本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 CLI 或 API 创建 AWS Site-to-Site VPN 云广域网连接
<a name="create-cwan-vpn-attachment"></a>

您可以按照以下步骤在本地和 AWS 云广域网之间创建 Site-to-Site VPN 连接。有关更多信息，请参阅《[AWS 云广域网*用户指南》中的 Clou AWS d WAN* 中的 Site-to-site VPN 附件](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html)。

## 使用 CLI 创建与云广域网的 VPN 连接
<a name="cwan-vpn-cli-examples"></a>

使用[create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html)命令创建 VPN 连接，该连接稍后将连接到 Cloud WAN 全球网络。这将创建一个独立的 VPN 连接，该连接随后可以通过网络管理器控制台或 API 与 Cloud WAN 关联。

**先决条件**

在创建 Cloud WAN VPN 连接之前，请确保您具备以下条件：
+ `customer-gateway-id`-代表您的本地 VPN 设备的现有客户网关资源 (`cgw-xxxxxxxxx`)。
+ **云广域网全球网络**-云广域网全球网络必须创建并配置适当的网段。
+ **BGP 配置**-云广域网 VPN 连接需要 BGP 路由；不支持静态路由。必须在 options 参数`StaticRoutesOnly=false`中设置

此命令在不指定目标网关的情况下创建 VPN 连接。该连接将处于未连接状态，稍后可以通过网络管理器控制台或 API 与您的 Cloud WAN 全球网络关联。该`StaticRoutesOnly=false`选项启用 BGP 路由，这是 Cloud WAN VPN 附件所必需的，因为不支持静态路由。

以下示例为云 WAN 创建了独立的 VPN 连接：

```
aws ec2 create-vpn-connection \
            --type ipsec.1 \
            --customer-gateway-id cgw-0123456789abcdef0 \
            --options StaticRoutesOnly=false
```

响应返回以下内容：

```
{
            "VpnConnection": {
            "VpnConnectionId": "vpn-0abcdef1234567890",
            "State": "pending",
            "CustomerGatewayId": "cgw-0123456789abcdef0",
            "Type": "ipsec.1",
            "Category": "VPN",
            "Routes": [],
            "Options": {
            "StaticRoutesOnly": false
            }
            }
            }
```

创建 VPN 连接后，您可以使用网络管理器控制台或 `create-site-to-site-vpn-attachment` API 调用将其连接到 Cloud WAN 全球网络。

## 使用 API 创建 VPN 云广域网连接
<a name="cwan-vpn-api-examples"></a>

您可以使用 EC2 API 为云广域网集成创建 VPN 连接。这包括调用 `CreateVpnConnection` API 来创建独立的 VPN 连接，然后该连接可以与您的 Cloud WAN 全球网络相关联。

API 请求在不指定目标网关的情况下创建 VPN 连接，使其处于独立状态，随时可以集成 Cloud WAN。连接使用 BGP 路由，这是云广域网 VPN 连接所必需的。

以下示例显示了创建云广域网 VPN 连接的 HTTP 请求：

```
POST / HTTP/1.1
            Host: ec2.us-east-1.amazonaws.com
            Content-Type: application/x-www-form-urlencoded
            Authorization: AWS4-HMAC-SHA256 Credential=...

            Action=CreateVpnConnection
            &Type=ipsec.1
            &CustomerGatewayId=cgw-0123456789abcdef0
            &Options.StaticRoutesOnly=false
            &Version=2016-11-15
```

API 返回包含 VPN 连接详细信息的成功响应。在配置 VPN 隧道时 AWS ，连接最初将处于`pending`状态，此时状态将更改为`available`。

```
<?xml version="1.0" encoding="UTF-8"?>
            <CreateVpnConnectionResponse xmlns="http://ec2.amazonaws.com/doc/2016-11-15/">
            <requestId>12345678-1234-1234-1234-123456789012</requestId>
            <vpnConnection>
            <vpnConnectionId>vpn-0abcdef1234567890</vpnConnectionId>
            <state>pending</state>
            <customerGatewayId>cgw-0123456789abcdef0</customerGatewayId>
            <type>ipsec.1</type>
            <category>VPN</category>
            <options>
            <staticRoutesOnly>false</staticRoutesOnly>
            </options>
            <vgwTelemetry/>
            <routes/>
            </vpnConnection>
            </CreateVpnConnectionResponse>
```

**回复详情**

API 响应提供以下关键信息：
+ **vpnConnectionId**-您的 VPN 连接的唯一标识符（例如`vpn-0abcdef1234567890`），用于将其连接到 Cloud WAN
+ **状态**-AWS 预置 VPN 隧道时最初为 “待定”，然后在准备连接时转换为 “可用”
+ **类别**-显示 “VPN”，表示这是适用于云广域网集成的独立的 VPN 连接
+ **staticRoutesOnly**-设置为 “false” 以启用 BGP 路由，这是 Cloud WAN VPN 附件所必需的

VPN 连接达到 “可用” 状态后，您可以使用网络管理器 `CreateSiteToSiteVpnAttachment` API 或 AWS 控制台将其连接到您的 Cloud WAN 全球网络。