Arquivos de configuração de roteamento estático que podem ser baixados para um dispositivo de gateway do cliente do AWS Site-to-Site VPN - AWS Site-to-Site VPN
Dispositivos Cisco: informações adicionais

Arquivos de configuração de roteamento estático que podem ser baixados para um dispositivo de gateway do cliente do AWS Site-to-Site VPN

Para baixar um arquivo de configuração de exemplo com valores específicos para sua configuração de conexão de Site-to-Site VPN, use o console da Amazon VPC, a linha de comando da AWS ou a API do Amazon EC2. Para obter mais informações, consulte Etapa 6: baixar o arquivo de configuração.

Você também pode baixar arquivos de configuração de exemplo genéricos para roteamento estático que não incluem valores específicos para sua configuração de conexão Site-to-Site VPN: static-routing-examples.zip

Os arquivos usam valores de espaço reservado para alguns componentes. Por exemplo, eles usam:

  • Valores de exemplo para o ID da conexão VPN, ID do gateway do cliente e ID do gateway privado virtual

  • Espaços reservados para os endpoints da AWS com endereços IP remotos (externos) (AWS_ENDPOINT_1 e AWS_ENDPOINT_2)

  • Um espaço reservado para o endereço IP da interface externa roteável pela Internet no dispositivo de gateway do cliente (your-cgw-ip-address)

  • Um espaço reservado para o valor da chave pré-compartilhada (chave pré-compartilhada)

  • Valores de exemplo para o túnel dentro de endereços IP.

  • Valores de exemplo para a configuração de MTU.

nota

As configurações de MTU fornecidas nos arquivos de configuração de amostra são apenas exemplos. Consulte Práticas recomendadas para o dispositivo de gateway do cliente do AWS Site-to-Site VPN para obter informações sobre como definir o valor MTU ideal para a sua situação.

Além de fornecer valores de espaço reservado, os arquivos especificam os requisitos mínimos para uma conexão Site-to-Site VPN de AES128, SHA1 e Diffie-Hellman grupo 2 na maioria das regiões da AWS, e AES128, SHA2 e Diffie-Hellman grupo 14 nas regiões AWS GovCloud. Eles também especificam chaves pré-compartilhadas para autenticação. É necessário modificar o arquivo de configuração de exemplo para usufruir dos algoritmos de segurança adicionais, grupos Diffie-Hellman, certificados privados e tráfego IPv6.

O diagrama a seguir fornece uma visão geral dos diferentes componentes configurados no dispositivo de gateway do cliente. Ele inclui valores de exemplo para os endereços IP da interface do túnel.

Dispositivo de gateway do cliente com roteamento estático

Dispositivos Cisco: informações adicionais

Alguns Cisco ASA comportam apenas o modo ativo/espera. Ao usar um Cisco ASA, é possível ter somente um túnel ativo por vez. O outro túnel em espera ficará ativo se o primeiro túnel ficar indisponível. Com essa redundância, você sempre deverá ter conectividade com sua VPC por meio de um dos túneis.

Cisco ASAs de versão 9.7.1 e ou posterior são compatíveis com o modo Ativo/Ativo. Ao usar esses Cisco ASAs, você pode ter os dois túneis ativos ao mesmo tempo. Com essa redundância, você sempre deverá ter conectividade com sua VPC por meio de um dos túneis.

Para dispositivos Cisco, é necessário fazer o seguinte:

  • Configurar a interface externa.

  • Garantir que o número Crypto ISAKMP Policy Sequence seja exclusivo.

  • Garanta que o número Crypto List Policy Sequence seja exclusivo.

  • Garantir que Crypto IPsec Transform Set e Crypto ISAKMP Policy Sequence sejam condizentes com qualquer outro túnel IPsec configurado no dispositivo.

  • Garantir que o número de monitoramento de SLA seja exclusivo.

  • Configurar todo o roteamento interno que move o tráfego entre o gateway do cliente e a rede local.