本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Site-to-Site VPN 隧道启动选项
<a name="initiate-vpn-tunnels"></a>

默认情况下，您的客户网关设备必须通过生成流量和启动 Internet 密钥交换 (IKE) 协商过程来开通 Site-to-Site VPN 连接的隧道。您可以将 VPN 隧道配置为指定 AWS 必须改为启动或重新启动 IKE 协商进程。

## VPN 隧道 IKE 启动选项
<a name="ike-initiation-options"></a>

以下 IKE 启动选项可用。您可以为 Site-to-Site VPN 连接中的一条或两条隧道实施其中一个或两个选项。有关这些设置和其他隧道选项设置的更多详细信息，请参阅[VPN 隧道选项](VPNTunnels.md)。
+ **启动操作**：为新的或修改的 VPN 连接建立 VPN 隧道时要执行的操作。默认情况下，您的客户网关设备启动 IKE 协商过程以启动隧道。您可以指定 AWS 必须改为启动 IKE 协商进程。
+ **DPD 超时操作**：发生失效对端检测 (DPD) 超时后要采取的操作。默认情况下，IKE 会话停止，隧道关闭，路由将被移除。您可以指定在 DPD 超时发生时 AWS 必须重新启动 IKE 会话，也可以指定在 DPD 超时发生时 AWS 不得采取任何操作。

## 规则和限制
<a name="ike-initiation-rules"></a>

以下规则和限制适用：
+ 要启动 IKE 协商， AWS 需要您的客户网关设备的公有 IP 地址。如果您为 VPN 连接配置了基于证书的身份验证，并且在中创建客户网关资源时未指定 IP 地址 AWS，则必须创建新的客户网关并指定 IP 地址。然后，修改 VPN 连接并指定新的客户网关。有关更多信息，请参阅 [更改 AWS Site-to-Site VPN 连接的客户网关](change-vpn-cgw.md)。
+  IKEv2 仅支持从 VPN 连接 AWS 侧启动 IKE（启动操作）。
+ 如果从 VPN 连接 AWS 侧使用 IKE 初始化，则不包括超时设置。它会不断尝试建立连接，直到建立连接。此外，当 VPN 连接 AWS 端收到来自您的客户网关的 delete SA 消息时，它将重新启动 IKE 协商。
+ 如果您的客户网关设备位于防火墙或其他使用网络地址转换 (NAT) 的设备后面，则必须配置身份 (IDr)。有关的更多信息 IDr，请参阅 [RFC 7296](https://datatracker.ietf.org/doc/html/rfc7296)。

如果您没有从 AWS 侧面为 VPN 隧道配置 IKE 初始化，并且 VPN 连接有一段空闲时间（通常为 10 秒，具体取决于您的配置），则隧道可能会中断。为防止发生此问题，您可以使用网络监控工具来生成 keepalive Ping。

## 使用 VPN 隧道启动选项
<a name="working-with-ike-initiation-options"></a>

有关使用 VPN 隧道启动选项的更多信息，请参阅以下主题：
+ 要创建新的 VPN 连接并指定 VPN 隧道启动选项，请执行以下操作：[步骤 5：创建 VPN 连接](SetUpVPNConnections.md#vpn-create-vpn-connection)
+ 要修改现有 VPN 连接的 VPN 隧道启动选项，请执行以下操作：[修改 AWS Site-to-Site VPN 隧道选项](modify-vpn-tunnel-options.md)