AWS Site-to-Site VPN
用户指南

入门

按照以下过程手动设置 AWS Site-to-Site VPN 连接。或者,您也可以让 VPC 创建向导为您完成其中的许多步骤。有关使用 VPC 创建向导以设置虚拟专用网关的更多信息,请参阅 Amazon VPC 用户指南 中的场景 3:带有公有子网和私有子网的 VPC 和 AWS Site-to-Site VPN 访问场景 4:仅带有私有子网的 VPC 和 AWS Site-to-Site VPN 访问

要设置 Site-to-Site VPN 连接,您需要完成以下步骤:

这些过程假定您的 VPC 具有一个或多个子网。

创建客户网关

客户网关向 AWS 提供有关您的客户网关设备或软件应用程序的信息。有关更多信息,请参阅客户网关

使用控制台创建客户网关

  1. 打开 Amazon VPC 控制台 https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Customer Gateways,然后选择 Create Customer Gateway

  3. 填写以下信息,然后选择 Create Customer Gateway

    • (可选) 对于 Name,为您的客户网关键入名称。这样做可创建具有 Name 键以及您指定的值的标签。

    • 对于 Routing,选择路由类型。

    • 对于动态路由,为 BGP ASN 键入边界网关协议 (BGP) 自治系统编号 (ASN)。

    • 对于 IP Address,为您的客户网关设备键入静态、可在 Internet 上路由的 IP 地址。如果您的客户网关位于为 NAT-T 而启用的 NAT 设备后面,请使用 NAT 设备的公有 IP 地址。

使用命令行或 API 创建客户网关

创建虚拟专用网关

创建虚拟专用网关时,可以选择为网关的 Amazon 端指定专用自治系统编号 (ASN)。ASN 必须与为客户网关指定的 BGP ASN 不同。

创建虚拟专用网关后,必须将其连接到您的 VPC。

创建虚拟专用网关并将其连接到您的 VPC

  1. 在导航窗格中,依次选择 Virtual Private GatewaysCreate Virtual Private Gateway

  2. (可选) 为虚拟专用网关键入名称。这样做可创建具有 Name 键以及您指定的值的标签。

  3. 对于 ASN,保留默认选择以使用默认的 Amazon ASN。否则,选择 Custom ASN 并键入一个值。对于 16 位 ASN,该值必须在 64512 到 65534 范围内。对于 32 位 ASN,该值必须在 4200000000 到 4294967294 范围内。

  4. 选择 Create Virtual Private Gateway

  5. 选择您已创建的虚拟专用网关,然后依次选择 ActionsAttach to VPC

  6. 从列表中选择您的 VPC ,然后选择 Yes, Attach

使用命令行或 API 创建虚拟专用网关

使用命令行或 API 将虚拟专用网关连接到 VPC

在您的路由表中启用路由传播

要使您 VPC 中的实例可以访问您的客户网关,您必须配置路由表以包含您的 Site-to-Site VPN 连接所使用的路由并将它们指向您的虚拟专用网关。您可以为路由表启用路由传播,从而自动将这些路由传播到表。

对于静态路由,您为 VPN 配置指定的静态 IP 前缀会在 Site-to-Site VPN 连接的状态为 UP 时传播到路由表。同样,对于动态路由,来自客户网关的 BGP 通告路由会在 Site-to-Site VPN 连接的状态为 UP 时传播到路由表。

注意

如果您的连接中断,您的路由表中的任何已传播路由将不会自动删除。您可能必须禁用路由传播以删除已传播的路由;例如,如果您希望流量故障转移至某个静态路由。

使用控制台启用路由传播

  1. 在导航窗格中,选择 Route Tables,然后选择与子网关联的路由表;默认情况下,该路由表为 VPC 的主路由表。

  2. 在详细信息窗格中的路由传播选项卡上,选择编辑,选择您在上一步骤中创建的虚拟专用网关,然后选择 保存

注意

对于静态路由,如果您没有启用路由传播,则您必须手动输入您的 Site-to-Site VPN 连接使用的静态路由。为此,请选择您的路由表,然后依次选择路由编辑。对于目的地,添加您的 Site-to-Site VPN 连接使用的静态路由。对于目标,选择虚拟专用网关 ID,然后选择保存

使用控制台禁用路由传播

  1. 在导航窗格中,选择 Route Tables,然后选择与子网关联的路由表。

  2. 依次选择 Route PropagationEdit。清除虚拟专用网关的 Propagate 复选框,然后选择 Save

使用命令行或 API 启用路由传播

使用命令行或 API 禁用路由传播

更新您的安全组

要允许从您的网络访问 VPC 中的实例,您必须更新安全组规则以启用入站 SSH、RDP 和 ICMP 访问。

向安全组添加规则以启用入站 SSH、RDP 和 ICMP 访问

  1. 在导航窗格中,选择 Security Groups,然后选择 VPC 的默认安全组。

  2. 在详细信息窗格中的入站选项卡上,添加规则,该规则允许您的网络进行入站 SSH、RDP 和 ICMP 访问,然后选择保存。有关添加入站规则的更多信息,请参阅 Amazon VPC 用户指南 中的添加、删除和更新规则

有关使用 AWS CLI 处理安全组的更多信息,请参阅 Amazon VPC 用户指南 中的您的 VPC 的安全组

创建 Site-to-Site VPN 连接并配置客户网关

创建 Site-to-Site VPN 连接后,请下载配置信息并使用它来配置客户网关设备或软件应用程序。

创建 Site-to-Site VPN 连接并配置客户网关

  1. 在导航窗格中,依次选择 Site-to-Site VPN 连接创建 VPN 连接

  2. 填写以下信息,然后选择创建 VPN 连接

    • (可选)对于名称标签,为您的 Site-to-Site VPN 连接键入名称。这样做可创建具有 Name 键以及您指定的值的标签。

    • 选择您之前创建的虚拟专用网关。

    • 选择您之前创建的客户网关。

    • 根据您的 VPN 路由器是否支持边界网关协议 (BGP),选择一个路由选项:

      • 如果您的 VPN 路由器支持 BGP,请选择 Dynamic (requires BGP)

      • 如果您的 VPN 路由器不支持 BGP,请选择静态。对于静态 IP 前缀,为您的 Site-to-Site VPN 连接的专用网络指定各自的 IP 前缀。

    • 隧道选项下面,您可以选择为每个隧道指定以下信息:

      • 隧道内部 IP 地址的 169.254.0.0/16 范围中大小为 /30 的 CIDR 块。

      • IKE 预共享密钥 (PSK)。支持以下版本:IKEv1 或 IKEv2。

      有关这些选项的详细信息,请参阅 为您的 Site-to-Site VPN 连接配置 VPN 隧道

    创建 Site-to-Site VPN 连接可能需要几分钟的时间。准备就绪之后,选择该连接,然后选择下载配置

  3. 下载配置对话框中,选择与客户网关设备或软件对应的供应商、平台和软件,然后选择是,请下载

  4. 为您的网络管理员提供配置文件和指南:AWS 站点到站点 VPN 网络管理员指南。在网络管理员配置客户网关之后,Site-to-Site VPN 连接便已可以操作。

使用命令行或 API 创建 Site-to-Site VPN 连接

编辑 Site-to-Site VPN 连接的静态路由

对于静态路由,您可以添加、修改或删除您的 VPN 配置的静态路由。

添加、修改或删除静态路由

  1. 打开 Amazon VPC 控制台 https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Site-to-Site VPN Connections (站点到站点 VPN 连接)

  3. 依次选择静态路由编辑

  4. 修改现有静态 IP 前缀或选择 Remove 将其删除。选择 Add Another Rule 以向您的配置添加新的 IP 前缀。完成此操作后,选择保存

注意

如果您尚未为路由表启用路由传播,则必须手动更新您的路由表中的路由以在 Site-to-Site VPN 连接中反映更新的静态 IP 前缀。有关更多信息,请参阅 在您的路由表中启用路由传播

使用命令行或 API 添加静态路由

使用命令行或 API 删除静态路由

替换受损的凭证

如果您认为 Site-to-Site VPN 连接的隧道凭证已经受损,您可以更改 IKE 预共享密钥。为此,删除 Site-to-Site VPN 连接,使用相同的虚拟专用网关创建一项新的凭证,并在您的客户网关中配置新的密钥。您可以在创建 Site-to-Site VPN 连接时指定自己的预共享密钥。您还需要确认隧道的内部和外部地址可以相互匹配,因为在您重新建立 Site-to-Site VPN 连接时这些地址可能也会随之更改。在您执行此步骤时,与您的 VPC 实例的通信将会停止,但实例仍会继续不受干扰地运行。在网络管理员执行新配置信息之后,您的 Site-to-Site VPN 连接便可使用新凭证,而到您的 VPC 实例的网络连接也将恢复正常。

重要

此步骤要求您的网络管理员组的协助。

更改 IKE 预共享密钥

  1. 删除 Site-to-Site VPN 连接。有关更多信息,请参阅删除 Site-to-Site VPN 连接。您不需要删除 VPC 或虚拟专用网关。

  2. 创建新的 Site-to-Site VPN 连接并为隧道指定您自己的预共享密钥,或者让 AWS 为您生成新的预共享密钥。有关更多信息,请参阅创建 Site-to-Site VPN 连接并配置客户网关

  3. 下载新的配置文件。