本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 用于 AWS Site-to-Site VPN 连接的客户网关选项
<a name="cgw-options"></a>

下表描述了在 AWS 中创建客户网关资源所需的信息


| 项目 | 描述 | 
| --- | --- | 
| （可选）名称标签。 | 创建具有“名称”键以及您指定的值的标签。 | 
| （仅动态路由）客户网关的边界网关协议 (BGP) 自治系统编号 (ASN)。 | 支持 1 到 4,294,967,295 范围内的 ASN。您可以使用为您的网络分配的现有公有 ASN，但以下情况除外：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/cgw-options.html)<br />如果您没有公有 ASN，则可以使用私有 ASN（在 64512 至 65534 或 4200000000 至 4294967294 范围内）。默认 ASN 为 64512。有关路由的更多信息，请参阅 [AWS Site-to-Site VPN 路由选项](VPNRoutingTypes.md)。 | 
| 客户网关设备外部接口的 IP 地址。 | IP 地址必须是静态的，可以是 IPv4 或 IPv6。<br />对于 IPv4 地址：如果您的客户网关设备位于网络地址转换 (NAT, Network Address Translation) 设备的后面，请使用 NAT 设备的 IP 地址。此外，请确保允许端口 500（如果使用的是 NAT 遍历，则为端口 4500）上的 UDP 数据包在您的网络和 AWS Site-to-Site VPN 端点之间传输。有关更多信息，请参阅[防火墙规则](FirewallRules.md)。<br />对于 IPv6 地址：该地址必须是可通过互联网路由的有效 IPv6 地址。只有中转网关或 Cloud WAN 上的 VPN 连接才支持 IPv6 地址。<br />当您使用来自 AWS 私有证书颁发机构 的私有证书和公有 VPN 时，不需要 IP 地址。 | 
| （可选）来自使用 AWS Certificate Manager（ACM）的从属 CA 的私有证书。 | 如果您要使用基于证书的身份验证，请提供将在客户网关设备上使用的 ACM 私有证书的 ARN。<br />创建客户网关时，您可以将客户网关配置为使用 AWS 私有证书颁发机构 私有证书对 Site-to-Site VPN 进行身份验证。<br />选择使用此选项时，您将创建完全由 AWS 托管的私有证书颁发机构 (CA) 供您的组织内部使用。根 CA 证书和从属 CA 证书都由 AWS 私有 CA 存储和管理。<br />在创建客户网关之前，您可以使用 AWS 私有证书颁发机构 通过从属 CA 创建私有证书，然后在配置客户网关时指定该证书。有关创建私有证书的信息，请参阅《*AWS 私有证书颁发机构 用户指南*》中的[创建和管理私有 CA](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html)。 | 
| （可选）设备。 | 与此客户网关关联的客户网关设备的名称。 | 

## IPv6 客户网关选项
<a name="ipv6-customer-gateway-options"></a>

创建带有 IPv6 地址的客户网关时，请考虑以下几点：
+ 只有中转网关或 Cloud WAN 上的 VPN 连接才支持 IPv6 客户网关。
+ IPv6 地址必须是可通过互联网路由的有效 IPv6 地址。
+ 您的客户网关设备必须支持 IPv6 寻址，并且能够通过 IPv6 端点建立 IPsec 隧道。
+ 要使用 AWS CLI 创建 IPv6 客户网关，请使用 IPv6 地址作为 `--ip-address` 参数：

  ```
  aws ec2 create-customer-gateway --ip-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
  ```