View a markdown version of this page

Konfigurasikan opsi terowongan untuk AWS Site-to-Site VPN - AWS Site-to-Site VPN

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan opsi terowongan untuk AWS Site-to-Site VPN

Bagian ini memberikan panduan komprehensif tentang mengonfigurasi opsi terowongan untuk AWS Site-to-Site VPN koneksi, yang mencakup parameter penting seperti deteksi rekan mati, versi IKE, dan pengaturan enkripsi. Anda dapat menyesuaikan opsi terowongan ini untuk mengoptimalkan keamanan, kinerja, dan kompatibilitas koneksi VPN Anda dengan infrastruktur jaringan lokal Anda.

Berikut ini adalah opsi terowongan yang dapat Anda konfigurasi.

catatan

Beberapa opsi terowongan memiliki beberapa nilai default. Misalnya, versi IKE memiliki dua nilai opsi terowongan default: ikev1 danikev2. Semua nilai default akan dikaitkan dengan opsi terowongan itu jika Anda tidak memilih nilai tertentu. Klik untuk menghapus nilai default apa pun yang tidak ingin Anda kaitkan dengan opsi terowongan. Misalnya, jika Anda hanya ingin menggunakan ikev1 untuk versi IKE, klik ikev2 untuk menghapusnya.

Waktu habis deteksi peer mati (DPD)

Jumlah detik setelah batas waktu DPD terjadi. Batas waktu DPD 30 detik berarti bahwa titik akhir VPN akan menganggap peer mati 30 detik setelah kegagalan pertama tetap hidup. Anda dapat menentukan 30 atau lebih tinggi.

Default: 40

Tindakan waktu habis DPD

Tindakan yang diambil setelah waktu habis deteksi peer mati (DPD) terjadi. Anda dapat menentukan sebagai berikut:

  • Clear: Mengakhiri sesi IKE ketika waktu habis DPD terjadi (menghentikan terowongan dan menghapus rute)

  • None: Tidak mengambil tindakan ketika waktu habis DPD terjadi

  • Restart: Memulai ulang sesi IKE ketika waktu habis DPD terjadi

Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN opsi inisiasi terowongan.

Default: Clear

Opsi pencatatan VPN

Dengan log Site-to-Site VPN, Anda dapat memperoleh akses ke detail tentang pembentukan terowongan IP Security (IPsec), negosiasi Internet Key Exchange (IKE), dan pesan protokol deteksi rekan mati (DPD).

Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN log.

Format log yang tersedia:json, text

Versi IKE

Versi (IKE) yang diizinkan untuk terowongan VPN. Anda dapat menentukan satu atau beberapa nilai default.

Default:, ikev1 ikev2

Di dalam terowongan IPv4 CIDR

Rentang alamat IPv4 di dalam (internal) untuk terowongan VPN. Anda dapat menentukan blok CIDR ukuran /30 dari rentang 169.254.0.0/16. Blok CIDR harus unik di semua koneksi Site-to-Site VPN yang menggunakan gateway pribadi virtual yang sama.

catatan

Blok CIDR tidak perlu unik di semua koneksi pada gateway transit. Namun, jika mereka tidak unik, itu dapat menciptakan konflik di gateway pelanggan Anda. Lanjutkan dengan hati-hati saat menggunakan kembali blok CIDR yang sama pada beberapa koneksi Site-to-Site VPN di gateway transit.

Blok CIDR berikut dicadangkan dan tidak dapat digunakan:

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

Default: Blok CIDR IPv4 ukuran /30 dari rentang 169.254.0.0/16.

Pre-shared penyimpanan kunci

Jenis penyimpanan untuk kunci yang telah dibagikan sebelumnya:

  • Standar — Kunci yang telah dibagikan sebelumnya disimpan langsung di layanan Site-to-Site VPN.

  • Secrets Manager — Kunci yang telah dibagikan sebelumnya disimpan menggunakan AWS Secrets Manager. Untuk informasi selengkapnya tentang Secrets Manager, lihatFitur keamanan yang disempurnakan menggunakan Secrets Manager.

Bandwidth terowongan

Bandwidth yang didukung untuk terowongan.

  • Standar - Bandwidth terowongan diatur ke maksimum hingga 1,25 Gbps per terowongan (default).

  • Besar — Bandwidth terowongan hingga maksimum hingga 5 Gbps per terowongan.

    catatan

    Besar hanya tersedia untuk koneksi VPN yang terpasang ke gateway transit atau ke Cloud WAN. Ini tidak didukung untuk koneksi Virtual Private Gateway.

Di dalam terowongan IPv6 CIDR

(Hanya koneksi VPN IPv6) Rentang alamat IPv6 di dalam (internal) untuk terowongan VPN. Anda dapat menentukan blok CIDR ukuran /126 dari rentang fd00::/8 lokal. Blok CIDR harus unik di semua koneksi Site-to-Site VPN yang menggunakan gateway transit yang sama. Jika Anda tidak menentukan subnet IPv6, Amazon secara otomatis memilih subnet /128 dari rentang ini. Terlepas dari apakah Anda menentukan subnet atau Amazon memilihnya, Amazon menggunakan alamat IPv6 pertama yang dapat digunakan di subnet untuk sisi koneksi, dan pihak Anda menggunakan alamat IPv6 kedua yang dapat digunakan.

Default: Blok CIDR IPv6 CIDR /126 dari rentang fd00::/8.

Jenis alamat IP terowongan luar

Jenis alamat IP untuk alamat IP terowongan luar (eksternal). Anda dapat menentukan salah satu hal berikut:

  • PrivateIpv4: Gunakan alamat IPv4 pribadi untuk menyebarkan koneksi Site-to-Site VPN melalui Direct Connect.

  • PublicIpv4: (Default) Gunakan alamat IPv4 untuk IP terowongan luar.

  • Ipv6: Gunakan alamat IPv6 untuk IP terowongan luar. Opsi ini hanya tersedia untuk koneksi VPN pada gateway transit atau Cloud WAN.

Saat Anda memilihIpv6, AWS secara otomatis mengonfigurasi alamat IPv6 terowongan luar untuk sisi AWS dari terowongan VPN. Perangkat gateway pelanggan Anda harus mendukung pengalamatan IPv6 dan dapat membuat terowongan IPsec dengan titik akhir IPv6.

Default: PublicIpv4

CIDR Jaringan IPv4 Lokal

(Hanya koneksi IPv4 VPN) Rentang CIDR yang digunakan selama negosiasi fase 2 IKE untuk sisi pelanggan (lokal) terowongan VPN. Rentang ini digunakan untuk mengusulkan rute tetapi tidak memberlakukan pembatasan lalu lintas karena AWS menggunakan VPN berbasis rute secara eksklusif. Policy-based VPN tidak didukung karena akan membatasi AWS'kemampuan untuk mendukung protokol perutean dinamis dan arsitektur multi-wilayah. Ini harus mencakup rentang IP dari jaringan lokal Anda yang perlu berkomunikasi melalui terowongan VPN. Konfigurasi tabel rute yang tepat, NACL, dan grup keamanan harus digunakan untuk mengontrol arus lalu lintas yang sebenarnya.

Default: 0.0.0. 0/0

CIDR Jaringan IPv4 Jarak Jauh

(Hanya koneksi IPv4 VPN) Rentang CIDR yang digunakan selama negosiasi fase 2 IKE untuk AWS sisi terowongan VPN. Rentang ini digunakan untuk mengusulkan rute tetapi tidak memberlakukan pembatasan lalu lintas karena AWS menggunakan VPN berbasis rute secara eksklusif. AWS tidak mendukung VPN berbasis kebijakan karena mereka tidak memiliki fleksibilitas yang diperlukan untuk skenario perutean yang kompleks dan tidak kompatibel dengan fitur seperti gateway transit dan VPN Equal Cost (ECMP). Multi-Path Untuk VPC, ini biasanya rentang CIDR dari VPC Anda. Untuk gateway transit, ini dapat mencakup beberapa rentang CIDR dari VPC terpasang atau jaringan lain.

Default: 0.0.0. 0/0

CIDR Jaringan IPv6 Lokal

(Hanya koneksi VPN IPv6) Rentang CIDR IPv6 di sisi gateway pelanggan (on-premise) yang diizinkan untuk berkomunikasi melalui terowongan VPN.

Default: ::/0

CIDR Jaringan IPv6 Jarak Jauh

(Hanya koneksi IPv6 VPN) Rentang IPv6 CIDR di AWS samping yang diizinkan untuk berkomunikasi melalui terowongan VPN.

Default: ::/0

Nomor grup fase 1 Diffie-Hellman (DH)

Nomor grup DH yang diizinkan untuk terowongan VPN fase 1 dari negosiasi IKE. Anda dapat menentukan satu atau beberapa nilai default.

Default: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Nomor grup fase 2 Diffie-Hellman (DH)

Nomor grup DH yang diizinkan untuk terowongan VPN fase 2 dari negosiasi IKE. Anda dapat menentukan satu atau beberapa nilai default.

Default: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Algoritme enkripsi fase 1

Algoritme enkripsi yang diizinkan untuk terowongan VPN fase 1 dari negosiasi IKE. Anda dapat menentukan satu atau beberapa nilai default.

Default: AES128, AES256,, AES128-GCM-16 AES256-GCM-16

Algoritme enkripsi fase 2

Algoritme enkripsi yang diizinkan untuk terowongan VPN fase 2 dari negosiasi IKE. Anda dapat menentukan satu atau beberapa nilai default.

Default: AES128, AES256,, AES128-GCM-16 AES256-GCM-16

Algoritme integritas fase 1

Algoritme integritas yang diizinkan untuk terowongan VPN fase 1 dari negosiasi IKE. Anda dapat menentukan satu atau beberapa nilai default.

Default: SHA1,,, SHA2-256 SHA2-384 SHA2-512

Algoritme integritas fase 2

Algoritme integritas yang diizinkan untuk terowongan VPN fase 2 dari negosiasi IKE. Anda dapat menentukan satu atau beberapa nilai default.

Default: SHA1,,, SHA2-256 SHA2-384 SHA2-512

Masa hidup fase 1
catatan

AWS memulai tombol ulang dengan nilai waktu yang ditetapkan dalam bidang seumur hidup Fase 1 dan Fase 2 seumur hidup. Jika masa hidup berbeda dari nilai handshake yang dinegosiasikan, hal ini dapat mengganggu konektivitas terowongan.

Masa hidup dalam hitungan detik untuk fase 1 dari negosiasi IKE. Anda dapat menentukan angka antara 900 hingga 28.800.

Default: 28.800 (8 jam)

Masa hidup fase 2
catatan

AWS memulai tombol ulang dengan nilai waktu yang ditetapkan dalam bidang seumur hidup Fase 1 dan Fase 2 seumur hidup. Jika masa hidup berbeda dari nilai handshake yang dinegosiasikan, hal ini dapat mengganggu konektivitas terowongan.

Masa hidup dalam hitungan detik untuk fase 2 dari negosiasi IKE. Anda dapat menentukan angka antara 900 hingga 3.600. Angka yang Anda tentukan harus kurang dari jumlah detik untuk masa hidup fase 1.

Default: 3.600 (1 jam)

Pre-shared kunci (PSK)

Kunci pra-bersama (PSK) untuk membangun asosiasi keamanan pertukaran kunci internet awal (IKE) antara gateway target dan gateway pelanggan.

Panjang karakter PSK harus antara 8 hingga 64 dan tidak boleh diawali dengan nol (0). Karakter yang diizinkan adalah karakter alfanumerik, titik (.), dan garis bawah (_).

Default: String alfanumerik 32-karakter.

Masukkan ulang data fuzz

Persentase jendela memasukkan ulang data (ditentukan oleh waktu margin memasukkan ulang data) pada saat waktu memasukkan ulang data dipilih secara acak.

Anda dapat menentukan nilai persentase antara 0 hingga 100.

Default: 100

Waktu margin memasukkan ulang data

Waktu margin dalam hitungan detik sebelum masa pakai fase 1 dan fase 2 berakhir, di mana AWS sisi koneksi VPN melakukan rekey IKE.

Anda dapat menentukan angka antara 60 dan setengah dari nilai masa pakai fase 2.

Waktu yang tepat saat memasukkan ulang data dipilih secara acak berdasarkan nilai untuk memasukkan ulang data fuzz.

Default: 270 (4,5 menit)

Paket ukuran jendela replay

Jumlah paket di jendela replay IKE.

Anda dapat menentukan nilai antara 64 hingga 2048.

Default: 1024

Tindakan awal

Tindakan yang dilakukan saat membuat terowongan untuk koneksi VPN. Anda dapat menentukan sebagai berikut:

  • Start: AWS memulai negosiasi IKE untuk membawa terowongan ke atas. Hanya didukung jika gateway pelanggan Anda dikonfigurasi menggunakan alamat IP.

  • Add: Perangkat gateway pelanggan Anda harus memulai negoisasi IKE untuk memunculkan terowongan.

Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN opsi inisiasi terowongan.

Default: Add

Kontrol siklus hidup titik akhir terowongan

Kontrol siklus hidup titik akhir terowongan memberikan kontrol atas jadwal penggantian titik akhir.

Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN kontrol siklus hidup titik akhir terowongan.

Default: Off

Anda dapat menentukan opsi terowongan saat membuat koneksi Site-to-Site VPN, atau Anda dapat memodifikasi opsi terowongan untuk koneksi VPN yang ada. Untuk informasi selengkapnya, lihat topik berikut: