da VPN, consulte os seguintes tópicos:
-
Para criar uma conexão VPN e especificar as opções de iniciação de túnel da VPN: Etapa 5: criar uma conexão VPN
-
Para modificar as opções de iniciação de túnel da VPN em uma conexão VPN existente: Modificar opções de AWS Site-to-Site VPN túnel
