AWS Site-to-Site VPN
用户指南

为您的 Site-to-Site VPN 连接配置 VPN 隧道

您使用 Site-to-Site VPN 连接以将您的远程网络连接到 VPC。每项 Site-to-Site VPN 连接都有两条隧道,每条隧道都会使用一个独特的虚拟专用网关公有 IP 地址。配置两条隧道以提供冗余能力是重要的步骤。当一条隧道无法使用时(例如,因维护而关闭),网络流量会自动路由到指定 Site-to-Site VPN 连接的其他可用隧道。

下图展示了 Site-to-Site VPN 连接的两条隧道。

当您创建 Site-to-Site VPN 连接时,将会下载一个特定于客户网关设备的配置文件,其中包含有关配置设备的信息,包括有关配置每个隧道的信息。在创建 Site-to-Site VPN 连接时,您可以选择自己指定某些隧道选项。否则,AWS 会提供默认值。

下表描述了您可以配置的隧道选项。

项目 描述 AWS 提供的默认值

隧道内部 CIDR

VPN 隧道的内部 IP 地址范围。您可以指定 169.254.0.0/16 范围中大小为 /30 的 CIDR 块。对于使用同一虚拟专用网关的所有 Site-to-Site VPN 连接,CIDR 块必须是唯一的。

以下 CIDR 块由系统保留,不能使用:

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

169.254.0.0/16 范围中大小为 /30 的 CIDR 块。

预共享密钥 (PSK)

预共享密钥 (PSK),用于在虚拟专用网关和客户网关之间建立初始 IKE 安全关联。

PSK 的长度必须在 8 到 64 个字符之间,而且不能以零 (0) 开头。允许的字符是字母数字字符、句点 (.) 和下划线 (_)。

32 个字符的字母数字字符串。

创建 Site-to-Site VPN 连接后,便无法修改隧道选项。要更改现有连接的隧道内部 IP 地址或 PSK,必须删除 Site-to-Site VPN 连接并创建一个新连接。您无法为 AWS Classic VPN 连接配置隧道选项。