本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Site-to-Site VPN 通道啟動選項
<a name="initiate-vpn-tunnels"></a>

根據預設，您的客戶閘道裝置必須透過產生流量並啟動網際網路金鑰交換 (IKE) 交涉程序，為您的站台對站台 VPN 連接開啟通道。您可以設定 VPN 通道來指定 AWS 必須啟動或重新啟動 IKE 交涉程序。

## VPN 通道 IKE 啟動選項
<a name="ike-initiation-options"></a>

您可以使用下列 IKE 啟動選項。您可以針對 Site-to-Site VPN 連線中的一或兩個通道實作任一個或兩個選項。如需這些和其他通道選項設定的詳細資訊，請參閱 [VPN 通道選項](VPNTunnels.md)。
+ **啟動動作**：為新的或修改的 VPN 連線建立 VPN 通道時要採取的動作。根據預設，您的客戶閘道裝置會啟動 IKE 交涉程序來啟動通道。您可以指定 AWS 必須改為啟動 IKE 交涉程序。
+ **DPD 逾時動作**：發生無效對等偵測 (DPD) 逾時之後要採取的動作。根據預設，IKE 工作階段會停止、關閉通道，並移除路由。您可以指定 AWS 必須在 DPD 逾時發生時重新啟動 IKE 工作階段，也可以指定 在 DPD 逾時發生時不 AWS 採取任何動作。

## 規則與限制
<a name="ike-initiation-rules"></a>

下列為適用規則和限制：
+ 若要啟動 IKE 交涉， AWS 需要客戶閘道裝置的公有 IP 地址。如果您為 VPN 連線設定憑證型身分驗證，且在其中建立客戶閘道資源時未指定 IP 地址 AWS，則必須建立新的客戶閘道並指定 IP 地址。然後，修改 VPN 連線，並指定新的客戶閘道。如需詳細資訊，請參閱[變更 AWS Site-to-Site VPN 連線的客戶閘道](change-vpn-cgw.md)。
+ IKEv2 僅支援 VPN 連接 AWS 端的 IKE 啟動 （啟動動作）。 IKEv2 
+ 如果從 VPN 連接 AWS 端使用 IKE 起始，則不包含逾時設定。它將持續嘗試建立連線，直到成功為止。此外，VPN 連線的 AWS 端會在從客戶閘道收到刪除 SA 訊息時重新啟動 IKE 交涉。
+ 如果您的客戶閘道裝置位於防火牆或其他使用網路位址轉譯 (NAT) 的裝置後面，則必須設定識別碼 (IDr)。如需 IDr 的詳細資訊，請參閱 [RFC 7296](https://datatracker.ietf.org/doc/html/rfc7296)。

如果您未針對 VPN 通道從 AWS 端設定 IKE 起始，且 VPN 連接經歷閒置時間 （通常為 10 秒，視您的組態而定），則通道可能會關閉。若要避免這種情況，您可以使用網路監控工具來產生持續作用 ping。

## 使用 VPN 通道啟動選項
<a name="working-with-ike-initiation-options"></a>

如需使用 VPN 通道啟動選項的詳細資訊，請參閱下列主題：
+ 建立新的 VPN 連接並指定 VPN 通道啟動選項：[步驟 5：建立 VPN 連接](SetUpVPNConnections.md#vpn-create-vpn-connection)
+ 修改現有 VPN 連接的 VPN 通道啟動選項：[修改 AWS Site-to-Site VPN 通道選項](modify-vpn-tunnel-options.md)