开始使用 AWS Site-to-Site VPN - AWS Site-to-Site VPN
先决条件创建客户网关创建目标网关配置路由更新您的安全组创建VPN连接下载配置文件配置客户网关设备

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

开始使用 AWS Site-to-Site VPN

使用以下步骤来建立 AWS Site-to-Site VPN 连接。在创建过程中,您将指定虚拟私有网关、中转网关或“未关联”作为目标网关类型。如果您指定 “未关联”,则可以稍后选择目标网关类型,也可以将其用作 AWS Cloud 的VPN附件WAN。本教程将帮助您使用虚拟专用网关创建VPN连接。它假设您有一个VPC包含一个或多个子网的现有子网。

要使用虚拟专用网关VPN建立连接,请完成以下步骤:

相关任务

先决条件

您需要以下信息来设置和配置VPN连接的组件。

项目 信息
客户网关设备 您这边的物理设备或软件VPN设备。您需要供应商(例如 Cisco)、平台(例如ISR系列路由器)和软件版本(例如 IOS 12.4)。
客户网关 要在中创建客户网关资源 AWS,您需要以下信息:

  • 设备外部接口的可在 Internet 上路由的 IP 地址

  • 路由类型:静态或动态

  • 对于动态路由,边界网关协议 (BGP) 自治系统编号 (ASN)

  • (可选)用于验证您身份 AWS Private Certificate Authority 的私有证书 VPN

有关更多信息,请参阅 客户网关选项

(可选)BGP会 AWS 话部分的 ASN

您可以在创建虚拟私有网关或中转网关时指定此项。如果未指定值,则使用默认ASN值。有关更多信息,请参阅 虚拟专用网关
VPN连接 要创建VPN连接,您需要以下信息:

步骤 1:创建客户网关

客户网关提供 AWS 有关您的客户网关设备或软件应用程序的信息。有关更多信息,请参阅 客户网关

如果您计划使用私有证书对您进行身份验证VPN,请使用从属 CA 创建私有证书 AWS Private Certificate Authority。有关创建私有证书的信息,请参阅《AWS Private Certificate Authority 用户指南》中的创建和管理私有 CA

注意

您必须指定 IP 地址,或者指定私有证书的 Amazon 资源名称。

使用控制台创建客户网关

  1. 打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择客户网关

  3. 选择创建客户网关

  4. (可选)对于 Name tag(名称标签),为您的客户网关输入名称。这样做可创建具有 Name 键以及您指定的值的标签。

  5. 对于 BGPASN,输入您的客户网关的边界网关协议 (BGPASN) 自治系统编号 ()。

  6. 对于 IP address(IP 地址),输入客户网关设备的静态 Internet 可路由 IP 地址。如果您的客户网关设备位于启用 NAT-T 的NAT设备后面,请使用该NAT设备的公有 IP 地址。

  7. (可选)如果您要使用私有证书,请为证书ARN选择私有证书的 Amazon 资源名称。

  8. (可选)对于设备,输入与此客户网关关联的客户网关设备的名称。

  9. 选择创建客户网关

要使用命令行创建客户网关,或 API

步骤 2:创建目标网关

要在您的本地网络VPC和您的本地网络之间建立VPN连接,您必须在连接 AWS 侧创建目标网关。目标网关可以是虚拟私有网关或中转网关。

创建虚拟专用网关

创建虚拟私有网关时,您可以为网关的 Amazon 端指定自定义私有自治系统编号 (ASN),也可以使用 Amazon 的默认编号ASN。这ASN必须与您ASN为客户网关指定的不同。

创建虚拟专用网关后,必须将其连接到您的VPC。

创建虚拟专用网关并将其连接到您的 VPC

  1. 在导航窗格中,选择虚拟私有网关

  2. 选择 Create virtual private gateway(创建虚拟私有网关)。

  3. (可选)对于名称标签,输入虚拟私有网关的名称。这样做可创建具有 Name 键以及您指定的值的标签。

  4. 对于自治系统编号 (ASN),保留默认选择 “亚马逊默认” ASN,以使用默认的亚马逊ASN。否则,选择 “自定义” ASN 并输入一个值。对于 16 位ASN,该值必须在 64512 到 65534 的范围内。对于 32 位ASN,该值必须在 42000000 到 4294967294 的范围内。

  5. 选择 Create virtual private gateway(创建虚拟私有网关)。

  6. 选择您创建的虚拟专用网关,然后选择操作附加到VPC

  7. 在 “可用” VPCs 中,选择 “您的”,VPC然后选择 “附加到” VPC。

使用命令行创建虚拟专用网关或 API
要VPC使用命令行将虚拟专用网关连接到,或 API

创建中转网关

有关创建公交网关的更多信息,请参阅 Amazon Tr an sit Gateways 中的VPC公交网关

步骤 3:配置路由

要使中的实例VPC能够到达您的客户网关,您必须将路由表配置为包含您的VPN连接使用的路由,并将它们指向您的虚拟专用网关或传输网关。

(虚拟私有网关)在路由表中启用路由传播

您可以为路由表启用路由传播,以自动传播 Site-to-SiteVPN路由。

对于静态路由,当VPN连接状态为时,您为VPN配置指定的静态 IP 前缀会传播到路由表。UP同样,对于动态路由,当连接状态为时,来自您的客户网关的通BGP告路由会传播到路由表。VPN UP

注意

如果您的连接中断但VPN连接仍处于开启状态,则不会自动移除路由表中的任何传播路由。请注意这一点,例如在您想将流量故障转移到静态路由时。在这种情况下,您可能必须禁用路由传播才能删除传播的路由。

使用控制台启用路由传播

  1. 在导航窗格中,选择 Route tables(路由表)。

  2. 选择与子网关联的路由表。

  3. 路由传播选项卡上,选择编辑路由传播。选择您在之前过程中创建的虚拟私有网关,然后选择保存

注意

如果未启用路由传播,则必须手动输入VPN连接使用的静态路由。为此,请选择您的路由表,然后依次选择 Routes(路由)、Edit(编辑)。在目的地中,添加您的 Site-to-SiteVPN连接使用的静态路由。对于 Target,选择虚拟专用网关 ID,然后选择 Save

使用控制台禁用路由传播

  1. 在导航窗格中,选择 Route tables(路由表)。

  2. 选择与子网关联的路由表。

  3. 路由传播选项卡上,选择编辑路由传播。清除虚拟私有网关的传播复选框。

  4. 选择保存

要使用命令行启用路由传播,或 API
要使用命令行禁用路由传播,或 API

(中转网关)向路由表添加路由

如果您为公交网关启用了路由表传播,则VPN连接的路由会传播到公交网关路由表。有关更多信息,请参阅 Amazon VPC 公交网关中的路由

如果您将连接VPC至您的传输网关,并且想要使中的资源能够到达您的客户网关,则必须VPC向子网路由表中添加一条指向该中转网关的路由。

向路由表添加VPC路由

  1. 在导航窗格中,选择路由表

  2. 选择与您的关联的路由表VPC。

  3. Routes (路由) 选项卡上,选择 Edit routes (编辑路由)

  4. 选择 Add route (添加路由)

  5. 对于目标,输入目标 IP 地址范围。对于目标,选择中转网关。

  6. 选择 Save changes(保存更改)

步骤 4:更新安全组

要允许VPC从您的网络访问您的实例,您必须更新安全组规则以启用入站SSHRDP、和ICMP访问。

向安全组添加规则以启用访问

  1. 在导航窗格中,选择 Security Groups(安全组)。

  2. 为您VPC中要允许访问的实例选择安全组。

  3. Inbound Rules (入站规则) 选项卡上,选择 Edit inbound rules (编辑入站规则)

  4. 添加允许从您的网络入站SSHRDP、和ICMP访问的规则,然后选择保存规则。有关更多信息,请参阅 Amazon VPC 用户指南中的使用安全组规则

步骤 5:创建VPN连接

将客户网关与您之前创建的虚拟专用网关或传输网关结合使用来创建VPN连接。

创建 VPN 连接

  1. 在导航窗格中,选择Site-to-Site VPN连接

  2. 选择 “创建VPN连接”。

  3. (可选)在 “名称标记” 中,输入VPN连接的名称。这样做可创建具有 Name 键以及您指定的值的标签。

  4. 对于 Target gateway type(目标网关类型),选择 Virtual private gateway(虚拟私有网关)或 Transit gateway(中转网关)。然后,选择您之前创建的虚拟私有网关或中转网关。

  5. 对于客户网关,选择现有,然后从客户网关 ID 中选择之前创建的客户网关。

  6. 根据您的客户网关设备是否支持边界网关协议(BGP),选择其中一个路由选项:

    • 如果您的客户网关设备支持BGP,请选择动态(需要BGP)

    • 如果您的客户网关设备不支持BGP,请选择静态。对于静态 IP 前缀,请为VPN连接的专用网络指定每个 IP 前缀。

  7. 如果您的目标网关类型是传输网关,则对于隧道内部 IP 版本,请指定VPN隧道是否支持IPv4或IPv6流量。IPv6只有传输网关上的VPN连接才支持流量。

  8. 如果您在 IP 版本内指定IPv4了 Tun nel,则可以选择指定允许通过VPN隧道进行通信的客户网关和 AWS 端的IPv4CIDR范围。默认为 0.0.0.0/0

    如果您在 IP 版本内指定IPv6了 Tun nel,则可以选择指定允许通过VPN隧道进行通信的客户网关和 AWS 端的IPv6CIDR范围。这两个范围的默认值均为 ::/0

  9. 对于外部 IP 地址类型,保留默认选项 PublicIpv4

  10. (可选)对于隧道选项,您可以选择为每个隧道指定以下信息:

    • 与内部隧道IPv4地址169.254.0.0/16范围相比大小为 /30 的区IPv4CIDR块。

    • 如果您在 IP 版本内IPv6为 Tun nel 指定,则内部隧道IPv6地址的fd00::/8范围为 /126 IPv6 CIDR。

    • IKE预共享密钥 (PSK)。支持以下版本:IKEv1或IKEv2。

    • 要编辑隧道的高级选项,请选择编辑隧道选项。有关更多信息,请参阅 VPN 隧道选项

  11. 选择 “创建VPN连接”。创建VPN连接可能需要几分钟。

使用命令行创建VPN连接或 API

步骤 6:下载配置文件

创建VPN连接后,您可以下载示例配置文件以用于配置客户网关设备。

重要

配置文件仅为示例,可能与您的预期VPN连接设置不完全匹配。它规定了在大多数地区VPN连接AES128SHA1、和 Diffie-Hellman 组 2 的最低要求,在 AWS 区域中为AES128SHA2、和 Diffie-Hellman 组 14 的最低要求。 AWS GovCloud 它还指定用于身份验证的预共享密钥。您必须修改示例配置文件以利用其他安全算法、Diffie-Hellman 组、私有证书和流量。IPv6

我们在配置文件中引入了对许多常用客户网关设备的IKEv2支持,并将随着时间的推移继续添加其他文件。有关IKEv2支持的配置文件列表,请参阅AWS Site-to-Site VPN 客户网关设备

权限

要从正确加载下载配置屏幕 AWS Management Console,您必须确保您的IAM角色或用户拥有以下 Amazon 的权限 EC2APIs:GetVpnConnectionDeviceTypesGetVpnConnectionDeviceSampleConfiguration

使用控制台下载配置文件

  1. 打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择Site-to-Site VPN连接

  3. 选择您的VPN连接并选择下载配置

  4. 选择与您的客户网关设备对应的供应商平台软件IKE版本。如果您的设备未列出,请选择 Generic (通用)

  5. 选择 Download (下载)

要使用命令行下载示例配置文件,或 API

步骤 7:配置客户网关设备

使用示例配置文件配置客户网关设备。客户网关设备是您VPN连接端的物理设备或软件设备。有关更多信息,请参阅 AWS Site-to-Site VPN 客户网关设备