本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
加速 Site-to-Site VPN 连接
您可以选择为站点到站点 VPN 连接启用加速。加速的站点到站点 VPN 连接(加速 VPN 连接)用于 AWS Global Accelerator 将流量从您的本地网络路由到离您的客户网关设备最近的 AWS 边缘位置。 AWS Global Accelerator 优化网络路径,使用无拥塞的 AWS 全球网络将流量路由到提供最佳应用程序性能的端点(有关更多信息,请参阅)。AWS Global Accelerator
当您创建加速 VPN 连接时,我们将代表您创建和管理两个加速器(每个 VPN 隧道一个)。您无法使用 AWS Global Accelerator 控制台或 API 自行查看或管理这些加速器。
有关支持加速 VPN 连接的 AWS 区域的信息,请参阅AWS 加速站点到站点
启用加速
默认情况下,当您创建站点到站点 VPN 连接时,加速处于禁用状态。您可以选择在中转网关上创建新的站点到站点 VPN 挂载时启用加速。有关更多信息和步骤,请参阅创建中转网关 VPN 连接。
加速 VPN 连接使用单独的 IP 地址池作为隧道终端节点 IP 地址。两个 VPN 隧道的 IP 地址选自两个独立的网络区域。
规则和限制
要使用加速的 VPN 连接,应遵循以下规则:
-
仅附加到中转网关的站点到站点 VPN 连接支持加速。虚拟私有网关不支持加速 VPN 连接。
-
加速的站点到站点 VPN 连接不能与公共虚拟接口 AWS Direct Connect 一起使用。
-
无法为现有的站点到站点 VPN 连接开启或关闭加速。不过,您可以根据需要创建开启或关闭加速的新的站点到站点 VPN 连接。然后,将客户网关设备配置为使用新的站点到站点 VPN 连接并删除旧的站点到站点 VPN 连接。
-
NAT-遍历 (NAT-T) 是加速 VPN 连接所需的,并且默认情况下处于启用状态。如果您从 Amazon VPC 控制台下载了配置文件,请检查 NAT-T 设置并根据需要对其进行调整。
-
加速 VPN 隧道的 IKE 协商必须从客户网关设备启动。影响此行为的两个隧道选项是
Startup Action和DPD Timeout Action。有关更多信息,请参阅 VPN 隧道选项 和 VPN 隧道启动选项。 -
由于Global Accelerator中对数据包分段的支持有限,因此使用基于证书的身份验证的站点到站点 VPN 连接可能与 AWS Global Accelerator不兼容。有关更多信息,请参阅 AWS Global Accelerator 的工作原理。如果您需要使用基于证书的身份验证的加速 VPN 连接,您的客户网关设备必须支持 IKE 分段。否则,请勿启用 VPN 加速。
