开始使用 AWS Site-to-Site VPN

使用以下步骤来建立 AWS Site-to-Site VPN 连接。在创建过程中，您将指定虚拟私有网关、中转网关或“未关联”作为目标网关类型。如果您指定 “未关联”，则可以稍后选择目标网关类型，也可以将其用作 AWS Cloud WAN 的 VPN 附件。本教程帮助您使用虚拟私有网关创建 VPN 连接。该教程假定您的现有 VPC 具有一个或多个子网。

要使用虚拟私有网关设置连接，请完成以下步骤：

相关任务

• 要为 AWS 云广域网创建 VPN 连接，请参阅创建云 WAN VPN 连接。

• 要在中转网关上创建 VPN 连接，请参阅创建中转网关 VPN 连接。

先决条件

您需要以下信息来设置和配置 VPN 连接的组件。

Item	信息
客户网关设备	VPN 连接在您一端的物理或软件设备。您需要供应商（例如 Cisco）、平台（例如 ISR 系列路由器）和软件版本（例如 IOS 12.4）。
客户网关	要在中创建客户网关资源 AWS，您需要以下信息： 设备外部接口的可在 Internet 上路由的 IP 地址 路由类型：静态或动态 对于动态路由，为边界网关协议 (BGP) 自治系统编号 (ASN)。 （可选）用于验证您的 VPN AWS Private Certificate Authority 的私有证书 有关更多信息，请参阅 客户网关选项。
（可选）BGP 会话 AWS 一侧的 ASN	您可以在创建虚拟私有网关或中转网关时指定此项。如果您未指定值，则会应用默认 ASN。有关更多信息，请参阅虚拟专用网关。
VPN 连接	要创建 VPN 连接，您需要以下信息： 对于静态路由，为您的私有网络的 IP 前缀。 （可选）每个 VPN 隧道的隧道选项。有关更多信息，请参阅 AWS Site-to-Site VPN 连接的隧道选项。

步骤 1：创建客户网关

客户网关提供 AWS 有关您的客户网关设备或软件应用程序的信息。有关更多信息，请参阅 客户网关。

如果您计划使用私有证书对 VPN 进行身份验证，请使用从属 CA 创建私有证书 AWS Private Certificate Authority。有关创建私有证书的信息，请参阅《AWS Private Certificate Authority 用户指南》中的创建和管理私有 CA。

注意

您必须指定 IP 地址，或者指定私有证书的 Amazon 资源名称。

使用控制台创建客户网关

1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

2. 在导航窗格中，选择客户网关。

3. 选择创建客户网关。

4. （可选）对于 Name tag（名称标签），为您的客户网关输入名称。这样做可创建具有 Name 键以及您指定的值的标签。

5. 对于 BGP ASN，输入您的客户网关的边界网关协议 (BGP) 自治系统编号 (ASN)。

6. 对于 IP address（IP 地址），输入客户网关设备的静态 Internet 可路由 IP 地址。如果您的客户网关设备位于为 NAT-T 而启用的 NAT 设备后面，请使用 NAT 设备的公有 IP 地址。

7. （可选）如果您想要使用私有证书，对于 Certificate ARN (证书 ARN)，请选择私有证书的 Amazon 资源名称。

8. （可选）对于设备，输入与此客户网关关联的客户网关设备的名称。

9. 选择创建客户网关。

使用命令行或 API 创建客户网关

• CreateCustomerGateway（亚马逊 EC2 查询 API）

• create-customer-gateway (AWS CLI)

• New-EC2CustomerGateway (AWS Tools for Windows PowerShell)

步骤 2：创建目标网关

要在您的 VPC 和本地网络之间建立 VPN 连接，您必须在连接 AWS 侧创建目标网关。目标网关可以是虚拟私有网关或中转网关。

创建虚拟专用网关

创建虚拟私有网关时，可以为网关的 Amazon 端指定自定义的私有自治系统编号 (ASN)，或使用 Amazon 原定设置 ASN。此 ASN 必须与您为客户网关指定的 ASN 不同。

创建虚拟专用网关后，必须将其连接到您的 VPC。

创建虚拟专用网关并将其连接到您的 VPC

1. 在导航窗格中，选择虚拟私有网关。

2. 选择 Create virtual private gateway（创建虚拟私有网关）。

3. （可选）对于名称标签，输入虚拟私有网关的名称。这样做可创建具有 Name 键以及您指定的值的标签。

4. 对于自治系统号（ASN），保留原定设置选择 Amazon 原定设置 ASN，以使用原定设置 Amazon ASN。否则，选择自定义 ASN并输入一个值。对于 16 位 ASN，该值必须在 64512 到 65534 范围内。对于 32 位 ASN，该值必须在 4200000000 到 4294967294 范围内。

5. 选择 Create virtual private gateway（创建虚拟私有网关）。

6. 选择您已创建的虚拟私有网关，然后依次选择 Actions（操作）和 Attach to VPC（挂载到 VPC）。

7. 对于可用 VPCs，选择您的 VPC，然后选择附加到 VPC。

使用命令行或 API 创建虚拟专用网关

• CreateVpnGateway（亚马逊 EC2 查询 API）

• create-vpn-gateway (AWS CLI)

• New-EC2VpnGateway (AWS Tools for Windows PowerShell)

使用命令行或 API 将虚拟专用网关连接到 VPC

• AttachVpnGateway（亚马逊 EC2 查询 API）

• attach-vpn-gateway (AWS CLI)

• Add-EC2VpnGateway (AWS Tools for Windows PowerShell)

创建中转网关

有关创建中转网关的更多信息，请参阅 Amazon VPC 中转网关 中的中转网关。

步骤 3：配置路由

要使您 VPC 中的实例可以访问您的客户网关，您必须配置路由表以包含您的 VPN 连接所使用的路由，并将它们指向您的虚拟私有网关或中转网关。

（虚拟私有网关）在路由表中启用路由传播

您可以为路由表启用路由传播，以自动传播 Site-to-Site VPN 路由。

对于静态路由，您为 VPN 配置指定的静态 IP 前缀会在 VPN 连接状态为 UP 时传播到路由表。同样，对于动态路由，来自客户网关的通告 BGP 路由会在 VPN 连接的状态为 UP 时传播到路由表。

注意

如果您的连接中断但 VPN 连接保持在 UP 状态，您的路由表中的任何已传播路由将不会自动删除。请注意这一点，例如在您想将流量失效转移到静态路由时。在这种情况下，您可能必须禁用路由传播才能删除传播的路由。

使用控制台启用路由传播

1. 在导航窗格中，选择 Route tables（路由表）。

2. 选择与子网关联的路由表。

3. 在路由传播选项卡上，选择编辑路由传播。选择您在之前过程中创建的虚拟私有网关，然后选择保存。

注意

如果您没有启用路由传播，则必须手动输入 VPN 连接使用的静态路由。为此，请选择您的路由表，然后依次选择 Routes（路由）、Edit（编辑）。在目的地中，添加您的 Site-to-Site VPN 连接使用的静态路由。对于 Target，选择虚拟专用网关 ID，然后选择 Save。

使用控制台禁用路由传播

1. 在导航窗格中，选择 Route tables（路由表）。

2. 选择与子网关联的路由表。

3. 在路由传播选项卡上，选择编辑路由传播。清除虚拟私有网关的传播复选框。

4. 选择保存。

使用命令行或 API 启用路由传播

• EnableVgwRoutePropagation（亚马逊 EC2 查询 API）

• enable-vgw-route-propagation (AWS CLI)

• Enable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)

使用命令行或 API 禁用路由传播

• DisableVgwRoutePropagation（亚马逊 EC2 查询 API）

• disable-vgw-route-propagation (AWS CLI)

• Disable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)

（中转网关）向路由表添加路由

如果您为中转网关启用了路由表传播，则 VPN 连接的路由将传播到中转网关路由表。有关更多信息，请参阅 Amazon VPC 中转网关 中的路由。

如果您将 VPC 连接到中转网关，并且您希望允许 VPC 中的资源能够访问您的客户网关，则必须向子网路由表添加路由以指向中转网关。

向 VPC 路由表中添加路由

1. 在导航窗格中，选择路由表。

2. 选择与 VPC 关联的路由表。

3. 在 Routes (路由) 选项卡上，选择 Edit routes (编辑路由)。

4. 选择 Add route (添加路由)。

5. 对于目标，输入目标 IP 地址范围。对于目标，选择中转网关。

6. 选择 Save changes（保存更改）。

步骤 4：更新安全组

要允许从您的网络访问 VPC 中的实例，您必须更新安全组规则以启用入站 SSH、RDP 和 ICMP 访问。

向安全组添加规则以启用访问

1. 在导航窗格中，选择 Security Groups（安全组）。

2. 选择 VPC 中要允许访问的实例的安全组。

3. 在 Inbound Rules (入站规则) 选项卡上，选择 Edit inbound rules (编辑入站规则)。

4. 添加规则，这些规则允许从您的网络进行入站 SSH、RDP 和 ICMP 访问，然后选择保存规则。有关更多信息，请参阅《Amazon VPC 用户指南》中的使用安全组规则。

步骤 5：创建 VPN 连接

将客户网关与您之前创建的虚拟私有网关或中转网关结合使用，以创建 VPN 连接。

创建 VPN 连接

1. 在导航窗格中，选择 Site-to-Site VPN 连接。

2. 选择创建 VPN 连接。

3. （可选）对于名称标签，为您的 VPN 连接输入名称。这样做可创建具有 Name 键以及您指定的值的标签。

4. 对于 Target gateway type（目标网关类型），选择 Virtual private gateway（虚拟私有网关）或 Transit gateway（中转网关）。然后，选择您之前创建的虚拟私有网关或中转网关。

5. 对于客户网关，选择现有，然后从客户网关 ID 中选择之前创建的客户网关。

6. 根据您的客户网关设备是否支持边界网关协议（BGP），选择一个路由选项：

   • 如果您的客户网关设备支持 BGP，请选择动态（需要 BPG）。

   • 如果您的客户网关设备不支持 BGP，请选择静态。对于 Static IP Prefixes，为您的 VPN 连接的专用网络指定各自的 IP 前缀。

7. 如果您的目标网关类型是传输网关，则对于 IP 内部隧道版本，请指定 VPN 隧道是否支持 IPv4 或 IPv6流量。 IPv6 只有传输网关上的 VPN 连接才支持流量。

8. 如果您在 IP 版本内指定IPv4隧道，则可以选择为客户网关和允许通过 VPN 隧道进行通信的 AWS 端指定 IPv4 CIDR 范围。默认为 0.0.0.0/0。

   如果您在 IP 版本内指定IPv6隧道，则可以选择为客户网关和允许通过 VPN 隧道进行通信的 AWS 端指定 IPv6 CIDR 范围。这两个范围的默认值均为 ::/0。

9. 对于外部 IP 地址类型，保留默认选项 PublicIpv4。

10. （可选）对于隧道选项，您可以选择为每个隧道指定以下信息：

    • 内部隧道 IPv4 地址169.254.0.0/16范围 IPv4 中的 CIDR 块大小为 /30。

    • 如果您在 IP 版本内IPv6为 Tunnel 指定，则内部隧道地址的fd00::/8范围中会有 /126 IPv6 CIDR 块。 IPv6

    • IKE 预共享密钥（PSK）。支持以下版本： IKEv1 或 IKEv2。

    • 要编辑隧道的高级选项，请选择编辑隧道选项。有关更多信息，请参阅 VPN 隧道选项。

11. 选择创建 VPN 连接。创建 VPN 连接可能需要几分钟时间。

使用命令行或 API 创建 VPN 连接

• CreateVpnConnection（亚马逊 EC2 查询 API）

• create-vpn-connection (AWS CLI)

• New-EC2VpnConnection (AWS Tools for Windows PowerShell)

步骤 6：下载配置文件

创建 VPN 连接后，您可以下载示例配置文件用于配置客户网关设备。

重要

配置文件仅为示例，可能与您的目标 VPN 连接设置完全不符。它规定了大多数地区的 AES128 SHA1、和 Diffie-Hellman 组 2 的 VPN 连接的最低要求，以及 AWS 区域中的 AES128 SHA2、和 Diffie-Hellman 组 14 的最低要求。 AWS GovCloud 它还指定用于身份验证的预共享密钥。您必须修改示例配置文件以利用其他安全算法、Diffie-Hellman 组、私有证书和流量。 IPv6

我们在配置文件中引入了对许多常用客户网关设备的 IKEv2 支持，并将随着时间的推移继续添加其他文件。有关 IKEv2 支持的配置文件列表，请参阅AWS Site-to-Site VPN 客户网关设备。

权限

要从正确加载下载配置屏幕 AWS Management Console，您必须确保您的 IAM 角色或用户拥有以下 Amazon 的权限 EC2 APIs：GetVpnConnectionDeviceTypes和GetVpnConnectionDeviceSampleConfiguration。

使用控制台下载配置文件

1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

2. 在导航窗格中，选择 Site-to-Site VPN 连接。

3. 选择您的 VPN 连接，然后选择下载配置。

4. 选择与您的客户网关设备对应的供应商、平台和软件和 IKE 版本。如果您的设备未列出，请选择 Generic (通用)。

5. 选择 Download（下载）。

使用命令行或 API 下载配置文件示例

• GetVpnConnectionDeviceTypes（亚马逊 EC2 API）

• GetVpnConnectionDeviceSampleConfiguration（亚马逊 EC2 查询 API）

• get-vpn-connection-device-类型 ()AWS CLI

• get-vpn-connection-device-示例配置 ()AWS CLI

步骤 7：配置客户网关设备

使用示例配置文件配置客户网关设备。客户网关设备是 VPN 连接在您这一端的实体设备或软件设备。有关更多信息，请参阅 AWS Site-to-Site VPN 客户网关设备。