AWS Site-to-Site VPN 连接的隧道选项 - AWS Site-to-Site VPN

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Site-to-Site VPN 连接的隧道选项

您使用 Site-to-SiteVPN连接将远程网络连接到VPC。每个 Site-to-SiteVPN连接都有两条隧道,每条隧道使用唯一的公有 IP 地址。配置两条隧道以提供冗余能力是重要的步骤。当一条隧道不可用(例如,因维护而关闭)时,网络流量会自动路由到该特定 Site-to-SiteVPN连接的可用隧道。

下图显示了VPN连接的两条隧道。每条隧道在不同的可用区终止,以提供更高的可用性。从本地网络到的流量 AWS 使用两条隧道。来自本地网络 AWS 的流量优先选择其中一条隧道,但如果 AWS 侧面出现故障,则可以自动故障转移到另一条隧道。

虚拟专用网关和客户网关之间VPN连接的两条隧道。

创建 Site-to-SiteVPN连接时,您可以下载特定于您的客户网关设备的配置文件,其中包含配置该设备的信息,包括配置每条隧道的信息。创建 Site-to-SiteVPN连接时,您可以选择自己指定一些隧道选项。否则, AWS 会提供默认值。

注意

Site-to-Site VPN无论客户网关的提案顺序如何,隧道端点都会从下面列表中的最低配置值开始评估来自您的客户网关的提案。您可以使用modify-vpn-connection-options命令来限制 AWS 端点将接受的选项列表。有关更多信息,请参阅 Amazon EC2 命令行参考modify-vpn-connection-options中的。

以下是您可以配置的隧道选项。

注意

某些隧道选项有多个默认值。例如,IKE版本有两个默认的隧道选项值:ikev1ikev2。如果您不选择特定值,则所有默认值都将与该隧道选项相关联。单击删除任何您不想与隧道选项关联的默认值。例如,如果您只想使用ikev1该IKE版本,请单击ikev2将其删除。

失效对等体检测 (DPD) 超时

DPD超时发生的秒数。40 秒的DPD超时意味着VPN终端节点将在第一次保持活动失败 30 秒后认为对等体已死亡。您可以指定 30 或更高值。

原定设置值:40

DPD 超时操作

失效对等体检测 (DPD) 超时发生后要采取的操作。您可以指定:

  • Clear: 发生DPD超时时结束IKE会话(停止隧道并清除路由)

  • None: 发生DPD超时时时不采取任何行动

  • Restart: 发生DPD超时时重新启动IKE会话

有关更多信息,请参阅 AWS Site-to-Site VPN 隧道启动选项

默认值:Clear

VPN日志选项

通过 Site-to-SiteVPN日志,您可以访问有关 IP Security (IPsec) 隧道建立、Internet 密钥交换 (IKE) 协商和失效对等体检测 (DPD) 协议消息的详细信息。

有关更多信息,请参阅 AWS Site-to-Site VPN 日志

可用的日志格式:jsontext

IKE版本

VPN隧道允许使用的IKE版本。您可以指定一个或多个默认值。

默认值:ikev1ikev2

隧道内 IPv4 CIDR

VPN隧道的内部(内部)IPv4地址范围。您可以从该169.254.0.0/16范围中指定一个大小为 /30 的CIDR方块。该CIDR区块在使用相同虚拟专用网关的所有 Site-to-SiteVPN连接中必须是唯一的。

注意

在公交网关的所有连接中,该CIDR区块不必是唯一的。但如果它们不唯一,则可能会在客户网关上造成冲突。在公交网关的多个 Site-to-SiteVPN连接上重复使用同一个CIDR区块时,请谨慎行事。

以下CIDR区块是预留的,不能使用:

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

默认:该169.254.0.0/16范围内的一个大小为 /30 的IPv4CIDR方块。

隧道内 IPv6 CIDR

(仅限IPv6VPN连接)VPN隧道的内部(内部)IPv6地址范围。您可以从本地fd00::/8范围中指定大小为 /126 的CIDR块。该CIDR区块在使用相同传输网关的所有 Site-to-SiteVPN连接中必须是唯一的。

默认:与本地fd00::/8范围相比大小为 /126 的IPv6CIDR方块。

本地IPv4网络 CIDR

(仅限IPv4VPN连接)允许通过VPN隧道进行通信的客户网关(本地)端的IPv4CIDR范围。

默认:0.0.0.0/0

远程IPv4网络 CIDR

(仅限IPv4VPN连接)允许通过VPN隧道进行通信 AWS 的一侧IPv4CIDR范围。

默认:0.0.0.0/0

本地IPv6网络 CIDR

(仅限IPv6VPN连接)允许通过VPN隧道进行通信的客户网关(本地)端的IPv6CIDR范围。

默认值:::/0

远程IPv6网络 CIDR

(仅限IPv6VPN连接)允许通过VPN隧道进行通信 AWS 的一侧IPv6CIDR范围。

默认值:::/0

阶段 1 Diffie-Hellman (DH) 组编号

IKE谈判第一阶段允许进入VPN隧道的 DH 组号码。您可以指定一个或多个默认值。

默认值:2、14、15、16、17、18、19、20、21、22、23、24

阶段 2 Diffie-Hellman (DH) 组编号

第二阶段IKE谈判允许进入VPN隧道的卫生组号码。您可以指定一个或多个默认值。

默认值:2、5、14、15、16、17、18、19、20、21、22、23、24

阶段 1 加密算法

在IKE谈判的第 1 阶段中,VPN隧道允许使用的加密算法。您可以指定一个或多个默认值。

默认值:AES128、AES256、AES128-GCM -16、AES256-GCM -16

阶段 2 加密算法

允许用于第 2 阶段IKE协商的VPN隧道的加密算法。您可以指定一个或多个默认值。

默认值:AES128、AES256、AES128-GCM -16、AES256-GCM -16

阶段 1 完整性算法

在IKE谈判的第 1 阶段中,VPN隧道允许使用的完整性算法。您可以指定一个或多个默认值。

默认值:SHA1、SHA2 -256、-SHA2 384、-512 SHA2

阶段 2 完整性算法

在IKE谈判的第 2 阶段中,VPN隧道允许使用的完整性算法。您可以指定一个或多个默认值。

默认值:SHA1、SHA2 -256、-SHA2 384、-512 SHA2

阶段 1 生命周期
注意

AWS 使用第 1 阶段生命周期和第 2 阶段生命周期字段中设置的时间值启动重新生成密钥。如果此生命周期与协商的握手值不同,则可能会中断隧道连接。

IKE谈判第 1 阶段的生命周期(以秒为单位)。您可以指定 900 到 28800 之间的数字。

默认值:28800(8 小时)

阶段 2 生命周期
注意

AWS 使用第 1 阶段生命周期和第 2 阶段生命周期字段中设置的时间值启动重新生成密钥。如果此生命周期与协商的握手值不同,则可能会中断隧道连接。

IKE谈判第 2 阶段的生命周期(以秒为单位)。您可以指定 900 到 3600 之间的数字。您指定的数字必须小于阶段 1 生命周期的秒数。

默认值:3600(1 小时)

预共享密钥 () PSK

预共享密钥 (PSK),用于在目标网关和客户网关之间建立初始互联网密钥交换 (IKE) 安全关联。

长度PSK必须介于 8 到 64 个字符之间,并且不能以零 (0) 开头。允许的字符是字母数字字符、句点 (.) 和下划线 (_)。

默认值:32 个字符的字母数字字符串。

更改密钥模糊值

在其中随机选择更改密钥时间的更改密钥窗口的百分比(由更改密钥容许时间确定)

您可以指定介于 0 到 100 之间的百分比值。

默认值:100

更改密钥容许时间

第 1 阶段和第 2 阶段生命周期到期之前的空闲时间(以秒为单位),在此期间,VPN连接 AWS 端执行IKE密钥更新。

您可以指定一个介于 60 和阶段 2 生命周期值一半之间的数字。

更改密钥的确切时间基于更改密钥模糊值随机选择。

原定设置:270(4.5 分钟)

回放窗口大小的数据包

IKE重播窗口中的数据包数量。

您可以指定 64 到 2048 之间的值。

默认值:1024

启动操作

为VPN连接建立隧道时要采取的操作。您可以指定:

  • Start: AWS 启动IKE谈判以开启隧道。仅当您的客户网关配置了 IP 地址时才支持。

  • Add:您的客户网关设备必须启动IKE协商才能开启隧道。

有关更多信息,请参阅 AWS Site-to-Site VPN 隧道启动选项

默认值:Add

隧道端点生命周期控制

隧道端点生命周期控制提供对端点替换计划的控制。

有关更多信息,请参阅 AWS Site-to-Site VPN 隧道端点生命周期控制

默认值:Off

您可以在创建 Site-to-SiteVPN连接时指定隧道选项,也可以修改现有VPN连接的隧道选项。有关更多信息,请参阅以下主题: