本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AWS Site-to-Site VPN 客户网关设备的要求 AWS 支持许多 Site-to-Site VPN 客户网关设备,我们为这些设备提供了可下载的配置文件。有关支持的设备的列表以及下载配置文件的步骤,请参阅[静态和动态路由配置文件](example-configuration-files.md)。 如果您的设备不在支持的设备列表中,则下一节将介绍该设备建立 Site-to-Site VPN 连接必须满足的要求。 客户网关设备的配置有四个主要部分。以下符号表示配置的各个部分。 | | | | --- |--- | | ![\[Internet 密钥交换符号\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/IKE.png) | Internet 密钥交换 (IKE) 安全关联。这是交换用于建立 IPsec 安全关联的密钥所必需的。 | | ![\[Internet 协议安全性\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/IPsec.png) | IPsec 安全关联。此项用于处理隧道的加密、身份验证等。 | | ![\[隧道接口符号\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/Tunnel.png) | 隧道接口。此项用于接收来往隧道的流量。 | | ![\[边界网关协议\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/BGP.png) | (可选)建立边界网关协议 (BGP) 对等体。对于使用 BGP 的设备,这会在客户网关设备和虚拟私有网关之间交换路由。 | 下表列出了对客户网关设备的要求、相关的 RFC(用于参考)和有关该要求的备注。 每个 VPN 连接由两条单独的隧道构成。每个隧道都包含一个 IKE 安全关联、一个 IPsec 安全关联和 BGP 对等连接。每条隧道只能有一个唯一的安全关联 (SA) 对(一个入站和一个出站),因此两条隧道(四个)总共只能有两个唯一的安全关联 (SA SAs) 对。有些设备使用基于策略的 VPN 并创建任意多 SAs 个 ACL 条目。因此,可能需要合并您的规则,然后再进行筛选,以使您不允许多余的流量通过。 默认情况下,当生成流量并且从 VPN 连接的一端启动 IKE 协商时,VPN 隧道将启动。您可以将 VPN 连接配置为改为从连接 AWS 端启动 IKE 协商。有关更多信息,请参阅 [AWS Site-to-Site VPN 隧道启动选项](initiate-vpn-tunnels.md)。 VPN 端点支持重新加密,如果客户网关设备没有发送任何重新商通信,则当阶段 1 即将到期时,可以启动谈判。 | 要求 | RFC | 评论 | | --- | --- | --- | | 建立 IKE 安全关联 ![\[IKE\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/IKE.png) | [RFC 2409](https://datatracker.ietf.org/doc/html/rfc2409) [RFC 7296](https://datatracker.ietf.org/doc/html/rfc7296) | 首先使用预共享密钥或 AWS 私有证书颁发机构 用作身份验证器的私有证书在虚拟专用网关和客户网关设备之间建立 IKE 安全关联。建立后,IKE 即协商临时密钥,以便对将来的 IKE 消息进行保密。参数之间必须完全一致,包括加密和身份验证参数。 在中创建 VPN 连接时 AWS,您可以为每个隧道指定自己的预共享密钥,也可以让它为您 AWS 生成一个预共享密钥。或者,您可以使用指定用于客户网关设备的私有证书。 AWS 私有证书颁发机构 有关配置 VPN 隧道的更多信息,请参阅 [您的 AWS Site-to-Site VPN 连接的隧道选项](VPNTunnels.md)。 支持以下版本: IKEv1 和 IKEv2。 我们仅支持主模式 IKEv1。 Site-to-SiteVPN 服务是一种基于路由的解决方案。如果您使用的是基于策略的配置,则必须将配置限制为单个安全关联 (SA)。 | | 在隧道模式下建立 IPsec 安全关联 ![\[IPsec\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/IPsec.png) | [RFC 4301](https://datatracker.ietf.org/doc/html/rfc4301) | 使用 IKE 临时密钥,在虚拟专用网关和客户网关设备之间建立密钥以形成 IPsec 安全关联 (SA)。网关间的流量使用该 SA 进行加密和解密。IKE 会定期自动轮换用于加密 IPsec SA 内部流量的临时密钥,以确保通信的机密性。 | | 使用 AES 128 位加密或 AES 256 位加密功能 | [RFC 3602](https://datatracker.ietf.org/doc/html/rfc3602) | 加密功能用于确保 IKE 和 IPsec 安全关联的隐私。 | | 使用 SHA-1 或 SHA-2 (256) 哈希函数 | [RFC 2404](https://datatracker.ietf.org/doc/html/rfc2404) | 此哈希函数用于对 IKE 和 IPsec安全关联进行身份验证。 | | 使用 Diffie-Hellman Perfect Forward Secrecy。 | [RFC 2409](https://datatracker.ietf.org/doc/html/rfc2409) | IKE 使用 Diffie-Hellman 建立临时密钥,确保客户网关设备和虚拟私有网关之间的所有通讯安全可靠。 支持以下组: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/CGRequirements.html) | | (动态路由 VPN 连接)使用失效对等体检测 IPsec | [RFC 3706](https://datatracker.ietf.org/doc/html/rfc3706) | 失效对端检测的运用让 VPN 设备能够快速识别网络条件阻止数据包经由 Internet 传送的情况。发生此情况时,网关将删除该安全关联并尝试建立新关联。在此过程中,如果可能,将使用备用 IPsec 隧道。 | | (动态路由 VPN 连接)将隧道绑定到逻辑接口(基于路由的 VPN) ![\[Tunnel\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/Tunnel.png) | 无 | 您的设备必须能够将 IPsec 隧道绑定到逻辑接口。该逻辑接口包含用来向虚拟私有网关建立 BGP 对等体的 IP 地址。该逻辑接口不应执行额外的封装(例如:GRE 或 IP 中的 IP)。应将接口最大传输单位 (MTU) 设置为 1399 字节。 | | (动态路由 VPN 连接)建立 BGP 对等体 ![\[BGP\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/BGP.png) | [RFC 4271](https://datatracker.ietf.org/doc/html/rfc4271) | 对于使用 BGP 的设备,BGP 用于在客户网关设备和虚拟私有网关间交换路由。所有 BGP 流量都经过加密并通过 IPsec 安全协会传输。两个网关都需要 BGP 才能交换可通过 SA 访问的 IP 前缀。 IPsec | AWS VPN 连接不支持 Path MTU 发现 ([RFC 1](https://datatracker.ietf.org/doc/html/rfc1191) 191)。 如果您的客户网关设备和 Internet 之间有防火墙,请参阅[AWS Site-to-Site VPN 客户网关设备的防火墙规则](FirewallRules.md)。