Opções de iniciação do protocolo IKE de túnel da VPN Regras e limitações Trabalhar com opções de iniciação de túnel da VPN

Opções de iniciação de túnel do Site-to-Site VPN

Por padrão, o dispositivo de gateway do cliente deve ativar os túneis para a conexão do Site-to-Site VPN gerando tráfego e iniciando o processo de negociação do protocolo IKE. Você pode configurar seus túneis VPN para especificar que, em vez disso, AWS devem iniciar ou reiniciar o processo de negociação do IKE.

Opções de iniciação do protocolo IKE de túnel da VPN

As seguintes opções de iniciação do protocolo IKE estão disponíveis. Você pode implementar uma ou ambas as opções para um ou ambos os túneis da conexão do Site-to-Site VPN. Consulte Opções de túnel VPN para obter mais detalhes sobre essas e outras configurações de opções de túnel.

Ação de inicialização: a ação a ser executada ao estabelecer o túnel da VPN para uma conexão VPN nova ou modificada. Por padrão, o dispositivo de gateway do cliente inicia o processo de negociação do protocolo IKE para ativar o túnel Você pode especificar que, em vez disso, AWS deve iniciar o processo de negociação do IKE.
Ação de tempo limite do DPD: a ação a ser executada após atingir o tempo limite do Dead Peer Detection (DPD). Por padrão, a sessão do protocolo IKE é interrompida, o túnel fica inativo e as rotas são removidas. Você pode especificar que AWS deve reiniciar a sessão IKE quando ocorrer o tempo limite do DPD, ou você pode especificar que não AWS deve realizar nenhuma ação quando o tempo limite do DPD ocorrer.

Regras e limitações

As seguintes regras e limitações são aplicáveis:

Para iniciar a negociação do IKE, é AWS necessário o endereço IP público do seu dispositivo de gateway do cliente. Se você configurou a autenticação baseada em certificado para sua conexão VPN e não especificou um endereço IP ao criar o recurso de gateway do cliente AWS, deverá criar um novo gateway do cliente e especificar o endereço IP. Depois, modifique a conexão VPN e especifique o novo gateway do cliente. Para ter mais informações, consulte Alterar o gateway do cliente para uma conexão do Site-to-Site VPN.
A iniciação IKE (ação de inicialização) do AWS lado da conexão VPN é suportada somente para IKEv2.
Se estiver usando a iniciação IKE do AWS lado da conexão VPN, ela não inclui uma configuração de tempo limite. Ela tentará continuamente estabelecer uma conexão até conseguir. Além disso, o AWS lado da conexão VPN reiniciará a negociação do IKE ao receber uma mensagem SA de exclusão do gateway do cliente.
Se o dispositivo de gateway do cliente estiver atrás de um firewall ou de outro dispositivo usando a Conversão de endereços de rede (NAT), ele deverá ter uma identidade (IDr) configurada. Para obter mais informações sobre o IDr, consulte RFC 7296.

Se você não configurar a iniciação do IKE pela AWS lateral do túnel VPN e a conexão VPN passar por um período de inatividade (geralmente 10 segundos, dependendo da configuração), o túnel poderá cair. Para evitar isso, você pode usar uma ferramenta de monitoramento de rede que envie pings keepalive.

Trabalhar com opções de iniciação de túnel da VPN

Para obter mais informações sobre como trabalhar com opções de iniciação de túnel da VPN, consulte os seguintes tópicos:

Para criar uma conexão VPN e especificar as opções de iniciação de túnel da VPN: Etapa 5: criar uma conexão VPN
Para modificar as opções de iniciação de túnel da VPN em uma conexão VPN existente: Modificar opções de túnel do Site-to-Site VPN

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Opções de autenticação de túnel VPN

Substituições de endpoint