AWS Site-to-Site VPN 入门 - AWS Site-to-Site VPN
先决条件创建客户网关创建目标网关配置路由更新您的安全组创建 VPN 连接下载配置文件配置客户网关设备

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Site-to-Site VPN 入门

按照以下过程设置 AWS Site-to-Site VPN 连接。在创建过程中,您将指定虚拟私有网关、中转网关或“未关联”作为目标网关类型。如果您指定“未关联”,您可以稍后选择目标网关类型,也可以将其用作 AWS Cloud WAN 的 VPN 连接。本教程帮助您使用虚拟私有网关创建 VPN 连接。该教程假定您的现有 VPC 具有一个或多个子网。

要使用虚拟私有网关设置连接,请完成以下步骤:

相关任务

先决条件

您需要以下信息来设置和配置 VPN 连接的组件。

项目 信息
客户网关设备 VPN 连接在您一端的物理或软件设备。您需要供应商(例如 Cisco)、平台(例如 ISR 系列路由器)和软件版本(例如 IOS 12.4)。
客户网关 要在 AWS 中创建客户网关资源,您需要以下信息:

  • 设备外部接口的可在 Internet 上路由的 IP 地址

  • 路由类型:静态或动态

  • 对于动态路由,为边界网关协议 (BGP) 自治系统编号 (ASN)。

  • (可选)来自 AWS Private Certificate Authority 的私有证书,用于验证 VPN

有关更多信息,请参阅客户网关选项

(可选)BGP 会话中 AWS 端的 ASN

您可以在创建虚拟私有网关或中转网关时指定此项。如果您未指定值,则会应用默认 ASN。有关更多信息,请参阅虚拟专用网关
VPN 连接 要创建 VPN 连接,您需要以下信息:

步骤 1:创建客户网关

客户网关向 AWS 提供有关您的客户网关设备或软件应用程序的信息。有关更多信息,请参阅客户网关

如果您计划使用私有证书对 VPN 进行身份验证,请使用 通过从属 CA 创建私有证书AWS Private Certificate Authority 有关创建私有证书的信息,请参阅《AWS Private Certificate Authority 用户指南》中的创建和管理私有 CA

注意

您必须指定 IP 地址,或者指定私有证书的 Amazon 资源名称。

使用控制台创建客户网关

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择客户网关

  3. 选择创建客户网关

  4. (可选)对于 Name tag(名称标签),为您的客户网关输入名称。这样做可创建具有 Name 键以及您指定的值的标签。

  5. 对于 BGP ASN,输入您的客户网关的边界网关协议 (BGP) 自治系统编号 (ASN)。

  6. 对于 IP address(IP 地址),输入客户网关设备的静态 Internet 可路由 IP 地址。如果您的客户网关设备位于为 NAT-T 而启用的 NAT 设备后面,请使用 NAT 设备的公有 IP 地址。

  7. (可选)如果您想要使用私有证书,对于 Certificate ARN (证书 ARN),请选择私有证书的 Amazon 资源名称。

  8. (可选)对于设备,输入与此客户网关关联的客户网关设备的名称。

  9. 选择创建客户网关

使用命令行或 API 创建客户网关

步骤 2:创建目标网关

要在 VPC 和本地网络之间建立 VPN 连接,您必须在连接的 AWS 端创建目标网关。目标网关可以是虚拟私有网关或中转网关。

创建虚拟专用网关

创建虚拟私有网关时,可以为网关的 Amazon 端指定自定义的私有自治系统编号 (ASN),或使用 Amazon 原定设置 ASN。此 ASN 必须与您为客户网关指定的 ASN 不同。

创建虚拟专用网关后,必须将其连接到您的 VPC。

创建虚拟专用网关并将其连接到您的 VPC

  1. 在导航窗格中,选择虚拟私有网关

  2. 选择 Create virtual private gateway(创建虚拟私有网关)。

  3. (可选)对于名称标签,输入虚拟私有网关的名称。这样做可创建具有 Name 键以及您指定的值的标签。

  4. 对于自治系统号(ASN),保留原定设置选择 Amazon 原定设置 ASN,以使用原定设置 Amazon ASN。否则,选择自定义 ASN并输入一个值。对于 16 位 ASN,该值必须在 64512 到 65534 范围内。对于 32 位 ASN,该值必须在 4200000000 到 4294967294 范围内。

  5. 选择 Create virtual private gateway(创建虚拟私有网关)。

  6. 选择您已创建的虚拟私有网关,然后依次选择 Actions(操作)和 Attach to VPC(挂载到 VPC)。

  7. 对于可用的 VPC,选择您的 VPC,然后选择连接到 VPC

使用命令行或 API 创建虚拟专用网关
使用命令行或 API 将虚拟专用网关连接到 VPC

创建中转网关

有关创建中转网关的更多信息,请参阅 Amazon VPC 中转网关 中的中转网关

步骤 3:配置路由

要使您 VPC 中的实例可以访问您的客户网关,您必须配置路由表以包含您的 VPN 连接所使用的路由,并将它们指向您的虚拟私有网关或中转网关。

(虚拟私有网关)在路由表中启用路由传播

您可以为路由表启用路由传播以自动传播 Site-to-Site VPN 路由。

对于静态路由,您为 VPN 配置指定的静态 IP 前缀会在 VPN 连接状态为 UP 时传播到路由表。同样,对于动态路由,来自客户网关的通告 BGP 路由会在 VPN 连接的状态为 UP 时传播到路由表。

注意

如果您的连接中断但 VPN 连接保持在 UP 状态,您的路由表中的任何已传播路由将不会自动删除。请注意这一点,例如在您想将流量故障转移到静态路由时。在这种情况下,您可能必须禁用路由传播才能删除传播的路由。

使用控制台启用路由传播

  1. 在导航窗格中,选择 Route tables(路由表)。

  2. 选择与子网关联的路由表。

  3. 路由传播选项卡上,选择编辑路由传播。选择您在之前过程中创建的虚拟私有网关,然后选择保存

注意

如果您没有启用路由传播,则必须手动输入 VPN 连接使用的静态路由。为此,请选择您的路由表,然后依次选择 Routes(路由)、Edit(编辑)。对于目标,添加您的 Site-to-Site VPN 连接使用的静态路由。对于 Target,选择虚拟专用网关 ID,然后选择 Save

使用控制台禁用路由传播

  1. 在导航窗格中,选择 Route tables(路由表)。

  2. 选择与子网关联的路由表。

  3. 路由传播选项卡上,选择编辑路由传播。清除虚拟私有网关的传播复选框。

  4. 选择 Save(保存)。

使用命令行或 API 启用路由传播
使用命令行或 API 禁用路由传播

(中转网关)向路由表添加路由

如果您为中转网关启用了路由表传播,则 VPN 连接的路由将传播到中转网关路由表。有关更多信息,请参阅 Amazon VPC 中转网关 中的路由

如果您将 VPC 连接到中转网关,并且您希望允许 VPC 中的资源能够访问您的客户网关,则必须向子网路由表添加路由以指向中转网关。

向 VPC 路由表中添加路由

  1. 在导航窗格中,选择路由表

  2. 选择与 VPC 关联的路由表。

  3. Routes (路由) 选项卡上,选择 Edit routes (编辑路由)

  4. 选择 Add route (添加路由)

  5. 对于目标,输入目标 IP 地址范围。对于目标,选择中转网关。

  6. 选择保存更改

步骤 4:更新安全组

要允许从您的网络访问 VPC 中的实例,您必须更新安全组规则以启用入站 SSH、RDP 和 ICMP 访问。

向安全组添加规则以启用访问

  1. 在导航窗格中,选择 Security groups(安全组)。

  2. 选择 VPC 的原定设置安全组。

  3. Inbound Rules (入站规则) 选项卡上,选择 Edit inbound rules (编辑入站规则)

  4. 添加规则,这些规则允许从您的网络进行入站 SSH、RDP 和 ICMP 访问,然后选择保存规则。有关更多信息,请参阅《Amazon VPC 用户指南》中的使用安全组规则

步骤 5:创建 VPN 连接

将客户网关与您之前创建的虚拟私有网关或中转网关结合使用,以创建 VPN 连接。

创建 VPN 连接

  1. 在导航窗格中,选择 Site-to-Site VPN 连接

  2. 选择 Create VPN connection(创建 VPN 连接)。

  3. (可选)对于名称标签,为您的 VPN 连接输入名称。这样做可创建具有 Name 键以及您指定的值的标签。

  4. 对于 Target gateway type(目标网关类型),选择 Virtual private gateway(虚拟私有网关)或 Transit gateway(中转网关)。然后,选择您之前创建的虚拟私有网关或中转网关。

  5. 对于客户网关,选择现有,然后从客户网关 ID 中选择之前创建的客户网关。

  6. 根据您的客户网关设备是否支持边界网关协议 (BGP),选择一个路由选项:

    • 如果您的客户网关设备支持 BGP,请选择 Dynamic (requires BGP)(动态 (需要 BPG))。

    • 如果您的客户网关设备不支持 BGP,请选择 Static(静态)。对于 Static IP Prefixes,为您的 VPN 连接的专用网络指定各自的 IP 前缀。

  7. 如果目标网关类型是中转网关,则对于隧道内部 IP 版本,指定 VPN 隧道是支持 IPv4 还是 IPv6 流量。只有中转网关上的 VPN 连接才支持 IPv6 流量。

  8. 如果您为隧道内部 IP 版本指定了 IPv4,则可以选择指定客户网关端和 AWS 端上允许通过 VPN 隧道进行通信的 IPv4 CIDR 范围。默认为 0.0.0.0/0

    如果您为隧道内部 IP 版本指定了 IPv6,则可以选择指定客户网关端和 AWS 端上允许通过 VPN 隧道进行通信的 IPv6 CIDR 范围。这两个范围的默认值均为 ::/0

  9. 对于外部 IP 地址类型,保留原定设置选项 PublicIpv4

  10. (可选)对于隧道选项,您可以选择为每个隧道指定以下信息:

    • 隧道内的 IPv4 地址范围 169.254.0.0/16 内的大小为 /30 的 IPv4 CIDR 块。

    • 如果为隧道内部 IP 版本指定了 IPv6,则应指定隧道内部 IPv6 地址范围 fd00::/8 内的 /126 IPv6 CIDR 块。

    • IKE 预共享密钥 (PSK)。支持以下版本:IKEv1 或 IKEv2。

    • 要编辑隧道的高级选项,请选择编辑隧道选项。有关更多信息,请参阅VPN 隧道选项

  11. 选择 Create VPN connection(创建 VPN 连接)。创建 VPN 连接可能需要几分钟时间。

使用命令行或 API 创建 VPN 连接

步骤 6:下载配置文件

创建 VPN 连接后,您可以下载示例配置文件用于配置客户网关设备。

重要

配置文件仅为示例,可能与您的目标 VPN 连接设置完全不符。该文件指定了大多数 AWS 区域中的 AES128、SHA1 和 Diffie-Hellman 组 2 以及 AWS GovCloud 区域中的 AES128、SHA2 和 Diffie-Hellman 组 14 对 VPN 连接的最低要求。它还指定用于身份验证的预共享密钥。您必须修改示例配置文件以利用其他安全算法、Diffie-Hellman 组、私有证书和 IPv6 流量。

我们在许多常用客户网关设备的配置文件中引入了 IKEv2 支持,并将随着时间的推移继续添加其他文件。有关支持 KEv2 的配置文件的列表,请参阅客户网关设备

权限

要从 AWS Management Console中正确加载下载配置屏幕,您必须确保您的 IAM 角色或用户具有以下 Amazon EC2 API 的权限:GetVpnConnectionDeviceTypesGetVpnConnectionDeviceSampleConfiguration

使用控制台下载配置文件

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Site-to-Site VPN 连接

  3. 选择您的 VPN 连接,然后选择下载配置

  4. 选择与您的客户网关设备对应的供应商平台软件IKE 版本。如果您的设备未列出,请选择 Generic (通用)

  5. 选择 Download(下载)。

使用 命令行或 API 下载示例配置文件

步骤 7:配置客户网关设备

使用示例配置文件配置客户网关设备。客户网关设备是 VPN 连接在您这一端的实体设备或软件设备。有关更多信息,请参阅客户网关设备