选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

AWS Site-to-Site VPN 客户网关设备的可下载动态路由配置文件

聚焦模式

本页内容

AWS Site-to-Site VPN 客户网关设备的可下载动态路由配置文件 - AWS Site-to-Site VPN

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

要下载包含特定于您的 Site-to-SiteVPN连接配置的值的示例配置文件,请使用亚马逊VPC控制台、 AWS 命令行或亚马逊EC2API。有关更多信息,请参阅 步骤 6:下载配置文件

您也可以下载不包含特定于您的 Site-to-SiteVPN连接配置的值的动态路由的通用示例配置文件:dynamic-routing-examples. zip

这些文件对某些组件使用占位符值。例如,它们使用:

  • VPN连接 ID、客户网关 ID 和虚拟专用网关 ID 的示例值

  • 远程(外部)IP 地址 AWS 端点的占位符(AWS_ENDPOINT_1AWS_ENDPOINT_2

  • 客户网关设备上可路由互联网的外部接口 IP 地址的占位符 () your-cgw-ip-address

  • 预共享密钥值的占位符 () pre-shared-key

  • IP 地址内的隧道的示例值。

  • MTU设置值示例。

注意

MTU示例配置文件中提供的设置仅为示例。AWS Site-to-Site VPN 客户网关设备的最佳实践有关根据您的情况设置最佳MTU值的信息,请参阅。

除了提供占位符值外,这些文件还指定了 Site-to-SiteVPN连接大多数区域的、和 Diffie-Hellman 组 2 的最低要求,以及 AWS 区域中的AES128SHA1、和 Diffie-Hellman 组 AES128 14 SHA2 的最低连接要求。 AWS GovCloud它们还指定用于身份验证的预共享密钥。您必须修改示例配置文件以利用其他安全算法、Diffie-Hellman 组、私有证书和流量。IPv6

下图概述了在客户网关设备上配置的各种组件。它包括隧道接口 IP 地址的示例值。

带动态路由的客户网关设备

Cisco 设备:其他信息

某些 Cisco ASAs 仅支持活动/待机模式。使用这些 Cisco 时ASAs,一次只能有一个活动隧道。仅在第一个隧道不可用的情况下,备用隧道才可用。有了这种冗余,您应该始终VPC可以通过其中一条隧道连接到您的隧道。

Cis ASAs co 9.7.1 及更高版本支持主动/主动模式。使用这些 Cisco 时ASAs,可以同时激活两条隧道。有了这种冗余,您应该始终VPC可以通过其中一条隧道连接到您的隧道。

对于 Cisco 设备,您必须执行以下操作:

  • 配置外部接口。

  • 确保加密ISAKMP策略序列号是唯一的。

  • 确保 Crypto 列表策略序列号具有唯一性。

  • 确保加密IPsec转换集和加密ISAKMP策略序列与设备上配置的任何其他IPsec隧道协调一致。

  • 确保SLA监控号码是唯一的。

  • 对在客户网关设备和您的本地网络之间传输流量的所有路由选择进行配置。

Juniper 设备:其他信息

以下信息适用于瞻博网络 J 系列和SRX客户网关设备的示例配置文件。

  • 外部接口被称为ge-0/0/0.0

  • 隧道接口IDs称为st0.1st0.2

  • 确保您识别上行链路接口的安全区(配置信息使用默认的“untrust”区)。

  • 确保您识别内部接口的安全区(配置信息使用默认的“trust”区)。

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。