Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Configura le opzioni del tunnel per AWS Site-to-Site VPN Questa sezione fornisce una guida completa sulla configurazione delle opzioni di tunnel per le AWS Site-to-Site VPN connessioni, coprendo parametri essenziali come il dead peer detection, le versioni IKE e le impostazioni di crittografia. È possibile personalizzare queste opzioni di tunnel per ottimizzare la sicurezza, le prestazioni e la compatibilità della connessione VPN con l'infrastruttura di rete locale. Di seguito sono riportate le opzioni tunnel che è possibile configurare. **Nota** Alcune opzioni di tunnel hanno più valori predefiniti. Ad esempio, **le versioni IKE** hanno due valori di opzione di tunnel predefiniti: `ikev1` e`ikev2`. Tutti i valori predefiniti verranno associati a quell'opzione di tunnel se non scegliete valori specifici. Fate clic per rimuovere qualsiasi valore predefinito che non desiderate associare all'opzione tunnel. Ad esempio, se desideri utilizzarlo solo `ikev1` per la versione IKE, fai clic `ikev2` per rimuoverla. **Timeout Dead Peer Detection (DPD)** La durata in secondi dopo la quale si verifica il timeout DPD. Un timeout DPD di 30 secondi significa che l'endpoint VPN considererà il peer morto 30 secondi dopo il primo keep-alive fallito. Puoi specificare una valore maggiore o uguale a 30. Impostazione predefinita: 40 **Operazione di timeout DPD** L'azione da eseguire dopo il timeout di rilevamento del peer morto (DPD). È possibile specificare le forme seguenti: + `Clear`: terminare la sessione IKE quando si verifica il timeout DPD (arrestare il tunnel e cancellare i percorsi) + `None`: non eseguire alcuna azione quando si verifica un timeout DPD + `Restart`: riavviare la sessione IKE quando si verifica il timeout DPD Per ulteriori informazioni, consulta [AWS Site-to-Site VPN opzioni di avvio del tunnel](initiate-vpn-tunnels.md). Default: `Clear` **Opzioni di registrazione VPN** Con i log Site-to-Site VPN, puoi accedere ai dettagli sulla creazione del tunnel IP Security (IPSec), sulle negoziazioni IKE (Internet Key Exchange) e sui messaggi del protocollo Dead Peer Detection (DPD). Per ulteriori informazioni, consulta [AWS Site-to-Site VPN registri](monitoring-logs.md). Formati di registro disponibili: `json`, `text` **Versioni IKE** Le versioni IKE consentite per il tunnel VPN. Puoi specificare uno o più dei valori predefiniti. Impostazioni predefinite:, `ikev1` `ikev2` **CIDR IPv4 tunnel interno** L'intervallo di indirizzi IPv4 interni del tunnel VPN. Puoi specificare un blocco CIDR di dimensione /30 dall'intervallo `169.254.0.0/16`. Il blocco CIDR deve essere unico per tutte le connessioni Site-to-Site VPN che utilizzano lo stesso gateway privato virtuale. Il blocco CIDR non deve essere univoco per tutte le connessioni su un gateway di transito. Tuttavia, se non sono univoci, può verificarsi un conflitto sul gateway del cliente. Procedi con cautela quando riutilizzi lo stesso blocco CIDR su più connessioni Site-to-Site VPN su un gateway di transito. I seguenti blocchi CIDR sono riservati e non possono essere utilizzati: + `169.254.0.0/30` + `169.254.1.0/30` + `169.254.2.0/30` + `169.254.3.0/30` + `169.254.4.0/30` + `169.254.5.0/30` + `169.254.169.252/30` Impostazione predefinita: un blocco CIDR IPv4 di dimensione /30 dall'intervallo `169.254.0.0/16`. **Pre-shared archiviazione delle chiavi** Il tipo di archiviazione per la chiave precondivisa: + **Standard**: la chiave precondivisa viene archiviata direttamente nel Site-to-Site servizio VPN. + **Secrets Manager**: la chiave precondivisa viene archiviata utilizzando Gestione dei segreti AWS. Per ulteriori informazioni su Secrets Manager, vedere[Funzionalità di sicurezza avanzate con Secrets Manager](enhanced-security.md). **Larghezza di banda del tunnel** La larghezza di banda supportata per il tunnel. + **Standard**: la larghezza di banda del tunnel è impostata su un massimo di 1,25 Gbps per tunnel (impostazione predefinita). + **Grande**: la larghezza di banda del tunnel è fino a un massimo di 5 Gbps per tunnel. **Nota** **Large** è disponibile solo per le connessioni VPN collegate a un gateway di transito o a Cloud WAN. Non è supportato per le connessioni Virtual Private Gateway. **CIDR IPv6 tunnel interno** (Solo connessioni VPN IPv6) Intervallo di indirizzi IPv6 interni per il tunnel VPN. Puoi specificare un blocco CIDR di dimensione /126 dall'intervallo `fd00::/8` locale. Il blocco CIDR deve essere unico per tutte le connessioni Site-to-Site VPN che utilizzano lo stesso gateway di transito. Se non specifichi una sottorete IPv6, Amazon seleziona automaticamente una sottorete /128 da questo intervallo. Indipendentemente dal fatto che tu specifichi la sottorete o che Amazon la selezioni, Amazon utilizza il primo indirizzo IPv6 utilizzabile nella sottorete per il lato della connessione e la tua parte utilizza il secondo indirizzo IPv6 utilizzabile. Impostazione predefinita: un blocco CIDR IPv6 di dimensione /126 dall'intervallo `fd00::/8` locale. **Tipo di indirizzo IP del tunnel esterno** Il tipo di indirizzo IP per gli indirizzi IP del tunnel esterno (esterno). È possibile specificare una delle seguenti opzioni: + `PrivateIpv4`: utilizza un indirizzo IPv4 privato per distribuire connessioni Site-to-Site VPN tramite Direct Connect. + `PublicIpv4`: (Impostazione predefinita) Utilizza gli indirizzi IPv4 per gli IP del tunnel esterno. + `Ipv6`: utilizza gli indirizzi IPv6 per gli IP del tunnel esterno. Questa opzione è disponibile solo per le connessioni VPN su un gateway di transito o una rete WAN cloud. Quando selezioni`Ipv6`, AWS configura automaticamente gli indirizzi IPv6 del tunnel esterno per il lato AWS dei tunnel VPN. Il dispositivo gateway del cliente deve supportare l'indirizzamento IPv6 ed essere in grado di stabilire tunnel IPsec con endpoint IPv6. Impostazione predefinita: `PublicIpv4` **CIDR rete IPv4 locale** (Solo connessione VPN IPv4) L'intervallo CIDR utilizzato durante la negoziazione IKE di fase 2 per il lato cliente (locale) del tunnel VPN. Questo intervallo viene utilizzato per proporre percorsi ma non impone restrizioni al traffico poiché utilizza esclusivamente VPN basate sulle rotte. AWS Policy-based Le VPN non sono supportate in quanto limiterebbero la capacità di supportare protocolli di routing AWS dinamici e architetture multiregionali. Ciò dovrebbe includere gli intervalli di IP della rete locale che devono comunicare tramite il tunnel VPN. È necessario utilizzare configurazioni appropriate delle tabelle di routing, NAC e gruppi di sicurezza per controllare il flusso di traffico effettivo. Impostazione predefinita: 0.0.0. 0/0 **CIDR rete IPv4 remota** (Solo connessione VPN IPv4) L'intervallo CIDR utilizzato durante la negoziazione IKE di fase 2 per il AWS lato del tunnel VPN. Questo intervallo viene utilizzato per proporre percorsi ma non impone restrizioni sul traffico poiché AWS utilizza esclusivamente VPN basate sulle rotte. AWS non supporta le VPN basate su policy perché mancano della flessibilità richiesta per scenari di routing complessi e sono incompatibili con funzionalità come i gateway di transito e la VPN Equal Cost (ECMP). Multi-Path Per i VPC, questo è in genere l'intervallo CIDR del tuo VPC. Per i gateway di transito, questo potrebbe includere più intervalli CIDR provenienti da VPC collegati o da altre reti. Impostazione predefinita: 0.0.0. 0/0 **CIDR rete IPv6 locale** (Solo connessione VPN IPv6) Intervallo CIDR IPv6 sul lato customer gateway (on-premises) a cui è consentito comunicare tramite i tunnel VPN. Impostazione predefinita: 0 **CIDR rete IPv6 remota** (Solo connessione VPN IPv6) L'intervallo CIDR IPv6 sul AWS lato a cui è consentito comunicare attraverso i tunnel VPN. Impostazione predefinita: 0 **Numeri del gruppo Fase 1 (DH) Diffie-Hellman ** I numeri di gruppo DH consentiti per il tunnel VPN per la fase 1 delle negoziazioni IKE. Puoi specificare uno o più dei valori predefiniti. Valori predefiniti: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24 **Numeri del gruppo Fase 2 Diffie-Hellman (DH)** I numeri di gruppo DH consentiti per il tunnel VPN per la fase 2 delle negoziazioni IKE. Puoi specificare uno o più dei valori predefiniti. Valori predefiniti: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24 **Algoritmi di crittografia fase 1** Gli algoritmi di crittografia consentiti per il tunnel VPN per la fase 1 delle negoziazioni IKE. Puoi specificare uno o più dei valori predefiniti. Impostazioni predefinite: AES128, AES256, AES128-GCM-16 AES256-GCM-16 **Algoritmi di crittografia fase 2** Gli algoritmi di crittografia consentiti per il tunnel VPN per la fase 2 delle negoziazioni IKE. Puoi specificare uno o più dei valori predefiniti. Impostazioni predefinite: AES128, AES256, AES128-GCM-16 AES256-GCM-16 **Algoritmi di integrità fase 1** Gli algoritmi di integrità consentiti per il tunnel VPN per la fase 1 delle negoziazioni IKE. Puoi specificare uno o più dei valori predefiniti. Valori predefiniti: SHA1,, SHA2-256 SHA2-384 SHA2-512 **Algoritmi di integrità fase 2** Gli algoritmi di integrità consentiti per il tunnel VPN per la fase 2 delle negoziazioni IKE. Puoi specificare uno o più dei valori predefiniti. Valori predefiniti: SHA1,, SHA2-256 SHA2-384 SHA2-512 **Durata della fase 1** AWS avvia le rechiavi con i valori di temporizzazione impostati nei campi Durata fase 1 e Durata fase 2. Se tali durate sono diverse dai valori di handshake negoziati, ciò potrebbe interrompere la connettività del tunnel. La durata in secondi per la fase 1 delle negoziazioni IKE. Puoi specificare un numero compreso tra 900 e 28.800. Impostazione predefinita: 28.800 (8 ore) **Durata della fase 2** AWS avvia le rechiavi con i valori di temporizzazione impostati nei campi Durata della fase 1 e Durata della fase 2. Se tali durate sono diverse dai valori di handshake negoziati, ciò potrebbe interrompere la connettività del tunnel. La durata in secondi per la fase 2 delle negoziazioni IKE. Puoi specificare un numero compreso tra 900 e 3.600. Il numero specificato deve essere inferiore al numero di secondi di durata della fase 1. Impostazione predefinita: 3.600 (1 ora) **Pre-shared chiave (PSK)** La chiave precondivisa (PSK) per stabilire l'associazione di sicurezza Internet Key Exchange (IKE) tra il gateway di destinazione e il gateway del cliente. La PSK deve Essere compresa tra 8 e 64 caratteri di lunghezza e non può iniziare con zero (0). Sono consentiti caratteri alfanumerici, spazi, trattini, punti (.) e trattini bassi (\_). Impostazione predefinita: una stringa alfanumerica di 32 caratteri. **Fuzz di emissione nuova chiave** La percentuale della finestra di rekey (determinata dal tempo di margine di rekey) entro la quale il tempo di rekey viene selezionato in modo casuale. È possibile specificare un valore percentuale compreso tra 0 e 100. Impostazione predefinita: 100 **Tempo di margine di emissione nuova chiave** Il tempo di margine, in secondi, prima della scadenza del periodo di vita della fase 1 e della fase 2, durante il quale il AWS lato della connessione VPN esegue una modifica IKE. Puoi specificare un numero compreso tra 60 e metà del valore di durata della fase 2. L'ora esatta di emissione nuova chiave viene selezionata in modo casuale in base al valore di fuzz di emissione nuova chiave. Impostazione predefinita: 270 (4,5 minuti) **Pacchetti dimensioni finestra di riproduzione** Il numero di pacchetti in una finestra di riproduzione IKE. Puoi specificare un valore compreso tra 64 e 2048. Impostazione predefinita: 1024 **Azione di avvio** L'azione da intraprendere quando si stabilisce il tunnel per una connessione VPN. È possibile specificare quanto segue: + `Start`: AWS avvia la negoziazione IKE per aprire il tunnel. Supportato solo se il gateway del cliente è configurato con un indirizzo IP. + `Add`: il dispositivo gateway del cliente deve avviare la negoziazione IKE per attivare il tunnel. Per ulteriori informazioni, consulta [AWS Site-to-Site VPN opzioni di avvio del tunnel](initiate-vpn-tunnels.md). Default: `Add` **Controllo del tunnel** Il controllo del ciclo di vita degli endpoit del tunnel consente di controllare la pianificazione delle sostituzioni degli endpoint. Per ulteriori informazioni, consulta [AWS Site-to-Site VPN controllo del ciclo di vita degli endpoint del tunnel](tunnel-endpoint-lifecycle.md). Default: `Off` È possibile specificare le opzioni del tunnel quando si crea una connessione Site-to-Site VPN oppure modificare le opzioni del tunnel per una connessione VPN esistente. Per ulteriori informazioni, consulta i seguenti argomenti: + [Fase 5: creazione di una connessione VPN](SetUpVPNConnections.md#vpn-create-vpn-connection) + [Modificare le opzioni AWS Site-to-Site VPN del tunnel](modify-vpn-tunnel-options.md)