Opções de iniciação do protocolo IKE de túnel da VPN Regras e limitações Trabalhar com opções de iniciação de túnel da VPN

AWS Site-to-Site VPNOpções de iniciação de túnel do

Por padrão, o dispositivo de gateway do cliente deve ativar os túneis para a conexão da Site-to-Site VPN gerando tráfego e iniciando o processo de negociação do protocolo IKE. É possível configurar os túneis da VPN para especificar que a AWS deve iniciar ou reiniciar o processo de negociação do protocolo IKE.

Opções de iniciação do protocolo IKE de túnel da VPN

As seguintes opções de iniciação do protocolo IKE estão disponíveis. É possível implementar uma ou ambas as opções para um ou ambos os túneis da conexão da Site-to-Site VPN. Consulte Opções de túnel VPN para obter mais detalhes sobre essas e outras configurações de opções de túnel.

Ação de inicialização: a ação a ser executada ao estabelecer o túnel da VPN para uma conexão VPN nova ou modificada. Por padrão, o dispositivo de gateway do cliente inicia o processo de negociação do protocolo IKE para ativar o túnel Em vez disso, você pode especificar que a AWS deve iniciar o processo de negociação do protocolo IKE.
Ação de tempo limite do DPD: a ação a ser executada após atingir o tempo limite do Dead Peer Detection (DPD). Por padrão, a sessão do protocolo IKE é interrompida, o túnel fica inativo e as rotas são removidas. É possível especificar que a AWS deve reiniciar a sessão do protocolo IKE quando o tempo limite do DPD é atingido, ou você pode especificar que a AWS não deve executar nenhuma ação quando o tempo limite do DPD é atingido.

Regras e limitações

As seguintes regras e limitações são aplicáveis:

Para iniciar a negociação do protocolo IKE, a AWS requer o endereço IP público do dispositivo de gateway do cliente. Se você configurou a autenticação baseada em certificado para a conexão VPN e não especificou um endereço IP ao criar o recurso de gateway do cliente na AWS, será necessário criar outro gateway do cliente e especificar o endereço IP. Depois, modifique a conexão VPN e especifique o novo gateway do cliente. Para obter mais informações, consulte Alterar o gateway do cliente para uma conexão do AWS Site-to-Site VPN.
A iniciação do protocolo (ação de inicialização) IKE do lado da AWS da conexão VPN é compatível somente com IKEv2.
Se estiver usando a iniciação IKE no lado AWS da conexão VPN, saiba que ela não inclui uma configuração de tempo limite. Ela tentará continuamente estabelecer uma conexão até conseguir. Além disso, o lado da conexão VPN da AWS reiniciará a negociação do IKE ao receber uma mensagem SA de exclusão do gateway do cliente.
Se o dispositivo de gateway do cliente estiver atrás de um firewall ou de outro dispositivo usando a Conversão de endereços de rede (NAT), ele deverá ter uma identidade (IDr) configurada. Para obter mais informações sobre o IDr, consulte RFC 7296.

Se você não configurar a iniciação do protocolo IKE do lado da AWS para o túnel VPN e a conexão VPN passar por um período ocioso (geralmente 10 segundos, dependendo da configuração), o túnel poderá ficar inativo. Para evitar isso, você pode usar uma ferramenta de monitoramento de rede que envie pings keepalive.

Trabalhar com opções de iniciação de túnel da VPN

Para obter mais informações sobre como trabalhar com opções de iniciação de túnel da VPN, consulte os seguintes tópicos:

Para criar uma conexão VPN e especificar as opções de iniciação de túnel da VPN: Etapa 5: criar uma conexão VPN
Para modificar as opções de iniciação de túnel da VPN em uma conexão VPN existente: Modificar opções de túnel de AWS Site-to-Site VPN

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Opções de autenticação de túnel VPN

Substituições de endpoint