开始使用 - AWS Site-to-Site VPN

开始使用

按照以下过程手动设置 AWS Site-to-Site VPN 连接。您可以创建 Site-to-Site VPN 连接,并将虚拟私有网关或中转网关作为目标网关。

要设置 Site-to-Site VPN 连接,请完成以下步骤:

这些过程假定您的 VPC 具有一个或多个子网。

有关在中转网关上创建 Site-to-Site VPN 连接的步骤,请参阅创建中转网关 VPN 连接

先决条件

您需要以下信息来设置和配置 Site-to-Site VPN 连接的组件。

Item 信息
客户网关设备 VPN 连接在您一端的物理或软件设备。您需要供应商(例如 Cisco)、平台(例如 ISR 系列路由器)和软件版本(例如 IOS 12.4)。
客户网关 要在 AWS 中创建客户网关资源,您需要以下信息:
  • 设备外部接口的可在 Internet 上路由的 IP 地址

  • 路由类型:静态或动态

  • 对于动态路由,为边界网关协议 (BGP) 自治系统编号 (ASN)。

  • (可选)来自 AWS Certificate Manager 私有证书颁发机构 的私有证书,用于验证 VPN

有关更多信息,请参阅 用于 Site-to-Site VPN 连接的客户网关选项

(可选)BGP 会话中 AWS 端的 ASN

您可以在创建虚拟私有网关或中转网关时指定此项。如果您未指定值,则会应用默认 ASN。有关更多信息,请参阅 虚拟专用网关

VPN 连接 要创建 VPN 连接,您需要以下信息:

创建客户网关

客户网关向 AWS 提供有关您的客户网关设备或软件应用程序的信息。有关更多信息,请参阅客户网关

如果您计划使用私有证书对 VPN 进行身份验证,请使用 AWS Certificate Manager 私有证书颁发机构 通过从属 CA 创建私有证书。有关创建私有证书的信息,请参阅 AWS Certificate Manager 私有证书颁发机构 用户指南 中的创建和管理私有 CA

注意

您必须指定 IP 地址,或者指定私有证书的 Amazon 资源名称。

使用控制台创建客户网关

  1. 打开 Amazon VPC 控制台 https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Customer Gateways,然后选择 Create Customer Gateway

  3. 填写以下信息,然后选择 Create Customer Gateway

    • (可选)对于名称,为您的客户网关输入名称。这样做可创建具有 Name 键以及您指定的值的标签。

    • 对于 Routing,选择路由类型。

    • 对于动态路由,为 BGP ASN 输入边界网关协议 (BGP) 自治系统编号 (ASN)。

    • 对于IP 地址,输入客户网关设备的静态 Internet 可路由 IP 地址。如果您的客户网关位于为 NAT-T 而启用的 NAT 设备后面,请使用 NAT 设备的公有 IP 地址。

    • (可选)如果您想要使用私有证书,对于 Certificate ARN (证书 ARN),请选择私有证书的 Amazon 资源名称。

使用命令行或 API 创建客户网关

创建目标网关

要在 VPC 和本地网络之间建立 VPN 连接,您必须在连接的 AWS 端创建目标网关。目标网关可以是虚拟私有网关或中转网关。

创建虚拟专用网关

创建虚拟专用网关时,可以选择为网关的 Amazon 端指定专用自治系统编号 (ASN)。ASN 必须与为客户网关指定的 BGP ASN 不同。

创建虚拟专用网关后,必须将其连接到您的 VPC。

创建虚拟专用网关并将其连接到您的 VPC

  1. 在导航窗格中,依次选择 Virtual Private GatewaysCreate Virtual Private Gateway

  2. (可选)为虚拟私有网关输入名称。这样做可创建具有 Name 键以及您指定的值的标签。

  3. 对于 ASN,保留默认选择以使用默认的 Amazon ASN。否则,选择自定义 ASN并输入一个值。对于 16 位 ASN,该值必须在 64512 到 65534 范围内。对于 32 位 ASN,该值必须在 4200000000 到 4294967294 范围内。

  4. 选择 Create Virtual Private Gateway

  5. 选择您已创建的虚拟专用网关,然后依次选择 ActionsAttach to VPC

  6. 从列表中选择您的 VPC ,然后选择 Yes, Attach

使用命令行或 API 创建虚拟专用网关

使用命令行或 API 将虚拟专用网关连接到 VPC

创建中转网关

有关创建中转网关的详细信息,请参阅 Amazon VPC 中转网关 中的中转网关

配置路由

要使您 VPC 中的实例可以访问您的客户网关,您必须配置路由表以包含您的 Site-to-Site VPN 连接所使用的路由,并将它们指向您的虚拟私有网关或中转网关。

(虚拟私有网关)在路由表中启用路由传播

您可以为路由表启用路由传播以自动传播 Site-to-Site VPN 路由。

对于静态路由,您为 VPN 配置指定的静态 IP 前缀会在 Site-to-Site VPN 连接的状态为 UP 时传播到路由表。同样,对于动态路由,来自客户网关的 BGP 通告路由会在 Site-to-Site VPN 连接的状态为 UP 时传播到路由表。

注意

如果您的连接中断但 VPN 连接保持在 UP 状态,您的路由表中的任何已传播路由将不会自动删除。请注意这一点,例如在您想将流量故障转移到静态路由时。在这种情况下,您可能必须禁用路由传播才能删除传播的路由。

使用控制台启用路由传播

  1. 在导航窗格中,选择 Route Tables,然后选择与子网关联的路由表。默认情况下,这是 VPC 的主路由表。

  2. 在详细信息窗格中的路由传播选项卡上,选择编辑,选择您在上一步骤中创建的虚拟专用网关,然后选择 保存

注意

对于静态路由,如果您没有启用路由传播,则您必须手动输入您的 Site-to-Site VPN 连接使用的静态路由。为此,请选择您的路由表,然后依次选择路由编辑。对于目标,添加您的 Site-to-Site VPN 连接使用的静态路由。对于目标,选择虚拟专用网关 ID,然后选择保存

使用控制台禁用路由传播

  1. 在导航窗格中,选择 Route Tables,然后选择与子网关联的路由表。

  2. 依次选择 Route PropagationEdit。清除虚拟专用网关的 Propagate 复选框,然后选择 Save

使用命令行或 API 启用路由传播

使用命令行或 API 禁用路由传播

(中转网关)向路由表添加路由

如果您为中转网关启用了路由表传播,则 VPN 连接的路由将传播到中转网关路由表。有关更多信息,请参阅 Amazon VPC 中转网关 中的路由

如果您将 VPC 连接到中转网关,并且您希望允许 VPC 中的资源能够访问您的客户网关,则必须向子网路由表添加路由以指向中转网关。

向 VPC 路由表中添加路由

  1. 在导航窗格中,选择路由表

  2. 选择与 VPC 关联的路由表。

  3. 选择 Routes (路由) 选项卡,然后选择 Edit routes (编辑路由)

  4. 选择 Add route (添加路由)

  5. Destination (目的地) 列中,输入目的地 IP 地址范围。对于目标,选择中转网关。

  6. 选择 Save routes (保存路由),然后选择 Close (关闭)

更新您的安全组

要允许从您的网络访问 VPC 中的实例,您必须更新安全组规则以启用入站 SSH、RDP 和 ICMP 访问。

向安全组添加规则以启用入站 SSH、RDP 和 ICMP 访问

  1. 在导航窗格中,选择 Security Groups,然后选择 VPC 的默认安全组。

  2. 在详细信息窗格中的 Inbound 选项卡上,添加规则,该规则允许您的网络进行入站 SSH、RDP 和 ICMP 访问,然后选择 Save。有关添加入站规则的更多信息,请参阅 Amazon VPC 用户指南 中的添加、删除和更新规则

有关使用 AWS CLI 处理安全组的更多信息,请参阅 Amazon VPC 用户指南 中的您的 VPC 的安全组

创建 Site-to-Site VPN 连接

使用客户网关和之前创建的虚拟私有网关或中转网关创建 Site-to-Site VPN 连接。

创建 Site-to-Site VPN 连接

  1. 在导航窗格中,依次选择 Site-to-Site VPN 连接创建 VPN 连接

  2. (可选)对于名称标签,为您的 Site-to-Site VPN 连接输入名称。这样做可创建具有 Name 键以及您指定的值的标签。

  3. 对于 Target Gateway Type (目标网关类型),请选择 Virtual Private Gateway (虚拟私有网关)Transit Gateway (中转网关)。然后,选择您之前创建的虚拟私有网关或中转网关。

  4. 对于 Customer Gateway ID (客户网关 ID),选择您之前创建的客户网关。

  5. 根据您的客户网关设备是否支持边界网关协议 (BGP),选择一个路由选项:

    • 如果您的客户网关设备支持 BGP,请选择 Dynamic (requires BGP) (动态 (需要 BPG))

    • 如果您的客户网关设备不支持 BGP,请选择 Static (静态)。对于静态 IP 前缀,为您的 Site-to-Site VPN 连接的专用网络指定各自的 IP 前缀。

  6. (可选)对于隧道内 IP 版本,指定 VPN 隧道是支持 IPv4 还是 IPv6 流量。只有中转网关上的 VPN 连接才支持 IPv6 流量。

  7. (可选)对于本地 IPv4 网络 CIDR,指定客户网关(本地)端上允许通过 VPN 隧道进行通信的 IPv4 CIDR 范围。默认为 0.0.0.0/0

    对于远程 IPv4 网络 CIDR,指定 AWS 端上允许通过 VPN 隧道进行通信的 IPv4 CIDR 范围。默认为 0.0.0.0/0

    如果您为通道内部 IP 版本指定了 IPv6,则指定客户网关端和 AWS 端上允许通过 VPN 隧道进行通信的 IPv6 CIDR 范围。这两个范围的默认值均为 ::/0

  8. (可选)对于隧道选项,您可以选择为每个隧道指定以下信息:

    • 隧道内的 IPv4 地址范围 169.254.0.0/16 内的大小为 /30 的 IPv4 CIDR 块。

    • 如果为隧道内 IP 版本指定了 IPv6,则应指定隧道内 IPv6 地址范围 fd00::/8 内的 /126 IPv6 CIDR 块。

    • IKE 预共享密钥 (PSK)。支持以下版本:IKEv1 或 IKEv2。

    • 高级隧道信息,包括以下内容:

      • IKE 协商阶段 1 和 2 的加密算法

      • IKE 协商阶段 1 和 2 的完整性算法

      • IKE 协商阶段 1 和 2 的 Diffie-Hellman 组

      • IKE 版本

      • 阶段 1 和 2 生命周期

      • 更改密钥容许时间

      • 更改密钥模糊值

      • 回放窗口大小

      • 失效对端检测间隔

      • 失效对端检测超时操作

      • 启动操作

    有关这些选项的详细信息,请参阅 Site-to-Site VPN 连接的隧道选项

  9. 选择 Create VPN Connection (创建 VPN 连接)。创建 Site-to-Site VPN 连接可能需要几分钟的时间。

使用命令行或 API 创建 Site-to-Site VPN 连接

下载配置文件

创建 Site-to-Site VPN 连接后,请下载配置信息并使用它来配置客户网关设备或软件应用程序。

重要

配置文件仅为示例,可能与您目标 VPN 连接设置不符。例如,它在大多数 AWS 区域中指定了 IKE 版本 1、AES128、SHA1 和 DH 组 2 的最低要求,以及在 AWS GovCloud 区域中指定了 IKE 版本 1、AES128、SHA2 和 DH 组 14 的最低要求。它还指定用于身份验证的预共享密钥。您必须修改示例配置文件以利用 IKE 版本 2、其他安全算法和 DH 组以及私有证书。

如果您在创建或修改 Site-to-Site VPN 连接时指定了自定义隧道选项,请修改示例配置文件以匹配隧道的自定义设置。

该文件还包含虚拟私有网关的外部 IP 地址的值。除非重新创建 AWS 中的 VPN 连接,否则此值为静态值。

下载配置文件

  1. 打开 Amazon VPC 控制台 https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Site-to-Site VPN Connections (站点到站点 VPN 连接)

  3. 选择您的 VPN 连接,然后选择 Download Configuration (下载配置)

  4. 选择与您的客户网关设备或软件对应的供应商、平台和软件。如果您的设备未列出,请选择 Generic (通用)。选择 Download (下载)

配置客户网关设备

使用配置文件配置客户网关设备。客户网关设备是 站点到站点 VPN 连接在您这一端的实体设备或软件设备。有关更多信息,请参阅客户网关设备