站点到站点 VPN 连接的客户网关选项

下表描述了在 AWS 中创建客户网关资源所需的信息

项目	描述
（可选）名称标签。	创建具有“名称”键以及您指定的值的标签。
（仅动态路由）客户网关的边界网关协议 (BGP) 自治系统编号 (ASN)。	支持 1 到 2,147,483,647 范围内的 ASN。您可以使用为您的网络分配的现有公有 ASN，但以下情况除外： 7224 - 在所有区域保留 9059 - 在 eu-west-1 区域保留 10124 - 在 ap-northeast-1 区域保留 17943 - 在 ap-southeast-1 区域保留 如果您没有公有 ASN，则可以使用私有 ASN（在 64512–65534 范围内）。默认 ASN 为 65000。客户网关不支持 4,200,000,000 到 4,294,967,294 范围的私有 ASN。有关路由的更多详细信息，请参阅站点到站点 VPN 路由选项。
（可选）客户网关设备的外部接口的 IP 地址。	该 IP 地址必须是静态的。 如果您的客户网关设备位于网络地址转换 (NAT, Network Address Translation) 设备的后面，请使用 NAT 设备的 IP 地址。此外，请确保允许端口 500（如果使用 NAT-Traversal，则还要允许端口 4500）上的 UDP 数据包在您的网络和端点之间传递。 AWS Site-to-Site VPN 有关更多信息，请参阅防火墙规则。 使用来自的私有证书 AWS Private Certificate Authority 和公共 VPN 时，不需要 IP 地址。
（可选）使用 AWS Certificate Manager (ACM) 从属 CA 获得的私有证书。	如果您要使用基于证书的身份验证，请提供将在客户网关设备上使用的 ACM 私有证书的 ARN。 创建客户网关时，您可以将客户网关配置为使用 AWS Private Certificate Authority 私有证书对 Site-to-Site VPN 进行身份验证。 当您选择使用此选项时，您将创建一个完全 AWS托管的私有证书颁发机构 (CA)，供组织内部使用。根 CA 证书和从属 CA 证书均由存储和管理 AWS 私有 CA。 在创建客户网关之前，您可以使用从属 CA 创建私有证书 AWS Private Certificate Authority，然后在配置客户网关时指定证书。有关创建私有证书的信息，请参阅《AWS Private Certificate Authority 用户指南》中的创建和管理私有 CA。
（可选）设备。	与此客户网关关联的客户网关设备的名称。