站点到站点 VPN 连接的客户网关选项 - AWS 站点到站点 VPN

站点到站点 VPN 连接的客户网关选项

下表描述了在 中创建客户网关资源所需的信息AWS

Item 描述

(可选)客户网关设备外部接口的 Internet 可路由 IP 地址(静态)

公有 IP 地址值必须是静态地址。如果您的客户网关位于为 NAT 遍历 (NAT-T) 而启用的网络地址转换 (NAT) 设备后面,请使用您的 NAT 设备的公有 IP 地址,并调整防火墙规则以取消阻止 UDP 端口 4500。

当您使用来自 的私有证书时,此项不是必需项AWS Certificate Manager Private Certificate Authority

路由类型 – 静态或动态。

有关更多信息,请参阅站点到站点 VPN 路由选项

(仅动态路由) 客户网关的边界网关协议 (BGP) 自治系统编号 (ASN)。

CGW 支持 1 到 65535 范围内的 2 字节 ASN。您可以使用分配给网络的现有的公有 ASN。如果您没有 ASN,您可以使用专用 ASN (在 64512–65534 范围内)。默认 ASN 为 65000。

Amazon EC2 支持 1 到 2147483647 范围内的 4 字节 ASN 编号,但以下编号除外:

  • 7224 - 保留用于 us-east-1 区域

  • 9059 - 保留用于 eu-west-1 区域

  • 17943 - 保留用于 ap-southeast-1 区域

  • 10124 - 保留用于 ap-northeast-1 区域

(可选)来自使用 AWS Certificate Manager (ACM) 的从属 CA 的私有证书

如果您要使用基于证书的身份验证,请提供将在客户网关设备上使用的 ACM 私有证书的 ARN。

创建客户网关时,您可以将客户网关配置为使用 AWS Certificate Manager Private Certificate Authority 私有证书对 Site-to-Site VPN 进行身份验证。

选择使用此选项时,您将创建完全由 AWS 托管的私有证书颁发机构 (CA) 供您的组织内部使用。根 CA 证书和从属 CA 证书都由 ACM 私有 CA 存储和管理。

在创建客户网关之前,您可以使用 AWS Certificate Manager Private Certificate Authority 通过从属 CA 创建私有证书,然后在配置客户网关时指定该证书。有关创建私有证书的信息,请参阅 AWS Certificate Manager Private Certificate Authority 用户指南中的创建和管理私有 CA