View a markdown version of this page

Configurar opções de túnel para AWS Site-to-Site VPN - AWS Site-to-Site VPN

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar opções de túnel para AWS Site-to-Site VPN

Esta seção fornece orientação abrangente sobre a configuração de opções de túnel para AWS Site-to-Site VPN conexões, abrangendo parâmetros essenciais, como detecção de pares mortos, versões IKE e configurações de criptografia. Você pode personalizar essas opções de túnel para otimizar a segurança, o desempenho e a compatibilidade da sua conexão VPN com sua infraestrutura de rede local.

Veja a seguir as opções de túnel que você pode configurar.

nota

Algumas opções de túnel têm vários valores padrão. Por exemplo, as versões IKE têm dois valores de opção de túnel padrão: ikev1 e ikev2. Todos os valores padrão serão associados a essa opção de túnel se você não escolher valores específicos. Clique para remover qualquer valor padrão que você não queira associar à opção de túnel. Por exemplo, se você quiser usar ikev1 apenas para a versão IKE, clique em ikev2 para removê-lo.

Tempo limite do Dead Peer Detection (DPD)

A duração, em segundos, após a qual ocorre o tempo limite do DPD. Um tempo limite de DPD de 30 segundos significa que o endpoint da VPN considerará o par morto 30 segundos após a primeira falha no keep-alive. É possível especificar 30 ou superior.

Padrão: 60

Ação de tempo limite do DPD

A ação a ser executada após atingir o tempo limite do Dead Peer Detection (DPD). É possível especificar o seguinte:

  • Clear: finalizar a sessão do protocolo IKE quando o tempo limite do DPD for atingido (interromper o túnel e limpar as rotas)

  • None: nenhuma ação quando o tempo limite do DPD for atingido

  • Restart: reiniciar a sessão do protocolo IKE quando o tempo limite do DPD for atingido

Para obter mais informações, consulte AWS Site-to-Site VPN opções de iniciação de túnel.

Padrão: Clear

Opções de registro em log da VPN

Com os registros de Site-to-Site VPN, você pode obter acesso a detalhes sobre o estabelecimento de túneis de Segurança IP (IPsec), negociações do Internet Key Exchange (IKE) e mensagens do protocolo Dead Peer Detection (DPD).

Para obter mais informações, consulte AWS Site-to-Site VPN troncos.

Formatos de log disponíveis: json, text

Versões do IKE

As versões do IKE que são permitidas para o túnel VPN. É possível especificar um ou mais dos valores padrão.

Padrões: ikev1, ikev2

CIDR de IPv4 do túnel interno

O intervalo de endereços IPv4 internos para o túnel de VPN. É possível especificar um bloco CIDR de tamanho /30 a partir do intervalo 169.254.0.0/16. O bloco CIDR deve ser exclusivo em todas as conexões Site-to-Site VPN que usam o mesmo gateway privado virtual.

nota

O bloco CIDR não precisa ser exclusivo em todas as conexões em um gateway de trânsito. No entanto, se eles não forem exclusivos, isso pode criar um conflito no gateway do cliente. Prossiga com cuidado ao reutilizar o mesmo bloco CIDR em várias conexões Site-to-Site VPN em um gateway de trânsito.

Os seguintes blocos CIDR são reservados e não podem ser usados:

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

Padrão: um bloco CIDR IPv4 de tamanho /30 do intervalo 169.254.0.0/16.

Pre-shared armazenamento de chaves

O tipo do armazenamento para a chave pré-compartilhada:

  • Padrão — A chave pré-compartilhada é armazenada diretamente no serviço Site-to-Site VPN.

  • Secrets Manager — A chave pré-compartilhada é armazenada usando AWS Secrets Manager. Para ter mais informações sobre o Secrets Manager, consulte Recursos de segurança aprimorados usando o Secrets Manager.

Largura de banda do túnel

A largura de banda suportada pelo túnel.

  • Padrão — A largura de banda do túnel é definida para um máximo de até 1,25 Gbps por túnel (padrão).

  • Grande — A largura de banda do túnel até um máximo de até 5 Gbps por túnel.

    nota

    A opção Large só está disponível para conexões VPN conectadas a um gateway de trânsito ou à Cloud WAN. Ele não é compatível com conexões de gateway privado virtual.

CIDR de IPv6 do túnel interno

(Somente conexões VPN IPv6) O intervalo de endereços IPv6 internos para o túnel de VPN. É possível especificar um bloco CIDR de tamanho /126 a partir do intervalo fd00::/8 local. O bloco CIDR deve ser exclusivo em todas as conexões Site-to-Site VPN que usam o mesmo gateway de trânsito. Se você não especificar uma sub-rede IPv6, a Amazon selecionará automaticamente uma sub-rede /128 desse intervalo. Independentemente de você especificar a sub-rede ou de a Amazon a selecionar, a Amazon usa o primeiro endereço IPv6 utilizável na sub-rede do lado da conexão dela e seu lado usa o segundo endereço IPv6 utilizável.

Padrão: um bloco CIDR IPv6 de tamanho /126 do intervalo fd00::/8 local.

Tipo de endereço IP do túnel externo

O tipo de endereço IP para os endereços IP do túnel externo. É possível especificar um dos seguintes:

  • PrivateIpv4: use o endereço IPv4 privado para implantar conexões Site-to-Site VPN pelo Direct Connect.

  • PublicIpv4: (padrão) use endereços IPv4 para os IPs de túnel externo.

  • Ipv6: use endereços IPv6 para os IPs de túnel externo. Essa opção só está disponível para conexões VPN em um gateway de trânsito ou Cloud WAN.

Quando você seleciona Ipv6, a AWS configura automaticamente os endereços IPv6 dos túneis VPN externos do lado da AWS. O dispositivo de gateway do cliente deve permitir endereçamento IPv6 e ser capaz de estabelecer túneis IPsec com endpoints IPv6.

Padrão: PublicIpv4

CIDR de rede IPv4 local

(Somente conexão VPN IPv4) O intervalo CIDR usado durante a negociação da fase 2 da IKE para o cliente (ambiente on-premises) do túnel VPN. Esse intervalo é usado para propor rotas, mas não impõe restrições de tráfego, pois AWS usa exclusivamente VPNs baseadas em rotas. Policy-based As VPNs não são suportadas, pois AWS limitariam a capacidade de oferecer suporte a protocolos de roteamento dinâmico e arquiteturas multirregionais. Isso deve incluir os intervalos de IP da sua rede on-premises que precisam se comunicar pelo túnel VPN. Configurações de tabela de rotas, NACLs e grupos de segurança adequados devem ser usados para controlar o fluxo de tráfego real.

Padrão: 0.0.0. 0/0

CIDR de rede IPv4 remota

(Somente conexão VPN IPv4) O intervalo CIDR usado durante a negociação da fase 2 do IKE para o AWS lado do túnel VPN. Esse intervalo é usado para propor rotas, mas não impõe restrições de tráfego, pois a AWS usa exclusivamente VPNs baseadas em rotas. A AWS não oferece suporte a VPNs baseadas em políticas porque elas não têm a flexibilidade necessária para cenários complexos de roteamento e são incompatíveis com recursos como gateways de trânsito e VPN Equal Cost (ECMP). Multi-Path Para VPCs, esse geralmente é o intervalo CIDR da sua VPC. Para gateways de trânsito, isso pode incluir vários intervalos CIDR de VPCs conectadas ou de outra rede.

Padrão: 0.0.0. 0/0

CIDR de rede IPv6 local

(Somente conexão VPN IPv6) O intervalo CIDR IPv6 no gateway do cliente (local) que tem permissão para se comunicar pelos túneis de VPN.

Padrão: ::/0

CIDR de rede IPv6 remota

(Somente conexão VPN IPv6) O intervalo CIDR IPv6 no AWS lado que tem permissão para se comunicar pelos túneis VPN.

Padrão: ::/0

Números do grupo da fase 1 Diffie-Hellman (DH)

Os números de grupos DH que são permitidos para o túnel VPN para a fase 1 das negociações de IKE. É possível especificar um ou mais dos valores padrão.

Padrões: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Números do grupo da fase 2 Diffie-Hellman (DH)

Os números de grupos DH que são permitidos para o túnel VPN para a fase 2 das negociações de IKE. É possível especificar um ou mais dos valores padrão.

Padrões: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Fase 1 Algoritmos de criptografia

Os algoritmos de criptografia permitidos para o túnel VPN para a fase 1 das negociações de IKE. Você pode especificar um ou mais dos valores padrão.

Padrões: AES128, AES256,, AES128-GCM-16 AES256-GCM-16

Fase 2 Algoritmos de criptografia

Os algoritmos de criptografia permitidos para o túnel VPN para a fase 2 das negociações de IKE. Você pode especificar um ou mais dos valores padrão.

Padrões: AES128, AES256,, AES128-GCM-16 AES256-GCM-16

Fase 1 Algoritmos de integridade

Os algoritmos de integridade permitidos para o túnel VPN para a fase 1 das negociações de IKE. Você pode especificar um ou mais dos valores padrão.

Padrões: SHA1,,, SHA2-256 SHA2-384 SHA2-512

Fase 2 Algoritmos de integridade

Os algoritmos de integridade permitidos para o túnel VPN para a fase 2 das negociações de IKE. Você pode especificar um ou mais dos valores padrão.

Padrões: SHA1,,, SHA2-256 SHA2-384 SHA2-512

Tempo de vida da fase 1
nota

AWS inicie as rechaves com os valores de tempo definidos nos campos Vida útil da Fase 1 e Vida útil da Fase 2. Se as vidas úteis forem diferentes dos valores negociados no handshake, isso poderá interromper a conectividade do túnel.

O tempo de vida em segundos da fase 1 da negociação de IKE. É possível especificar um número entre 900 e 28.800.

Padrão: 28.800 (8 horas)

Tempo de vida da fase 2
nota

AWS inicie as rechaves com os valores de tempo definidos nos campos Vida útil da Fase 1 e Vida útil da Fase 2. Se as vidas úteis forem diferentes dos valores negociados no handshake, isso poderá interromper a conectividade do túnel.

O tempo de vida em segundos da fase 2 da negociação de IKE. É possível especificar um número entre 900 e 3.600. O número especificado deve ser menor que o número de segundos para a vida útil da fase 1.

Padrão: 3.600 (1 hora)

Pre-shared chave (PSK)

Chave pré-compartilhada (PSK) para estabelecer a associação de IKE (Internet key exchange – Troca de chaves da Internet) inicial entre o gateway de destino e o gateway do cliente.

O PSK deve estar entre 8 e 64 caracteres de extensão e não pode começar com zero (0). Os caracteres permitidos são alfanuméricos, pontos (.) e sublinhados (_).

Padrão: uma string de 32 caracteres alfanuméricos.

Fuzz de rechaveamento

A porcentagem da janela de rechaveamento (determinada pelo tempo de margem de rechaveamento) dentro da qual o tempo de rechaveamento é selecionado aleatoriamente.

É possível especificar um valor percentual entre 0 e 100.

Padrão: 100

Tempo de margem de rechaveamento

O tempo de margem em segundos antes da expiração da vida útil das fases 1 e 2, durante o qual o AWS lado da conexão VPN executa uma rechave IKE.

É possível especificar um número entre 60 e metade do valor de vida útil da fase 2.

A hora exata do rechaveamento é selecionada aleatoriamente com base no valor de fuzz de rechaveamento.

Padrão: 270 (4,5 minutos)

Reproduzir pacotes de tamanho da janela

O número de pacotes em uma janela de reprodução de IKE.

É possível especificar um valor entre 64 e 2048.

Padrão: 1024

Ação de inicialização

A ação a ser realizada ao estabelecer o túnel para uma conexão VPN. É possível especificar o seguinte:

  • Start: AWS inicia a negociação do IKE para abrir o túnel. Somente compatível se o gateway do cliente estiver configurado com um endereço IP.

  • Add: o dispositivo de gateway do cliente deve iniciar a negociação do protocolo IKE para ativar o túnel.

Para obter mais informações, consulte AWS Site-to-Site VPN opções de iniciação de túnel.

Padrão: Add

Controle de ciclo de vida do endpoint de túnel

O controle de ciclo de vida do endpoint de túnel oferece controle sobre o cronograma de substituições de endpoints.

Para obter mais informações, consulte AWS Site-to-Site VPN controle do ciclo de vida do endpoint do túnel.

Padrão: Off

Você pode especificar as opções de túnel ao criar uma conexão Site-to-Site VPN ou pode modificar as opções de túnel para uma conexão VPN existente. Para saber mais, consulte os seguintes tópicos: