为 AWS 云广域网创建 AWS Site-to-Site VPN 附件 - AWS Site-to-Site VPN

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 AWS 云广域网创建 AWS Site-to-Site VPN 附件

您可以按照以下步骤为 AWS Cloud WAN 创建 Site-to-Site VPN 附件。有关 VPN 附件和云广域网的更多信息,请参阅云广域网用户指南中的 AWS 云广域网中的 Site-to-site AWS VPN 附件

Cloud WAN VPN 附件同时支持两种 IPv6 协议 IPv4 或协议。有关使用这两种协议进行云广域网 VPN 连接的更多信息,请参阅IPv4 和 AWS Site-to-Site VPN 中的 IPv6 流量

使用控制台为 AWS Cloud WAN 创建 VPN 连接

  1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在导航窗格中,选择 Site-to-Site VPN 连接

  3. 选择创建 VPN 连接

  4. (可选)对于名称标签,输入连接的名称。这样做可创建具有 Name 键以及您指定的值的标签。

  5. 对于 Target gateway type(目标网关类型),请选择 Not associated(未关联)。

  6. 对于客户网关,执行以下操作之一:

    • 要使用现有的客户网关,请选择现有,然后选择客户网关 ID

    • 要创建新的客户网关,请选择建。

      1. 对于 IP 地址,请输入静态IPv4IPv6地址。

      2. (可选)对于证书 ARN,请选择您的私有证书的 ARN(如果使用基于证书的身份验证)。

      3. 对于 BGP ASN,输入您的客户网关的边界网关协议(BGP)自治系统编号(ASN)。有关更多信息,请参阅 客户网关选项

  7. 对于路由选项,选择动态(需要 BGP)静态

  8. 对于预共享密钥存储,请选择 “标准” 或 “S ecrets Manager”。默认选择为 “标准”。有关使用 AWS Secrets Manager的更多信息,请参阅安全性

  9. 对于 IP 内的 Tunnel 版本,请选择IPv4IPv6

  10. (可选)在 “启用加速” 中,选中复选框以启用加速。有关更多信息,请参阅 加速的 VPN 连接

    如果您启用加速,我们将创建两个加速器以供您的 VPN 连接使用。将收取额外费用。

  11. (可选)根据您选择的 IP 内部隧道版本,执行以下任一操作:

    • IPv4 — 对于本地 IPv4 网络 CIDR,请指定允许通过 VPN 隧道进行通信的客户网关(本地)端的 IPv4 CIDR 范围。对于远程 IPv4 网络 CIDR,请选择允许通过 VPN 隧道进行通信 AWS 的一侧的 CIDR 范围。这两个字段的默认值均为0.0.0.0/0

    • IPv6 — 对于本地 IPv6 网络 CIDR,请指定允许通过 VPN 隧道进行通信的客户网关(本地)端的 IPv6 CIDR 范围。对于远程 IPv6 网络 CIDR,请选择允许通过 VPN 隧道进行通信 AWS 的一侧的 CIDR 范围。这两个字段的默认值都是 ::/0

  12. 对于外部 IP 地址类型,请选择以下选项之一:

    • 公共 IPv4-(默认)使用外部隧道 IPv4 的地址 IPs。

    • 私有 IPv4-使用私有 IPv4 地址在私有网络中使用。

    • IPv6-使用外部隧道 IPv6 的地址 IPs。此选项要求您的客户网关设备支持 IPv6 寻址。

    注意

    如果选择IPv6外部 IP 地址类型,则必须使用 IPv6 地址创建客户网关

  13. (可选)对于隧道 1 选项,您可以为每个隧道指定以下信息:

    • 内部隧道 IPv4 地址169.254.0.0/16范围 IPv4 中的 CIDR 块大小为 /30。

    • 如果您在 IP 版本内IPv6为 Tunnel 指定,则内部隧道地址fd00::/8范围中会有 /126 IPv6 CIDR 块。 IPv6

    • IKE 预共享密钥(PSK)。支持以下版本: IKEv1 或 IKEv2。

    • 要编辑隧道的高级选项,请选择编辑隧道选项。有关更多信息,请参阅 VPN 隧道选项

    • (可选)为隧道活动日志选择启用,以捕获 IPsec 活动和 DPD 协议消息的日志消息。

    • (可选)为隧道端点生命周期选择开启以控制端点更换计划。有关隧道终端节点生命周期的更多信息,请参阅隧道端点生命周期

  14. (可选)选择 Tunn el 2 选项,然后按照前面的步骤设置第二条隧道。

  15. 选择创建 VPN 连接

使用命令行或 API 创建 Site-to-Site VPN 连接

  • CreateVpnConnection(亚马逊 EC2 查询 API)

  • create-vpn-connection (AWS CLI)

    使用 IPv6 外部隧道 IPs 和 IPv6 内部隧道创建 VPN 连接的示例 IPs:

    aws ec2 create-vpn-connection --type ipsec.1 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=pv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]