创建中转网关 VPN 连接 - AWS Site-to-Site VPN

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建中转网关 VPN 连接

要在中转网关上创建 VPN 挂载,您必须指定中转网关和客户网关。在执行此过程之前,需要创建中转网关。有关创建中转网关的更多信息,请参阅 Amazon VPC 中转网关 中的中转网关

使用控制台在中转网关上创建 VPN 挂载

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Site-to-Site VPN 连接

  3. 选择 Create VPN connection(创建 VPN 连接)。

  4. (可选)对于名称标签,输入连接的名称。这样做可创建具有 Name 键以及您指定的值的标签。

  5. 对于目标网关类型,选择中转网关,然后选择中转网关。

  6. 对于 Customer gateway(客户网关),执行以下操作之一:

    • 要使用现有的客户网关,请选择现有,然后选择客户网关。

      如果您的客户网关位于为 NAT 遍历(NAT-T) 而启用的网络地址转换(NAT) 设备后面,请使用您的 NAT 设备的公有 IP 地址,并调整防火墙规则以取消阻止 UDP 端口 4500。

    • 要创建客户网关,请选择 New (新建)。对于 IP Address(IP 地址),请输入静态公有 IP 地址。对于 Certificate ARN (证书 ARN),请选择私有证书的 ARN(如果使用基于证书的身份验证)。对于 BGP ASN,输入您的客户网关的边界网关协议 (BGP) 自治系统编号 (ASN)。有关更多信息,请参阅客户网关选项

  7. 对于路由选项,选择动态静态

  8. 对于隧道内部 IP 版本,指定 VPN 隧道是支持 IPv4 还是 IPv6 流量。只有中转网关上的 VPN 连接才支持 IPv6 流量。

  9. (可选)对于 Enable acceleration(启用加速),选中复选框可启用加速。有关更多信息,请参阅加速的 VPNVPN 连接

    如果您启用加速,我们将创建两个加速器以供您的 VPN 连接使用。将收取额外费用。

  10. (可选)对于 Local IPv4 network CIDR(本地 IPv4 网络 CIDR),指定客户网关(本地部署)端上允许通过 VPN 隧道进行通信的 IPv4 CIDR 范围。默认为 0.0.0.0/0

    对于 Remote IPv4 network CIDR(远程 IPv4 网络 CIDR),请指定 AWS 端上允许通过 VPN 隧道进行通信的 IPv4 CIDR 范围。默认为 0.0.0.0/0

    如果您为 Tunnel inside IP version(隧道内部 IP 版本)指定了 IPv6,请指定客户网关端和 AWS 端上允许通过 VPN 隧道进行通信的 IPv6 CIDR 范围。这两个范围的默认值均为 ::/0

  11. (可选)对于隧道选项,您可以选择为每个隧道指定以下信息:

    • 隧道内的 IPv4 地址范围 169.254.0.0/16 内的大小为 /30 的 IPv4 CIDR 块。

    • 如果为隧道内部 IP 版本指定了 IPv6,则应指定隧道内部 IPv6 地址范围 fd00::/8 内的 /126 IPv6 CIDR 块。

    • IKE 预共享密钥 (PSK)。支持以下版本:IKEv1 或 IKEv2。

    • 要编辑隧道的高级选项,请选择编辑隧道选项。有关更多信息,请参阅VPN 隧道选项

  12. 选择 Create VPN connection(创建 VPN 连接)。

使用 AWS CLI 创建 VPN 挂载

使用 create-vpn-connection 命令并为 --transit-gateway-id 选项指定中转网关 ID。