AWS Site-to-Site VPN 隧道启动选项
默认情况下,您的客户网关设备必须通过生成流量并启动 Internet 密钥交换(IKE)协商过程来为 Site-to-Site VPN 连接启动隧道。您可以配置 VPN 隧道,指定 AWS 必须启动或重新启动 IKE 协商过程。
VPN 隧道 IKE 启动选项
以下 IKE 启动选项可用。您可以为 Site-to-Site VPN 连接中的一个或两个隧道实施任一选项或这两个选项。有关这些设置和其他隧道选项设置的更多详细信息,请参阅VPN 隧道选项。
-
启动操作:为新的或修改的 VPN 连接建立 VPN 隧道时要执行的操作。默认情况下,您的客户网关设备启动 IKE 协商过程以启动隧道。您可以指定 AWS 必须启动 IKE 协商流程。
-
DPD 超时操作:发生失效对端检测 (DPD) 超时后要采取的操作。默认情况下,IKE 会话停止,隧道关闭,路由将被移除。您可以指定 AWS 在发生 DPD 超时时必须重新启动 IKE 会话,也可以指定 AWS 在发生 DPD 超时时不得采取任何操作。
规则和限制
以下规则和限制适用:
-
要启动 IKE 协商,AWS 需要您的客户网关设备的公有 IP 地址。如果您为 VPN 连接配置了基于证书的身份验证,并且您在 AWS 中创建客户网关资源时未指定 IP 地址,则必须创建新的客户网关并指定 IP 地址。然后,修改 VPN 连接并指定新的客户网关。有关更多信息,请参阅 更改 AWS Site-to-Site VPN 连接的客户网关。
-
仅对于 IKEv2 支持从 VPN 连接的 AWS 端启动 IKE(启动操作)。
-
如果从 VPN 连接的 AWS 侧使用 IKE 启动,则不包括超时设置。它会不断尝试建立连接,直到建立连接。此外,当 AWS 端的 VPN 连接从您的客户网关收到 Delete_SA 消息时,它将重新启动 IKE 协商。
-
如果您的客户网关设备位于使用网络地址转换 (NAT) 的防火墙或其他设备后面,则它必须配置有身份 (IDr)。有关 IDr 的更多信息,请参阅 RFC 7296
。
如果您没有配置从 VPN 隧道的 AWS 端启动 IKE,并且 VPN 连接经历了一段空闲时间(通常为 10 秒,具体取决于您的配置),则隧道可能会关闭。为防止发生此问题,您可以使用网络监控工具来生成 keepalive Ping。
使用 VPN 隧道启动选项
有关使用 VPN 隧道启动选项的更多信息,请参阅以下主题:
-
要创建新的 VPN 连接并指定 VPN 隧道启动选项,请执行以下操作:步骤 5:创建 VPN 连接
-
要修改现有 VPN 连接的 VPN 隧道启动选项,请执行以下操作:修改 AWS Site-to-Site VPN 隧道选项
