本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 您的 AWS Site-to-Site VPN 连接的隧道选项
您可以使用 Site-to-Site VPN 连接将您的远程网络连接到 VPC。每个 Site-to-Site VPN 连接都有两条隧道,每条隧道使用唯一的公有 IP 地址。配置两条隧道以提供冗余能力是重要的步骤。当一条隧道不可用(例如,因维护而关闭)时,网络流量会自动路由到该特定 Site-to-Site VPN 连接的可用隧道。
下图展示了 VPN 连接的两条隧道。每条隧道在不同的可用区终止,以提供更高的可用性。从本地网络到的流量 AWS 使用两条隧道。来自本地网络 AWS 的流量优先选择其中一条隧道,但如果 AWS 侧面出现故障,则可以自动故障转移到另一条隧道。
![\[虚拟私有网关和客户网关之间的 VPN 连接的两条隧道。\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/Multiple_VPN_Tunnels_diagram.png)
创建 Site-to-Site VPN 连接时,需要下载特定于您的客户网关设备的配置文件,其中包含配置设备的信息,包括配置每条隧道的信息。创建 Site-to-Site VPN 连接时,您可以选择自己指定一些隧道选项。否则, AWS 会提供默认值。
## 隧道带宽选项
您可以配置 VPN 隧道的带宽容量:
+ **标准带宽**:每条隧道最高可达 1.25 Gbps(默认)
+ **大型带宽隧道 (LBT):每**条隧道最高可达 5 Gbps
大型带宽隧道仅适用于连接到 Transit Gateway 或 Cloud WAN 的 VPN 连接。有关更多信息,请参阅 [大型带宽隧道](#large-bandwidth-tunnels)。
**注意**
Site-to-Site 无论客户网关的提案顺序如何,VPN 隧道端点都会从下面列表中的最低配置值开始评估来自客户网关的提案。您可以使用`modify-vpn-connection-options`命令来限制 AWS 端点将接受的选项列表。有关更多信息,请参阅 *Amazon EC2 命令行参考[modify-vpn-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection-options.html)*中的。
## 大型带宽隧道
大型带宽隧道允许您配置每条隧道支持高达 5 Gbps 带宽的 VP Site-to-Site N 隧道,而标准带宽为 1.25 Gbps。大型带宽隧道可用于连接到 Transit Gateway 或 Cloud WAN 的 VPN 连接。这消除或减少了部署复杂协议(例如ECMP(等价多路径)以实现更高的带宽的需求,并确保每条隧道的带宽稳定为5 Gbps。大型带宽隧道设计用于以下用例:
+ **数据中心连接**:支持带宽密集型混合应用程序、大数据迁移或需要在 AWS 工作负载和本地数据中心之间实现高容量连接的灾难恢复架构。
+ **Direct Connect 备份**:为本地数据中心或托管设施的大容量 Direct Connect 电路(10 Gbps 以上)提供备份或重叠连接。
### 区域可用性
除以下区域外,所有区域均提供大型带宽隧道:
**不可用 AWS 区域**
| AWS 区域 | 说明 |
| --- | --- |
| ap-southeast-4 | 亚太地区(墨尔本) |
| ca-west-1 | 加拿大西部(卡尔加里) |
| eu-central-2 | 欧洲(苏黎世) |
| il-central-1 | 以色列(特拉维夫) |
| me-central-1 | 中东(阿联酋): |
### 要求和限制
+ 仅适用于连接到传输网关或云广域网的 VPN 连接。不支持虚拟专用网关附件。
+ VPN 连接的两条隧道必须使用相同的带宽配置(均为 1.25 Gbps 或两者均为 5 Gbps)。
+ 不支持加速 VPN。
+ 所有其他核心 VPN 功能(例如私有 IP VPN、路由和隧道维护)与大型带宽隧道的作用相同。
+ MTU 限制仍为 1500 字节。 [详细了解](https://docs.aws.amazon.com/vpn/latest/s2svpn/cgw-best-practice.html)如何根据使用的算法调整 MTU 和 MSS 大小。
+ 您无法修改现有隧道以使用大带宽隧道。**您需要先删除隧道,然后创建新隧道并将隧道带宽设置为 Large。**
+ 只有具有固定 IP 的客户网关 (CGWs) 才能与大型带宽隧道一起使用。
+ 没有 IP 地址的客户网关 (CGWs) 不能用于大型带宽隧道。
+ 在建立隧道时,大型带宽隧道不支持更改 NAT-T 端口。
+ 需要分段的数据包的性能可能会降低。 [了解更多](https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-limits.html#vpn-quotas-mtu)。
### 大型带宽隧道的定价
有关大带宽 VPN 连接定价的信息可在 [AWS VPN 定价](https://aws.amazon.com/vpn/pricing/#AWS_Site-to-Site_VPN_and_Accelerated_Site-to-Site_VPN_Connection_Pricing)页面上找到。
### 扩展速度超过 5 Gbps
如果每个隧道的带宽要求超过 5 Gbps,则可以在多个 VPN 连接中使用 ECMP。例如,您可以通过使用大带宽隧道部署两个 VPN 连接并在所有四条隧道中使用 ECMP 来实现 20 Gbps 带宽。
# 为以下各项配置隧道选项 AWS Site-to-Site VPN
本节提供有关为 AWS Site-to-Site VPN 连接配置隧道选项的全面指导,涵盖基本参数,例如失效对等体检测、IKE 版本和加密设置。您可以自定义这些隧道选项,以优化 VPN 连接的安全性、性能以及与本地网络基础设施的兼容性。
以下是您可以配置的隧道选项。
**注意**
某些隧道选项有多个默认值。例如,**IKE 版本**有两个默认隧道选项值:`ikev1` 和 `ikev2`。如果您不选择特定值,则所有默认值都将与该隧道选项相关联。单击删除您不希望与隧道选项相关联的任何默认值。例如,如果您只想使用 `ikev1` 作为 IKE 版本,请单击 `ikev2` 将其删除。
**失效对端检测 (DPD) 超时**
发生 DPD 超时之后的秒数。DPD 超时为 30 秒意味着 VPN 端点将在第一次保持连接失败 30 秒后认为对等体已死亡。您可以指定 30 或更高值。
原定设置值:40
**DPD 超时操作**
发生失效对端检测 (DPD) 超时后采取的操作。您可以指定:
+ `Clear`:当发生 DPD 超时时结束 IKE 会话(停止隧道并清除路由)
+ `None`:当发生 DPD 超时时不采取任何操作
+ `Restart`:当发生 DPD 超时时重新启动 IKE 会话
有关更多信息,请参阅[AWS Site-to-Site VPN 隧道启动选项](initiate-vpn-tunnels.md)。
默认值:`Clear`
**VPN 日志记录选项**
使用 Site-to-Site VPN 日志,您可以访问有关 IP 安全 (IPsec) 隧道建立、互联网密钥交换 (IKE) 协商和失效对等体检测 (DPD) 协议消息的详细信息。
有关更多信息,请参阅 [AWS Site-to-Site VPN 日志](monitoring-logs.md)。
可用的日志格式:`json`、`text`
**IKE 版本**
VPN 隧道允许的 IKE 版本。您可以指定一个或多个默认值。
默认值:`ikev1`、`ikev2`
**隧道内部 IPv4 CIDR**
VPN 隧道的内部(内部) IPv4 地址范围。您可以指定 `169.254.0.0/16` 范围中大小为 /30 的 CIDR 块。在使用相同虚拟专用网关的所有 Site-to-Site VPN 连接中,CIDR 块必须是唯一的。
对于一个中转网关上的所有连接,CIDR 块无需唯一。但如果它们不唯一,则可能会在客户网关上造成冲突。在传输网关的多个 Site-to-Site VPN 连接上重复使用相同的 CIDR 块时,请谨慎行事。
以下 CIDR 块由系统保留,不能使用:
+ `169.254.0.0/30`
+ `169.254.1.0/30`
+ `169.254.2.0/30`
+ `169.254.3.0/30`
+ `169.254.4.0/30`
+ `169.254.5.0/30`
+ `169.254.169.252/30`
默认:该范围内大小为 /30 的 IPv4 CIDR 块。`169.254.0.0/16`
**预共享密钥存储**
共享存储的类型。
+ **标准**-预共享密钥直接存储在 Site-to-Site VPN 服务中。
+ S@@ **ecrets Manager** — 使用 AWS Secrets Manager存储预共享密钥。有关 Secrets Manager 的更多信息,请参阅[使用 Secrets Manager 增强安全功能](enhanced-security.md)。
**隧道带宽**
隧道支持的带宽。
+ **标准** — 隧道带宽设置为每条隧道最大为 1.25 Gbps(默认)。
+ **大** — 隧道带宽最大为每条隧道 5 Gbps。
**注意**
**大容量**仅适用于连接到传输网关或云广域网的 VPN 连接。虚拟专用网关连接不支持该功能。
**隧道内部 IPv6 CIDR**
(仅IPv6 限 VPN 连接)VPN 隧道的内部(内部) IPv6 地址范围。您可以指定本地 `fd00::/8` 范围内的大小为 /126 的 CIDR 块。在使用相同传输网关的所有 Site-to-Site VPN 连接中,CIDR 块必须是唯一的。如果您未指定 IPv6子网,Amazon 会自动从该范围中选择一个 /128 子网。无论您是指定子网还是亚马逊选择子网,Amazon 都使用子网中的第一个可用 IPv6 地址作为其连接端,而您的端使用第二个可用 IPv6 地址。
默认:本地`fd00::/8`范围内大小为 /126 的 IPv6 CIDR 块。
**外部隧道 IP 地址类型**
外部隧道 IP 地址的 IP 地址类型。您可以指定以下几项之一:
+ `PrivateIpv4`:使用私有 IPv4 地址通过 Direct Connect 部署 Site-to-Site VPN 连接。
+ `PublicIpv4`:(默认)使用外部隧道 IPv4 的地址 IPs。
+ `Ipv6`:使用外部隧道 IPv6 的地址 IPs。此选项仅适用于中转网关或 Cloud WAN 上的 VPN 连接。
当您选择时`Ipv6`,AWS 会自动为 VPN 隧道 IPv6 的 AWS 端配置外部隧道地址。您的客户网关设备必须支持 IPv6 寻址,并且能够与 IPv6 端点建立 IPsec 隧道。
默认值:`PublicIpv4`
**本地 IPv4 网络 CIDR**
(仅IPv4 限 VPN 连接)在 IKE 第 2 阶段协商期间为 VPN 隧道的客户(本地)端使用的 CIDR 范围。此范围用于建议路由,但不强制实施流量限制,因为仅 AWS 使用基于路由 VPNs 。不支持基于策略 VPNs ,因为它们会限制 AWS“支持动态路由协议和多区域架构的能力”。这应包括本地网络中需要通过 VPN 隧道进行通信的 IP 范围。应使用正确的路由表配置和安全组来控制实际流量。 NACLs
默认:0.0.0.0/0
**远程 IPv4 网络 CIDR**
(仅IPv4 限 VPN 连接)在 IKE 第 2 阶段协商期间为 VPN 隧道 AWS 一侧使用的 CIDR 范围。此范围用于建议路由,但并不强制执行流量限制,因为 AWS 仅使用基于路径的路由 VPNs。AWS 不支持基于策略, VPNs 因为它们缺乏复杂路由场景所需的灵活性,并且与传输网关和 VPN 等价多路径 (ECMP) 等功能不兼容。对于 VPCs,这通常是您的 VPC 的 CIDR 范围。对于中转网关,这可能包括来自连接网络 VPCs 或其他网络的多个 CIDR 范围。
默认:0.0.0.0/0
**本地 IPv6 网络 CIDR**
(仅IPv6 限 VPN 连接)允许通过 VPN 隧道进行通信的客户网关(本地)端的 IPv6 CIDR 范围。
默认值:::/0
**远程 IPv6 网络 CIDR**
(仅限 IPv6 VPN 连接)允许通过 VPN 隧道进行通信 AWS 的一侧的 IPv6 CIDR 范围。
默认值:::/0
**阶段 1 Diffie-Hellman (DH) 组编号**
对于 VPN 隧道的阶段 1 IKE 协商,允许的 DH 组编号。您可以指定一个或多个默认值。
默认值:2、14、15、16、17、18、19、20、21、22、23、24
**阶段 2 Diffie-Hellman (DH) 组编号**
对于 VPN 隧道的阶段 2 IKE 协商,允许的 DH 组编号。您可以指定一个或多个默认值。
默认值:2、5、14、15、16、17、18、19、20、21、22、23、24
**阶段 1 加密算法**
对于 VPN 隧道的阶段 1 IKE 协商,允许的加密算法。您可以指定一个或多个默认值。
默认值: AES128、、 AES128-GCM- AES256 16、-GCM-16 AES256
**阶段 2 加密算法**
对于 VPN 隧道的阶段 2 IKE 协商,允许的加密算法。您可以指定一个或多个默认值。
默认值: AES128、、 AES128-GCM- AES256 16、-GCM-16 AES256
**阶段 1 完整性算法**
对于 VPN 隧道的阶段 1 IKE 协商,允许的完整性算法。您可以指定一个或多个默认值。
默认值: SHA1、 SHA2 -256、- SHA2 384、-512 SHA2
**阶段 2 完整性算法**
对于 VPN 隧道的阶段 2 IKE 协商,允许的完整性算法。您可以指定一个或多个默认值。
默认值: SHA1、 SHA2 -256、- SHA2 384、-512 SHA2
**阶段 1 生命周期**
AWS 使用第 1 阶段生命周期和第 2 阶段生命周期字段中设置的时间值启动重新生成密钥。如果此生命周期与协商的握手值不同,则可能会中断隧道连接。
IKE 协商的阶段 1 的生命周期,以秒为单位。您可以指定 900 到 28800 之间的数字。
默认值:28800(8 小时)
**阶段 2 生命周期**
AWS 使用第 1 阶段生命周期和第 2 阶段生命周期字段中设置的时间值启动重新生成密钥。如果此生命周期与协商的握手值不同,则可能会中断隧道连接。
IKE 协商的阶段 2 的生命周期,以秒为单位。您可以指定 900 到 3600 之间的数字。您指定的数字必须小于阶段 1 生命周期的秒数。
默认值:3600(1 小时)
**预共享密钥 (PSK)**
预共享密钥 (PSK),用于在目标网关和客户网关之间建立初始 Internet 密钥交换 (IKE) 安全关联。
PSK 的长度必须在 8 到 64 个字符之间,而且不能以零 (0) 开头。允许的字符是字母数字字符、句点 (.) 和下划线 (\$1)。
默认值:32 个字符的字母数字字符串。
**更改密钥模糊值**
在其中随机选择更改密钥时间的更改密钥窗口的百分比(由更改密钥容许时间确定)
您可以指定介于 0 到 100 之间的百分比值。
默认值:100
**更改密钥容许时间**
第 1 阶段和第 2 阶段生命周期到期之前的空闲时间(以秒为单位),在此期间 VPN 连接 AWS 端执行 IKE 重新密钥。
您可以指定一个介于 60 和阶段 2 生命周期值一半之间的数字。
更改密钥的确切时间基于更改密钥模糊值随机选择。
原定设置:270(4.5 分钟)
**回放窗口大小的数据包**
IKE 回放窗口中的数据包数。
您可以指定 64 到 2048 之间的值。
默认值:1024
**启动操作**
为 VPN 连接建立隧道时要执行的操作。您可以指定以下内容:
+ `Start`: AWS 启动 IKE 协商以开启隧道。仅当您的客户网关配置了 IP 地址时才支持。
+ `Add`:您的客户网关设备必须启动 IKE 协商才能启动隧道。
有关更多信息,请参阅[AWS Site-to-Site VPN 隧道启动选项](initiate-vpn-tunnels.md)。
默认值:`Add`
**隧道端点生命周期控制**
隧道端点生命周期控制提供对端点替换计划的控制。
有关更多信息,请参阅 [AWS Site-to-Site VPN 隧道端点生命周期控制](tunnel-endpoint-lifecycle.md)。
默认值:`Off`
您可以在创建 Site-to-Site VPN 连接时指定隧道选项,也可以修改现有 VPN 连接的隧道选项。有关更多信息,请参阅以下主题:
+ [步骤 5:创建 VPN 连接](SetUpVPNConnections.md#vpn-create-vpn-connection)
+ [修改 AWS Site-to-Site VPN 隧道选项](modify-vpn-tunnel-options.md)