本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 如何 AWS Site-to-Site VPN 运作
Site-to-SiteVPN 连接由以下组件组成:
+ [虚拟私有网关](#VPNGateway)或[中转网关](#Transit-Gateway)
+ [客户网关设备](#CustomerGatewayDevice)
+ [客户网关](#CustomerGateway)
VPN 连接在侧面的虚拟专用网关或传输网关与本地 AWS 端的客户网关之间提供两条 VPN 隧道。
有关 Site-to-Site VPN 配额的更多信息,请参阅[AWS Site-to-Site VPN配额](vpn-limits.md)。
## 虚拟专用网关
*虚拟专用网关*是 Site-to-Site VPN 连接的 Amazon 端的 Site-to-Site VPN 集中器。您创建虚拟私有网关并将其连接到虚拟私有云 (VPC),其资源必须访问 Site-to-Site VPN 连接。
下图显示了 VPC 和本地网络之间使用虚拟私有网关的 VPN 连接。
![\[一个 VPC,有一个挂载的虚拟私有网关,且与本地网络之间具有 VPN 连接。\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/vpn-how-it-works-vgw.png)
创建虚拟专用网关时,可以为网关的 Amazon 端指定专用自治系统编号 (ASN)。如果不指定 ASN,则会使用默认 ASN (64512) 创建虚拟专用网关。创建虚拟专用网关后,无法更改 ASN。要查看您的虚拟私有网关的 ASN,请在 Amazon VPC 控制台的**虚拟私有网关**页面中查看其详细信息,或使用[describe-vpn-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-gateways.html) AWS CLI 命令。
**注意**
虚拟专用网关不支持 Site-to-Site V IPv6 PN 连接。如果您需要 IPv6 支持,请使用传输网关或云广域网进行 VPN 连接。
## Transit Gateway
传输网关是一个交通枢纽,可用于互连您 VPCs 和您的本地网络。有关更多信息,请参阅 [Amazon VPC 中转网关](https://docs.aws.amazon.com/vpc/latest/tgw/)。您可以在传输网关上创建 Site-to-Site VPN 连接作为附件。
下图显示了使用传输网关在多个网络 VPCs 和您的本地网络之间的 VPN 连接。中转网关有三个 VPC 挂载和一个 VPN 挂载。
![\[具有三个 VPC 挂载和一个 VPN 挂载的中转网关。\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/vpn-how-it-works-tgw.png)
您在传输网关上的 Site-to-Site VPN 连接可以支持 IPv4 VPN 隧道内的 IPv6 流量(内部 IP 地址)。此外,中转网关支持 IPv6 外部隧道 IP 地址的地址。有关更多信息,请参阅 [AWS Site-to-Site VPN 中的 IPv4 和 IPv6 流量](ipv4-ipv6.md)。
您可以将 Site-to-Site VPN 连接的目标网关从虚拟专用网关修改为传输网关。有关更多信息,请参阅 [修改 AWS Site-to-Site VPN 连接的目标网关](modify-vpn-target.md)。
## 客户网关设备
*客户网关设备*是 Site-to-Site VPN 连接中您一侧的物理设备或软件应用程序。您可以将设备配置为使用 Site-to-Site VPN 连接。有关更多信息,请参阅 [AWS Site-to-Site VPN 客户网关设备](your-cgw.md)。
默认情况下,您的客户网关设备必须通过生成流量和启动 Internet 密钥交换 (IKE) 协商过程来开通 Site-to-Site VPN 连接的隧道。您可以将 Site-to-Site VPN 连接配置为指定 AWS 必须改为启动 IKE 协商进程。有关更多信息,请参阅 [AWS Site-to-Site VPN 隧道启动选项](initiate-vpn-tunnels.md)。
如果您使用 IPv6 外部隧道 IP 地址,则您的客户网关设备必须支持 IPv6 寻址并能够与 IPv6 端点建立 IPsec 隧道。
## 客户网关
*客户网关* 是您在 AWS 中创建的资源,它表示本地网络中的客户网关设备。创建客户网关时,您需要向提供有关您的设备的信息 AWS。有关更多信息,请参阅 [用于 AWS Site-to-Site VPN 连接的客户网关选项](cgw-options.md)。
![\[客户网关和客户网关设备。\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/vpn-how-it-works-cgw.png)
要将 Amazon VPC 与 Site-to-Site VPN 连接配合使用,您或您的网络管理员还必须在远程网络中配置客户网关设备或应用程序。当您创建 Site-to-Site VPN 连接时,我们会为您提供所需的配置信息,您的网络管理员通常会执行此配置。有关客户网关要求和配置的信息,请参阅[AWS Site-to-Site VPN 客户网关设备](your-cgw.md)。
### IPv6 客户网关
在创建用于 IPv6 外部隧道的客户网关时 IPs,需要指定 IPv6 地址而不是 IPv4 地址。您可以使用 AWS 管理控制台或 AWS CLI 创建 IPv6 客户网关。
要使用 AWS CLI 创建 IPv6 客户网关,请使用以下命令:
```
aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
```
该 IPv6 地址必须是您的客户网关设备的有效且可通过互联网路由 IPv6 的地址。
## IPv6 VPN 连接
Site-to-Site VPN VPN 连接支持以下 IPv6 配置:
+ *IPv4 带有 IPv4 内部数据包的外部隧道* ——虚拟专用网关 ( IPv4 VGW)、Transit Gateway (TGW) 和云广域网支持的基本 VPN 功能。
+ *IPv4 带有 IPv6 内部数据包的外部隧道*-允许 VPN 隧道内的 IPv6 应用程序/传输。在 TGW 和 Cloud WAN 上支持(VGW 不支持)。
+ *IPv6 带有 IPv6 内部数据包的外部隧道*-允许使用外部隧道 IPs 和内部数据包 IPv6 的地址进行完全 IPv6 迁移 IPs。在 TGW 和 Cloud WAN 上支持。
+ *IPv6 带有 IPv4 内部数据包的外部隧*道-允许 IPv6 外部隧道寻址,同时支持隧道内的传统 IPv4 应用程序。在 TGW 和 Cloud WAN 上支持。
要创建与 IPv6 外部隧道的 VPN 连接 IPs,请在创建 VPN 连接`OutsideIPAddressType=Ipv6`时指定。AWS 会自动为 VPN 隧道 IPv6 的 AWS 端配置外部隧道地址。
使用 IPv6 外部隧道 IPs 和 IPv6 内部隧道创建 VPN 连接的 CLI 命令示例 IPs:
```
aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
您可以使用 `describe-vpn-connection` CLI 命令查看分配给您的 VPN 连接 IPv6 的地址。
# 您的 AWS Site-to-Site VPN 连接的隧道选项
您可以使用 Site-to-Site VPN 连接将您的远程网络连接到 VPC。每个 Site-to-Site VPN 连接都有两条隧道,每条隧道使用唯一的公有 IP 地址。配置两条隧道以提供冗余能力是重要的步骤。当一条隧道不可用(例如,因维护而关闭)时,网络流量会自动路由到该特定 Site-to-Site VPN 连接的可用隧道。
下图展示了 VPN 连接的两条隧道。每条隧道在不同的可用区终止,以提供更高的可用性。从本地网络到的流量 AWS 使用两条隧道。来自本地网络 AWS 的流量优先选择其中一条隧道,但如果 AWS 侧面出现故障,则可以自动故障转移到另一条隧道。
![\[虚拟私有网关和客户网关之间的 VPN 连接的两条隧道。\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/Multiple_VPN_Tunnels_diagram.png)
创建 Site-to-Site VPN 连接时,需要下载特定于您的客户网关设备的配置文件,其中包含配置设备的信息,包括配置每条隧道的信息。创建 Site-to-Site VPN 连接时,您可以选择自己指定一些隧道选项。否则, AWS 会提供默认值。
## 隧道带宽选项
您可以配置 VPN 隧道的带宽容量:
+ **标准带宽**:每条隧道最高可达 1.25 Gbps(默认)
+ **大型带宽隧道 (LBT):每**条隧道最高可达 5 Gbps
大型带宽隧道仅适用于连接到 Transit Gateway 或 Cloud WAN 的 VPN 连接。有关更多信息,请参阅 [大型带宽隧道](#large-bandwidth-tunnels)。
**注意**
Site-to-Site 无论客户网关的提案顺序如何,VPN 隧道端点都会从下面列表中的最低配置值开始评估来自客户网关的提案。您可以使用`modify-vpn-connection-options`命令来限制 AWS 端点将接受的选项列表。有关更多信息,请参阅 *Amazon EC2 命令行参考[modify-vpn-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection-options.html)*中的。
## 大型带宽隧道
大型带宽隧道允许您配置每条隧道支持高达 5 Gbps 带宽的 VP Site-to-Site N 隧道,而标准带宽为 1.25 Gbps。大型带宽隧道可用于连接到 Transit Gateway 或 Cloud WAN 的 VPN 连接。这消除或减少了部署复杂协议(例如ECMP(等价多路径)以实现更高的带宽的需求,并确保每条隧道的带宽稳定为5 Gbps。大型带宽隧道设计用于以下用例:
+ **数据中心连接**:支持带宽密集型混合应用程序、大数据迁移或需要在 AWS 工作负载和本地数据中心之间实现高容量连接的灾难恢复架构。
+ **Direct Connect 备份**:为本地数据中心或托管设施的大容量 Direct Connect 电路(10 Gbps 以上)提供备份或重叠连接。
### 区域可用性
除以下区域外,所有区域均提供大型带宽隧道:
**不可用 AWS 区域**
| AWS 区域 | 说明 |
| --- | --- |
| ap-southeast-4 | 亚太地区(墨尔本) |
| ca-west-1 | 加拿大西部(卡尔加里) |
| eu-central-2 | 欧洲(苏黎世) |
| il-central-1 | 以色列(特拉维夫) |
| me-central-1 | 中东(阿联酋): |
### 要求和限制
+ 仅适用于连接到传输网关或云广域网的 VPN 连接。不支持虚拟专用网关附件。
+ VPN 连接的两条隧道必须使用相同的带宽配置(均为 1.25 Gbps 或两者均为 5 Gbps)。
+ 不支持加速 VPN。
+ 所有其他核心 VPN 功能(例如私有 IP VPN、路由和隧道维护)与大型带宽隧道的作用相同。
+ MTU 限制仍为 1500 字节。 [详细了解](https://docs.aws.amazon.com/vpn/latest/s2svpn/cgw-best-practice.html)如何根据使用的算法调整 MTU 和 MSS 大小。
+ 您无法修改现有隧道以使用大带宽隧道。**您需要先删除隧道,然后创建新隧道并将隧道带宽设置为 Large。**
+ 只有具有固定 IP 的客户网关 (CGWs) 才能与大型带宽隧道一起使用。
+ 没有 IP 地址的客户网关 (CGWs) 不能用于大型带宽隧道。
+ 在建立隧道时,大型带宽隧道不支持更改 NAT-T 端口。
+ 需要分段的数据包的性能可能会降低。 [了解更多](https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-limits.html#vpn-quotas-mtu)。
### 大型带宽隧道的定价
有关大带宽 VPN 连接定价的信息可在 [AWS VPN 定价](https://aws.amazon.com/vpn/pricing/#AWS_Site-to-Site_VPN_and_Accelerated_Site-to-Site_VPN_Connection_Pricing)页面上找到。
### 扩展速度超过 5 Gbps
如果每个隧道的带宽要求超过 5 Gbps,则可以在多个 VPN 连接中使用 ECMP。例如,您可以通过使用大带宽隧道部署两个 VPN 连接并在所有四条隧道中使用 ECMP 来实现 20 Gbps 带宽。
# 为以下各项配置隧道选项 AWS Site-to-Site VPN
本节提供有关为 AWS Site-to-Site VPN 连接配置隧道选项的全面指导,涵盖基本参数,例如失效对等体检测、IKE 版本和加密设置。您可以自定义这些隧道选项,以优化 VPN 连接的安全性、性能以及与本地网络基础设施的兼容性。
以下是您可以配置的隧道选项。
**注意**
某些隧道选项有多个默认值。例如,**IKE 版本**有两个默认隧道选项值:`ikev1` 和 `ikev2`。如果您不选择特定值,则所有默认值都将与该隧道选项相关联。单击删除您不希望与隧道选项相关联的任何默认值。例如,如果您只想使用 `ikev1` 作为 IKE 版本,请单击 `ikev2` 将其删除。
**失效对端检测 (DPD) 超时**
发生 DPD 超时之后的秒数。DPD 超时为 30 秒意味着 VPN 端点将在第一次保持连接失败 30 秒后认为对等体已死亡。您可以指定 30 或更高值。
原定设置值:40
**DPD 超时操作**
发生失效对端检测 (DPD) 超时后采取的操作。您可以指定:
+ `Clear`:当发生 DPD 超时时结束 IKE 会话(停止隧道并清除路由)
+ `None`:当发生 DPD 超时时不采取任何操作
+ `Restart`:当发生 DPD 超时时重新启动 IKE 会话
有关更多信息,请参阅[AWS Site-to-Site VPN 隧道启动选项](initiate-vpn-tunnels.md)。
默认值:`Clear`
**VPN 日志记录选项**
使用 Site-to-Site VPN 日志,您可以访问有关 IP 安全 (IPsec) 隧道建立、互联网密钥交换 (IKE) 协商和失效对等体检测 (DPD) 协议消息的详细信息。
有关更多信息,请参阅 [AWS Site-to-Site VPN 日志](monitoring-logs.md)。
可用的日志格式:`json`、`text`
**IKE 版本**
VPN 隧道允许的 IKE 版本。您可以指定一个或多个默认值。
默认值:`ikev1`、`ikev2`
**隧道内部 IPv4 CIDR**
VPN 隧道的内部(内部) IPv4 地址范围。您可以指定 `169.254.0.0/16` 范围中大小为 /30 的 CIDR 块。在使用相同虚拟专用网关的所有 Site-to-Site VPN 连接中,CIDR 块必须是唯一的。
对于一个中转网关上的所有连接,CIDR 块无需唯一。但如果它们不唯一,则可能会在客户网关上造成冲突。在传输网关的多个 Site-to-Site VPN 连接上重复使用相同的 CIDR 块时,请谨慎行事。
以下 CIDR 块由系统保留,不能使用:
+ `169.254.0.0/30`
+ `169.254.1.0/30`
+ `169.254.2.0/30`
+ `169.254.3.0/30`
+ `169.254.4.0/30`
+ `169.254.5.0/30`
+ `169.254.169.252/30`
默认:该范围内大小为 /30 的 IPv4 CIDR 块。`169.254.0.0/16`
**预共享密钥存储**
共享存储的类型。
+ **标准**-预共享密钥直接存储在 Site-to-Site VPN 服务中。
+ S@@ **ecrets Manager** — 使用 AWS Secrets Manager存储预共享密钥。有关 Secrets Manager 的更多信息,请参阅[使用 Secrets Manager 增强安全功能](enhanced-security.md)。
**隧道带宽**
隧道支持的带宽。
+ **标准** — 隧道带宽设置为每条隧道最大为 1.25 Gbps(默认)。
+ **大** — 隧道带宽最大为每条隧道 5 Gbps。
**注意**
**大容量**仅适用于连接到传输网关或云广域网的 VPN 连接。虚拟专用网关连接不支持该功能。
**隧道内部 IPv6 CIDR**
(仅IPv6 限 VPN 连接)VPN 隧道的内部(内部) IPv6 地址范围。您可以指定本地 `fd00::/8` 范围内的大小为 /126 的 CIDR 块。在使用相同传输网关的所有 Site-to-Site VPN 连接中,CIDR 块必须是唯一的。如果您未指定 IPv6子网,Amazon 会自动从该范围中选择一个 /128 子网。无论您是指定子网还是亚马逊选择子网,Amazon 都使用子网中的第一个可用 IPv6 地址作为其连接端,而您的端使用第二个可用 IPv6 地址。
默认:本地`fd00::/8`范围内大小为 /126 的 IPv6 CIDR 块。
**外部隧道 IP 地址类型**
外部隧道 IP 地址的 IP 地址类型。您可以指定以下几项之一:
+ `PrivateIpv4`:使用私有 IPv4 地址通过 Direct Connect 部署 Site-to-Site VPN 连接。
+ `PublicIpv4`:(默认)使用外部隧道 IPv4 的地址 IPs。
+ `Ipv6`:使用外部隧道 IPv6 的地址 IPs。此选项仅适用于中转网关或 Cloud WAN 上的 VPN 连接。
当您选择时`Ipv6`,AWS 会自动为 VPN 隧道 IPv6 的 AWS 端配置外部隧道地址。您的客户网关设备必须支持 IPv6 寻址,并且能够与 IPv6 端点建立 IPsec 隧道。
默认值:`PublicIpv4`
**本地 IPv4 网络 CIDR**
(仅IPv4 限 VPN 连接)在 IKE 第 2 阶段协商期间为 VPN 隧道的客户(本地)端使用的 CIDR 范围。此范围用于建议路由,但不强制实施流量限制,因为仅 AWS 使用基于路由 VPNs 。不支持基于策略 VPNs ,因为它们会限制 AWS“支持动态路由协议和多区域架构的能力”。这应包括本地网络中需要通过 VPN 隧道进行通信的 IP 范围。应使用正确的路由表配置和安全组来控制实际流量。 NACLs
默认:0.0.0.0/0
**远程 IPv4 网络 CIDR**
(仅IPv4 限 VPN 连接)在 IKE 第 2 阶段协商期间为 VPN 隧道 AWS 一侧使用的 CIDR 范围。此范围用于建议路由,但并不强制执行流量限制,因为 AWS 仅使用基于路径的路由 VPNs。AWS 不支持基于策略, VPNs 因为它们缺乏复杂路由场景所需的灵活性,并且与传输网关和 VPN 等价多路径 (ECMP) 等功能不兼容。对于 VPCs,这通常是您的 VPC 的 CIDR 范围。对于中转网关,这可能包括来自连接网络 VPCs 或其他网络的多个 CIDR 范围。
默认:0.0.0.0/0
**本地 IPv6 网络 CIDR**
(仅IPv6 限 VPN 连接)允许通过 VPN 隧道进行通信的客户网关(本地)端的 IPv6 CIDR 范围。
默认值:::/0
**远程 IPv6 网络 CIDR**
(仅限 IPv6 VPN 连接)允许通过 VPN 隧道进行通信 AWS 的一侧的 IPv6 CIDR 范围。
默认值:::/0
**阶段 1 Diffie-Hellman (DH) 组编号**
对于 VPN 隧道的阶段 1 IKE 协商,允许的 DH 组编号。您可以指定一个或多个默认值。
默认值:2、14、15、16、17、18、19、20、21、22、23、24
**阶段 2 Diffie-Hellman (DH) 组编号**
对于 VPN 隧道的阶段 2 IKE 协商,允许的 DH 组编号。您可以指定一个或多个默认值。
默认值:2、5、14、15、16、17、18、19、20、21、22、23、24
**阶段 1 加密算法**
对于 VPN 隧道的阶段 1 IKE 协商,允许的加密算法。您可以指定一个或多个默认值。
默认值: AES128、、 AES128-GCM- AES256 16、-GCM-16 AES256
**阶段 2 加密算法**
对于 VPN 隧道的阶段 2 IKE 协商,允许的加密算法。您可以指定一个或多个默认值。
默认值: AES128、、 AES128-GCM- AES256 16、-GCM-16 AES256
**阶段 1 完整性算法**
对于 VPN 隧道的阶段 1 IKE 协商,允许的完整性算法。您可以指定一个或多个默认值。
默认值: SHA1、 SHA2 -256、- SHA2 384、-512 SHA2
**阶段 2 完整性算法**
对于 VPN 隧道的阶段 2 IKE 协商,允许的完整性算法。您可以指定一个或多个默认值。
默认值: SHA1、 SHA2 -256、- SHA2 384、-512 SHA2
**阶段 1 生命周期**
AWS 使用第 1 阶段生命周期和第 2 阶段生命周期字段中设置的时间值启动重新生成密钥。如果此生命周期与协商的握手值不同,则可能会中断隧道连接。
IKE 协商的阶段 1 的生命周期,以秒为单位。您可以指定 900 到 28800 之间的数字。
默认值:28800(8 小时)
**阶段 2 生命周期**
AWS 使用第 1 阶段生命周期和第 2 阶段生命周期字段中设置的时间值启动重新生成密钥。如果此生命周期与协商的握手值不同,则可能会中断隧道连接。
IKE 协商的阶段 2 的生命周期,以秒为单位。您可以指定 900 到 3600 之间的数字。您指定的数字必须小于阶段 1 生命周期的秒数。
默认值:3600(1 小时)
**预共享密钥 (PSK)**
预共享密钥 (PSK),用于在目标网关和客户网关之间建立初始 Internet 密钥交换 (IKE) 安全关联。
PSK 的长度必须在 8 到 64 个字符之间,而且不能以零 (0) 开头。允许的字符是字母数字字符、句点 (.) 和下划线 (\$1)。
默认值:32 个字符的字母数字字符串。
**更改密钥模糊值**
在其中随机选择更改密钥时间的更改密钥窗口的百分比(由更改密钥容许时间确定)
您可以指定介于 0 到 100 之间的百分比值。
默认值:100
**更改密钥容许时间**
第 1 阶段和第 2 阶段生命周期到期之前的空闲时间(以秒为单位),在此期间 VPN 连接 AWS 端执行 IKE 重新密钥。
您可以指定一个介于 60 和阶段 2 生命周期值一半之间的数字。
更改密钥的确切时间基于更改密钥模糊值随机选择。
原定设置:270(4.5 分钟)
**回放窗口大小的数据包**
IKE 回放窗口中的数据包数。
您可以指定 64 到 2048 之间的值。
默认值:1024
**启动操作**
为 VPN 连接建立隧道时要执行的操作。您可以指定以下内容:
+ `Start`: AWS 启动 IKE 协商以开启隧道。仅当您的客户网关配置了 IP 地址时才支持。
+ `Add`:您的客户网关设备必须启动 IKE 协商才能启动隧道。
有关更多信息,请参阅[AWS Site-to-Site VPN 隧道启动选项](initiate-vpn-tunnels.md)。
默认值:`Add`
**隧道端点生命周期控制**
隧道端点生命周期控制提供对端点替换计划的控制。
有关更多信息,请参阅 [AWS Site-to-Site VPN 隧道端点生命周期控制](tunnel-endpoint-lifecycle.md)。
默认值:`Off`
您可以在创建 Site-to-Site VPN 连接时指定隧道选项,也可以修改现有 VPN 连接的隧道选项。有关更多信息,请参阅以下主题:
+ [步骤 5:创建 VPN 连接](SetUpVPNConnections.md#vpn-create-vpn-connection)
+ [修改 AWS Site-to-Site VPN 隧道选项](modify-vpn-tunnel-options.md)
# AWS Site-to-Site VPN 隧道身份验证选项
您可以使用预共享密钥或证书对 Site-to-Site VPN 隧道端点进行身份验证。
## 预共享密钥
预共享密钥(PSK)是 Site-to-Site VPN 隧道的默认身份验证选项。创建隧道时,您可以指定自己的 PSK,也可以允许 AWS 自动生成一个。使用以下方法之一存储 PSK:
+ 直接存储在 Site-to-Site VPN 服务中。有关更多信息,请参阅 [AWS Site-to-Site VPN 客户网关设备](your-cgw.md)。
+ 存储在 AWS Secrets Manager 中以增强安全性。有关使用 Secrets Manager 的更多信息,请参阅[使用 Secrets Manager 增强安全功能](enhanced-security.md)。
然后,在配置客户网关设备时使用 PSK 字符串。
## 来自 的私有证书AWS 私有证书颁发机构
如果您不想使用预共享密钥,则可以使用 AWS 私有证书颁发机构 的私有证书对 VPN 进行身份验证。
您必须使用 AWS 私有证书颁发机构 (AWS 私有 CA),通过从属 CA 创建私有证书 要对 ACM 从属 CA 签名,您可以使用 ACM 根 CA 或外部 CA。有关创建私有证书的更多信息,请参阅《*AWS 私有证书颁发机构 用户指南*》中的[创建和管理私有 CA](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html)。
您必须创建服务相关角色才能为 Site-to-Site VPN 隧道端点的 AWS 端生成并使用证书。有关更多信息,请参阅 [VPN 的 Site-to-Site服务相关角色](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked)。
**注意**
为了实现无缝证书轮换,任何与 `CreateCustomerGateway` API 调用中最初指定的证书具有相同证书颁发机构链的证书均可用于建立 VPN 连接。
如果您不指定客户网关设备的 IP 地址,我们将不检查 IP 地址。此操作允许您将客户网关设备移动到不同的 IP 地址,而无需重新配置 VPN 连接。
当您创建证书 VPN 时,Site-to-Site VPN 会对客户网关证书执行证书链验证。除了基本的 CA 和有效性检查外,Site-to-Site VPN 还会检查是否存在 X.509 扩展,包括授权密钥标识符、使用者密钥标识符和基本约束。
# AWS Site-to-Site VPN 隧道启动选项
默认情况下,您的客户网关设备必须通过生成流量和启动 Internet 密钥交换 (IKE) 协商过程来开通 Site-to-Site VPN 连接的隧道。您可以将 VPN 隧道配置为指定 AWS 必须改为启动或重新启动 IKE 协商进程。
## VPN 隧道 IKE 启动选项
以下 IKE 启动选项可用。您可以为 Site-to-Site VPN 连接中的一条或两条隧道实施其中一个或两个选项。有关这些设置和其他隧道选项设置的更多详细信息,请参阅[VPN 隧道选项](VPNTunnels.md)。
+ **启动操作**:为新的或修改的 VPN 连接建立 VPN 隧道时要执行的操作。默认情况下,您的客户网关设备启动 IKE 协商过程以启动隧道。您可以指定 AWS 必须改为启动 IKE 协商进程。
+ **DPD 超时操作**:发生失效对端检测 (DPD) 超时后要采取的操作。默认情况下,IKE 会话停止,隧道关闭,路由将被移除。您可以指定在 DPD 超时发生时 AWS 必须重新启动 IKE 会话,也可以指定在 DPD 超时发生时 AWS 不得采取任何操作。
## 规则和限制
以下规则和限制适用:
+ 要启动 IKE 协商, AWS 需要您的客户网关设备的公有 IP 地址。如果您为 VPN 连接配置了基于证书的身份验证,并且在中创建客户网关资源时未指定 IP 地址 AWS,则必须创建新的客户网关并指定 IP 地址。然后,修改 VPN 连接并指定新的客户网关。有关更多信息,请参阅 [更改 AWS Site-to-Site VPN 连接的客户网关](change-vpn-cgw.md)。
+ IKEv2 仅支持从 VPN 连接 AWS 侧启动 IKE(启动操作)。
+ 如果从 VPN 连接 AWS 侧使用 IKE 初始化,则不包括超时设置。它会不断尝试建立连接,直到建立连接。此外,当 VPN 连接 AWS 端收到来自您的客户网关的 delete SA 消息时,它将重新启动 IKE 协商。
+ 如果您的客户网关设备位于防火墙或其他使用网络地址转换 (NAT) 的设备后面,则必须配置身份 (IDr)。有关的更多信息 IDr,请参阅 [RFC 7296](https://datatracker.ietf.org/doc/html/rfc7296)。
如果您没有从 AWS 侧面为 VPN 隧道配置 IKE 初始化,并且 VPN 连接有一段空闲时间(通常为 10 秒,具体取决于您的配置),则隧道可能会中断。为防止发生此问题,您可以使用网络监控工具来生成 keepalive Ping。
## 使用 VPN 隧道启动选项
有关使用 VPN 隧道启动选项的更多信息,请参阅以下主题:
+ 要创建新的 VPN 连接并指定 VPN 隧道启动选项,请执行以下操作:[步骤 5:创建 VPN 连接](SetUpVPNConnections.md#vpn-create-vpn-connection)
+ 要修改现有 VPN 连接的 VPN 隧道启动选项,请执行以下操作:[修改 AWS Site-to-Site VPN 隧道选项](modify-vpn-tunnel-options.md)
# AWS Site-to-Site VPN 隧道端点替换
您的 Site-to-Site VPN 连接由两个 VPN 隧道组成,用于实现冗余。有时,在 AWS 执行隧道更新或修改 VPN 连接时,会替换一个或两个 VPN 隧道端点。在隧道端点替换期间,在预置新的隧道端点时,通过该隧道的连接可能会中断。
**Topics**
+ [客户发起的端点替换](#endpoint-replacements-for-vpn-modifications)
+ [AWS 托管式端点替换](#endpoint-replacements-for-aws-updates)
+ [AWS Site-to-Site VPN 隧道端点生命周期控制](tunnel-endpoint-lifecycle.md)
## 客户发起的端点替换
在您修改 VPN 连接的以下组件时,将替换隧道端点中的一个或两个。
| 修改 | API 操作 | 隧道影响 |
| --- | --- | --- |
| [修改 VPN 连接的目标网关](modify-vpn-target.md) | [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) | 在预置新的隧道终端节点时,两个隧道都不可用。 |
| [更改 VPN 连接的客户网关](change-vpn-cgw.md) | [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) | 在预置新的隧道终端节点时,两个隧道都不可用。 |
| [修改 VPN 连接选项](modify-vpn-connection-options.md) | [ModifyVpnConnectionOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnectionOptions.html) | 在预置新的隧道终端节点时,两个隧道都不可用。 |
| [修改 VPN 隧道选项](modify-vpn-tunnel-options.md) | [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) | 修改的隧道在更新期间不可用。 |
## AWS 托管式端点替换
AWS Site-to-Site VPN 是一项托管服务,会定期将更新应用到您的 VPN 隧道端点。进行这些更新的原因有多种,包括以下几点:
+ 应用常规升级,例如补丁、恢复能力改进和其他增强功能
+ 停用底层硬件
+ 当自动监控确定 VPN 隧道端点运行状况不佳时
AWS 一次将隧道端点更新应用到您的 VPN 连接的一个隧道。在隧道端点更新期间,您的 VPN 连接可能会出现短暂的冗余丢失。因此,在 VPN 连接中配置两个隧道以实现高可用性非常重要。
# AWS Site-to-Site VPN 隧道端点生命周期控制
隧道端点生命周期控制可以控制端点更换时间表,并且可以帮助最大限度地减少 AWS 托管隧道端点更换期间的连接中断。借助此功能,您可以选择在最适合您业务的时间接受隧道端点的 AWS 托管更新。如果您有短期业务需求或每个 VPN 连接只能支持单个隧道,请使用此功能。
**注意**
在极少数情况下,即使启用了隧道端点生命周期控制功能,也 AWS 可能会立即对隧道端点应用关键更新。
**Topics**
+ [隧道端点生命周期控制的工作原理](#how-elc-works)
+ [启用 隧道端点生命周期控制](enable-elc.md)
+ [验证是否启用了 隧道端点生命周期控制](view-elc-status.md)
+ [检查是否有可用更新](view-elc-updates.md)
+ [接受维护更新](accept-update.md)
+ [关闭 隧道端点生命周期控制](turn-elc-off.md)
## 隧道端点生命周期控制的工作原理
为 VPN 连接中的各个隧道开启隧道端点生命周期控制功能。可以在创建 VPN 时启用此功能,也可以通过修改现有 VPN 连接的隧道选项来启用此功能。
启用隧道端点生命周期控制后,您将通过两种方式进一步了解即将到来的隧道维护事件:
+ 您将收到即将更换隧道端点的 AWS Health 通知。
+ 使用 [get-vpn-tunnel-replacement-](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-tunnel-replacement-status.html) AWS CLI status命令可以在 AWS 管理控制台 或中查看待**维护的状态,以及**应用后自动**维护和上次维护应用**的时间戳。
当隧道端点维护可用时,在**之后自动应用维护**时间戳之前,您将有机会在方便的时间接受更新。
如果您没有在**维护自动应用日期之后应用**更新,则 AWS 将在不久之后自动执行隧道端点更换,这是常规维护更新周期的一部分。
# 启用 AWS Site-to-Site VPN 隧道端点生命周期控制
可以在现有或新的 VPN 连接上启用端点生命周期控制。这可以使用 AWS 管理控制台 或来完成 AWS CLI。
**注意**
原定设置情况下,当您为现有 VPN 连接启用该功能时,将同时发起隧道端点替换。如果您想开启该功能,但不想立即发起隧道端点替换,则可以使用**跳过隧道替换**选项。
------
#### [ Existing VPN connection ]
以下步骤演示如何在现有 VPN 连接上启用隧道端点生命周期控制。
**要启用隧道端点生命周期控制,请使用 AWS 管理控制台**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在左侧导航栏中,选择 **Site-to-Site VPN 连接**。
1. 在 **VPN 连接**下选择适当的连接。
1. 依次选择**操作**和**修改 VPN 隧道选项**。
1. 通过选择适当的 **VPN 隧道外部 IP 地址**,选择要修改的特定隧道。
1. 在**隧道端点生命周期控制**下,选中**启用**复选框。
1. (可选)选择**跳过隧道替换**。
1. 选择**保存更改**。
**要启用隧道端点生命周期控制,请使用 AWS CLI**
使用[modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html)命令开启隧道端点生命周期控制。
------
#### [ New VPN connection ]
以下步骤演示如何在创建新的 VPN 连接期间启用隧道端点生命周期控制。
**要在创建新 VPN 连接期间启用隧道端点生命周期控制,请使用 AWS 管理控制台**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Site-to-Site VPN Connections**。
1. 选择**创建 VPN 连接**。
1. 在**隧道 1 选项**和**隧道 2 选项**所对应的部分中,在**隧道端点生命周期控制**下,选择**启用**。
1. 选择 **Create VPN Connection**(创建 VPN 连接)。
**要在创建新 VPN 连接期间启用隧道端点生命周期控制,请使用 AWS CLI**
使用[create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html)命令开启隧道端点生命周期控制。
------
# 验证 AWS Site-to-Site VPN 隧道端点生命周期控制是否已启用
您可以使用 AWS 管理控制台 或 CLI 验证是否在现有 VPN 隧道上启用了隧道端点生命周期控制。
+ 如果禁用了隧道端点生命周期控制,并且您希望启用它,请参阅[启用 隧道端点生命周期控制](enable-elc.md)。
+ 如果启用了隧道端点生命周期控制,并且您希望禁用它,请参阅[关闭 隧道端点生命周期控制](turn-elc-off.md)。
**要验证是否启用了隧道端点生命周期控制,请使用 AWS 管理控制台**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在左侧导航栏中,选择 **Site-to-Site VPN 连接**。
1. 在 **VPN 连接**下选择适当的连接。
1. 选择**隧道详细信息**选项卡。
1. 在隧道详细信息中,查找**隧道端点生命周期控制**,它将报告该功能是**启用**还是**禁用**。
**要验证是否启用了隧道端点生命周期控制,请使用 AWS CLI**
使用[describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html)命令验证隧道端点生命周期控制是否已启用。
# 检查可用的 AWS Site-to-Site VPN 隧道更新
启用隧道端点生命周期控制功能后,您可以使用 AWS 管理控制台 或 CLI 查看 VPN 连接是否有可用的维护更新。检查可用的 Site-to-Site VPN 隧道更新不会自动下载和部署更新。您可以选择何时部署。有关下载和部署更新的步骤,请参阅[接受维护更新](accept-update.md)。
**要检查可用的更新,请使用 AWS 管理控制台**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在左侧导航栏中,选择 **Site-to-Site VPN 连接**。
1. 在 **VPN 连接**下选择适当的连接。
1. 选择**隧道详细信息**选项卡。
1. 查看**待维护**列。状态将为**可用**或**无**。
**要检查可用的更新,请使用 AWS CLI**
使用 [get-vpn-tunnel-replacement-status](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-tunnel-replacement-status.html) 命令检查是否有可用的更新。
# 接受 AWS Site-to-Site VPN 隧道维护更新
当有维护更新可用时,您可以使用 AWS 管理控制台 或 CLI 接受该更新。您可以选择在方便的时间接受 Site-to-Site VPN 隧道维护更新。在您接受维护更新后,系统便会部署该更新。
**注意**
如果您不接受维护更新, AWS 将在常规维护更新周期中自动部署该更新。
**要接受可用的维护更新,请使用 AWS 管理控制台**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在左侧导航栏中,选择 **Site-to-Site VPN 连接**。
1. 在 **VPN 连接**下选择适当的连接。
1. 选择**操作**,然后选择**替换 VPN 隧道**。
1. 通过选择适当的 **VPN 隧道外部 IP 地址**,选择要替换的特定隧道。
1. 选择**替换**。
**要接受可用的维护更新,请使用 AWS CLI**
使用[replace-vpn-tunnel](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-vpn-tunnel.html)命令接受可用的维护更新。
# 关闭 AWS Site-to-Site VPN 隧道端点生命周期控制
如果您不想再使用隧道终端节点生命周期控制功能,则可以使用 AWS 管理控制台 或将其关闭 AWS CLI。当您关闭此功能时, AWS 将定期自动部署维护更新,这些更新可能会在您的工作时间内发生。为避免任何业务影响,我们强烈建议您在 VPN 连接中配置这两个隧道以实现高可用性。
**注意**
虽然有可用的待维护,但在关闭该功能时无法指定**跳过隧道替换**选项。您可以随时关闭该功能,而无需使用**跳过隧道替换**选项,但 AWS 会通过立即启动隧道端点替换来自动部署可用的待维护更新。
**要关闭隧道端点生命周期控制,请使用 AWS 管理控制台**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在左侧导航栏中,选择 **Site-to-Site VPN 连接**。
1. 在 **VPN 连接**下选择适当的连接。
1. 依次选择**操作**和**修改 VPN 隧道选项**。
1. 通过选择适当的 **VPN 隧道外部 IP 地址**,选择要修改的特定隧道。
1. 要关闭隧道端点生命周期控制,请在**隧道端点生命周期控制**下,清除**启用**复选框。
1. (可选)选择**跳过隧道替换**。
1. 选择**保存更改**。
**要关闭隧道端点生命周期控制,请使用 AWS CLI**
使用[modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html)命令关闭隧道端点生命周期控制。
# 用于 AWS Site-to-Site VPN 连接的客户网关选项
下表描述了在 AWS 中创建客户网关资源所需的信息
| 项目 | 描述 |
| --- | --- |
| (可选)名称标签。 | 创建具有“名称”键以及您指定的值的标签。 |
| (仅动态路由)客户网关的边界网关协议 (BGP) 自治系统编号 (ASN)。 | 支持 1 到 4,294,967,295 范围内的 ASN。您可以使用为您的网络分配的现有公有 ASN,但以下情况除外: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/cgw-options.html) 如果您没有公有 ASN,则可以使用私有 ASN(在 64512 至 65534 或 4200000000 至 4294967294 范围内)。默认 ASN 为 64512。有关路由的更多信息,请参阅 [AWS Site-to-Site VPN 路由选项](VPNRoutingTypes.md)。 |
| 客户网关设备外部接口的 IP 地址。 | IP 地址必须是静态的,可以是 IPv4 或 IPv6。 对于 IPv4 地址:如果您的客户网关设备位于网络地址转换 (NAT, Network Address Translation) 设备的后面,请使用 NAT 设备的 IP 地址。此外,请确保允许端口 500(如果使用的是 NAT 遍历,则为端口 4500)上的 UDP 数据包在您的网络和 AWS Site-to-Site VPN 端点之间传输。有关更多信息,请参阅[防火墙规则](FirewallRules.md)。 对于 IPv6 地址:该地址必须是可通过互联网路由的有效 IPv6 地址。只有中转网关或 Cloud WAN 上的 VPN 连接才支持 IPv6 地址。 当您使用来自 AWS 私有证书颁发机构 的私有证书和公有 VPN 时,不需要 IP 地址。 |
| (可选)来自使用 AWS Certificate Manager(ACM)的从属 CA 的私有证书。 | 如果您要使用基于证书的身份验证,请提供将在客户网关设备上使用的 ACM 私有证书的 ARN。 创建客户网关时,您可以将客户网关配置为使用 AWS 私有证书颁发机构 私有证书对 Site-to-Site VPN 进行身份验证。 选择使用此选项时,您将创建完全由 AWS 托管的私有证书颁发机构 (CA) 供您的组织内部使用。根 CA 证书和从属 CA 证书都由 AWS 私有 CA 存储和管理。 在创建客户网关之前,您可以使用 AWS 私有证书颁发机构 通过从属 CA 创建私有证书,然后在配置客户网关时指定该证书。有关创建私有证书的信息,请参阅《*AWS 私有证书颁发机构 用户指南*》中的[创建和管理私有 CA](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html)。 |
| (可选)设备。 | 与此客户网关关联的客户网关设备的名称。 |
## IPv6 客户网关选项
创建带有 IPv6 地址的客户网关时,请考虑以下几点:
+ 只有中转网关或 Cloud WAN 上的 VPN 连接才支持 IPv6 客户网关。
+ IPv6 地址必须是可通过互联网路由的有效 IPv6 地址。
+ 您的客户网关设备必须支持 IPv6 寻址,并且能够通过 IPv6 端点建立 IPsec 隧道。
+ 要使用 AWS CLI 创建 IPv6 客户网关,请使用 IPv6 地址作为 `--ip-address` 参数:
```
aws ec2 create-customer-gateway --ip-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
```
# 加速AWS Site-to-Site VPN连接
您可以选择为 Site-to-Site VPN 连接启用加速。加速 Site-to-Site VPN 连接(加速 VPN 连接)用于AWS Global Accelerator将流量从您的本地网络路由到离您的客户网关设备最近的AWS边缘站点。AWS Global Accelerator优化网络路径,使用无拥塞的AWS全球网络将流量路由到提供最佳应用程序性能的端点(有关更多信息,请参阅)。[AWS Global Accelerator](https://aws.amazon.com/global-accelerator/)您可以使用加速 VPN 连接来避免通过公共 Internet 路由流量时可能发生的网络中断。
当您创建加速 VPN 连接时,我们将代表您创建和管理两个加速器(每个 VPN 隧道一个)。您无法使用AWS Global Accelerator控制台或自己查看或 APIs管理这些加速器。
有关支持加速 VPN 连接的AWS区域的信息,请参阅[AWS加速 Site-to-Site VPN FAQs](https://aws.amazon.com/vpn/faqs/)。
## 启用加速
默认情况下,当您创建 Site-to-Site VPN 连接时,加速处于禁用状态。在传输网关上创建新的 Site-to-Site VPN 连接时,您可以选择启用加速。有关更多信息和步骤,请参阅[创建AWS Site-to-Site VPN连接](create-vpn-connection.md)。
加速 VPN 连接使用单独的 IP 地址池作为隧道端点 IP 地址。两个 VPN 隧道的 IP 地址选自两个独立的[网络区域](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-components.html)。
## 规则和限制
要使用加速的 VPN 连接,应遵循以下规则:
+ 只有连接到传输网关的 Site-to-Site VPN 连接才支持加速。虚拟私有网关不支持加速 VPN 连接。
+ 加速 Site-to-Site VPN 连接不能与AWS Direct Connect公共虚拟接口一起使用。
+ 您无法为现有 Site-to-Site VPN 连接开启或关闭加速。相反,您可以根据需要创建开启或关闭加速功能的新 Site-to-Site VPN 连接。然后,将您的客户网关设备配置为使用新的 Site-to-Site VPN 连接并删除旧的 Site-to-Site VPN 连接。
+ NAT-遍历 (NAT-T) 是加速 VPN 连接所需的,并且默认情况下处于启用状态。如果您从 Amazon VPC 控制台下载了[配置文件](SetUpVPNConnections.md#vpn-download-config),请检查 NAT-T 设置并根据需要对其进行调整。
+ 必须从客户网关设备启动加速 VPN 隧道的 IKE 协商。影响此行为的两个隧道选项是 `Startup Action` 和 `DPD Timeout Action`。有关更多信息,请参阅 [VPN 隧道选项](VPNTunnels.md) 和 [VPN 隧道启动选项](initiate-vpn-tunnels.md)。
+ Site-to-Site 由于全球加速器中对数据包分段的支持有限AWS Global Accelerator,因此使用基于证书的身份验证的 VPN 连接可能与不兼容。有关更多信息,请参阅 [AWS Global Accelerator的工作原理](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html)。如果您需要使用基于证书的身份验证的加速 VPN 连接,您的客户网关设备必须支持 IKE 分段。否则,请勿启用 VPN 加速。
# AWS Site-to-Site VPN 路由选项
AWS 建议发布特定的 BGP 路由,以影响虚拟专用网关中的路由决策。请查阅供应商文档,了解您的设备特有的命令。
创建多个 VPN 连接后,虚拟专用网关将使用静态分配的路由或 BGP 路由通告将网络流量发送到适当的 VPN 连接。使用哪一个路由取决于配置 VPN 连接的方式。在虚拟专用网关中存在相同路由的情况下,优先选择静态分配的路由,而非 BGP 通告路由。如果选择使用 BGP 通告的选项,则无法指定静态路由。
有关路由优先级的更多信息,请参阅[路由表和路由优先级](vpn-route-priority.md)。
创建 Site-to-Site VPN 连接时,必须执行以下操作:
+ 指定您计划使用的路由的类型(动态或静态)
+ 更新子网的[路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)
可添加到路由表的路由数有配额。有关更多信息,请参阅《Amazon VPC 用户指南》**的 [Amazon VPC 限额](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)中的“路由表”部分。
**Topics**
+ [静态和动态路由](vpn-static-dynamic.md)
+ [路由表和路由优先级](vpn-route-priority.md)
+ [VPN 隧道终端节点更新期间的路由](routing-vpn-tunnel-updates.md)
+ [IPv4 和 IPv6 流量](ipv4-ipv6.md)
# 中的静态和动态路由 AWS Site-to-Site VPN
您选择的路由类型可由您的客户网关设备品牌和型号决定。如果您的客户网关设备支持边界网关协议 (BGP),请在配置 Site-to-Site VPN 连接时指定动态路由。如果您的客户网关设备不支持 BGP,请指定静态路由。
**注意**
Site-to-Site VPN 集中器仅支持 BGP 路由。使用 VPN 集中器的 VPN 连接不支持静态路由。 Site-to-Site
如果您使用支持 BGP 广告的设备,则无需指定 Site-to-Site VPN 连接的静态路由,因为该设备使用 BGP 向虚拟专用网关通告其路由。如果您的设备不支持 BGP 通告,则必须选择静态路由,并输入您的网络的路由 (IP 前缀),以便与虚拟私有网关建立通信。
我们建议您在适用的情况下使用支持 BGP 的设备,因为 BGP 协议可提供稳健的活性探测检查,可以在第一条隧道出现故障时协助对第二条 VPN 隧道进行失效转移。不支持 BGP 的设备也可执行健康检查,以便在需要时协助失效转移到第二条隧道。
您必须将客户网关设备配置为将流量从本地网络路由到 Site-to-Site VPN 连接。配置取决于设备的品牌和型号。有关更多信息,请参阅 [AWS Site-to-Site VPN 客户网关设备](your-cgw.md)。
# 路由表和 AWS Site-to-Site VPN 路由优先级
[路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)决定了将网络流量从您的 VPC 定向到何处。在您的 VPC 路由表中,您必须为您的远程网络添加路由,并将虚拟私有网关指定为目标。这将使从 VPC 传送到您的远程网络的流量能够通过虚拟专用网关和其中一个 VPN 隧道进行路由。您可以为路由表启用路由传播,从而自动将您的网络路由传播到表。
我们使用路由表中与流量匹配的最具体的路由来判断数据流的路由方式 (最长前缀匹配)。如果路由表具有重叠或匹配的路由,则应用以下规则:
+ 如果来自 Site-to-Site VPN 连接或 Direct Connect 连接的传播路由与您的 VPC 的本地路由重叠,则即使传播的路由更具体,也最好使用本地路由。
+ 如果来自 Site-to-Site VPN 连接或 Direct Connect 连接的传播路由与其他现有静态路由具有相同的目标 CIDR 块(不能应用最长前缀匹配),则我们会优先考虑目标为 Internet 网关、虚拟专用网关、网络接口、实例 ID、VPC 对等连接、NAT 网关、传输网关或网关 VPC 终端节点的静态路由。
例如,以下路由表具有指向互联网网关的静态路由和指向虚拟私有网关的传播路由。这两条路由的目的地均为 `172.31.0.0/24`。在这种情况下,目标为 `172.31.0.0/24` 的所有流量均路由到互联网网关,这是静态路由,因此,其优先级高于传播路由。
| 目的地 | 目标 |
| --- | --- |
| 10.0.0.0/16 | 本地 |
| 172.31.0.0/24 | vgw-11223344556677889(传播) |
| 172.31.0.0/24 | igw-12345678901234567(静态) |
只有虚拟私有网关已知的 IP 前缀可接收来自您的 VPC 的数据流量,无论是通过 BGP 通告还是静态路由条目。虚拟专用网关不路由任何不以收到的 BGP 通告、静态路由条目或其附加 VPC CIDR 为目标的其他流量。虚拟专用网关不支持 IPv6 流量。
在虚拟私有网关收到路由信息时,它使用路径选择来决定如何路由流量。如果所有端点都运行正常,则最长前缀匹配适用。隧道端点的运行状况优先于其他路由属性。此优先级适用于 VPNs 虚拟专用网关和传输网关。如果前缀相同,则虚拟私有网关按照以下方式对路由进行优先排序:
+ BGP 从连接传播路由 Direct Connect
黑洞路由不会通过 BGP 传播到 Site-to-Site VPN 客户网关。
+ 为 Site-to-Site VPN 连接手动添加静态路由
+ BGP 从 VPN 连接传播路由 Site-to-Site
+ 要匹配每个 Site-to-Site VPN 连接使用 BGP 的前缀,将比较 AS 路径,首选 AS 路径最短的前缀。
**注意**
AWS 强烈建议使用支持非对称路由的客户网关设备。
对于支持非对称路由的客户网关设备,我们*不*建议使用 AS 路径前加,以确保两个隧道具有相同的 AS 路径。这有助于确保使用我们在 [VPN 隧道端点更新](routing-vpn-tunnel-updates.md)期间在隧道上设置的 multi-exit discriminator(MED)值来确定隧道优先级。
对于不支持非对称路由的客户网关设备,可以使用 AS PATH 前加和本地首选项,从而使某个隧道优先于另一个隧道。但是,当出口路径发生变化时,这可能会导致流量下降。
+ 当 AS 的长度 PATHs 相同时,如果 AS\$1SEQUENCE 中的第一个 AS 在多条路径上相同,则比multi-exit discriminators较 (MEDs)。首选具有最低 MED 值的路径。
在 [VPN 隧道端点更新](routing-vpn-tunnel-updates.md)期间,路由优先级受到影响。
在 Site-to-Site VPN 连接上, AWS 选择两条冗余隧道中的一条作为主出口路径。此选择有时可能会更改,我们强烈建议您配置这两个隧道以实现高可用性并允许非对称路由。隧道端点的运行状况优先于其他路由属性。此优先级适用于 VPNs 虚拟专用网关和传输网关。
对于虚拟专用网关,将选择一条穿过网关上所有 Site-to-Site VPN 连接的隧道。要使用多个隧道,我们建议您探索等价多路径 (ECMP),传输网关上的 Site-to-Site VPN 连接支持此功能。有关更多信息,请参阅 *Amazon VPC 中转网关* 中的[中转网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。虚拟专用网关上的 Site-to-Site VPN 连接不支持 ECMP。
对于使用 BGP 的 Site-to-Site VPN 连接,可以通过 multi-exit discriminator (MED) 值来标识主隧道。我们建议通告更为具体的 BGP 路由,以影响路由决策。
对于使用静态路由的 Site-to-Site VPN 连接,可以通过流量统计数据或指标来识别主隧道。
# VPN 隧道终端节点更新期间的路由
Site-to-SiteVPN 连接由客户网关设备和虚拟专用网关或传输网关之间的两条 VPN 隧道组成。建议您配置两个隧道以实现冗余。 AWS 还会不时对您的 VPN 连接进行例行维护,这可能会短暂禁用 VPN 连接的两个隧道中的一个。有关更多信息,请参阅 [隧道端点替换通知](monitoring-vpn-health-events.md#tunnel-replacement-notifications)。
当我们在一条 VPN 隧道上执行更新时,我们会在另一条隧道上设置一个较低的出站 multi-exit discriminator (MED) 值。如果您已将客户网关设备配置为使用两个隧道,则 VPN 连接在隧道端点更新过程中使用另一条(上行)隧道。
**注意**
要确保首选具有较低 MED 的上行隧道,请确保您的客户网关设备对两个隧道使用相同的“权重和本地首选项”值(“权重和本地首选项”的优先级高于 MED)。
# AWS Site-to-Site VPN 中的 IPv4 和 IPv6 流量
中转网关上的站点到站点 VPN 连接可以在 VPN 隧道内支持 IPv4 流量或 IPv6 流量。默认情况下, Site-to-Site VPN 连接在 VPN 隧道内支持 IPv4 流量。您可以配置新 Site-to-Site VPN 连接以在 VPN 隧道内支持 IPv6 流量。然后,如果您的 VPC 和本地网络配置为 IPv6 寻址,则可以通过 VPN 连接发送 IPv6 流量。
如果为 Site-to-Site VPN 连接的 VPN 隧道启用 IPv6,则每个隧道都将有两个 CIDR 块。一个是大小为 /30 的 IPv4 CIDR 块,另一个是大小为 /126 的 IPv6 CIDR 块。
## IPv4 和 IPv6 支持
Site-to-Site VPN VPN 连接支持以下 IP 配置:
+ **IPv4 外部隧道搭配 IPv4 内部数据包**:虚拟专用网关、中转网关和 Cloud WAN 上支持的基本 IPv4 VPN 功能。
+ **IPv4 外部隧道搭配 IPv6 内部数据包**:允许 VPN 隧道内的 IPv6 应用程序/传输。在中转网关和 Cloud WAN 上受支持。虚拟专用网关不支持此配置。
+ **IPv6 外部隧道搭配 IPv6 内部数据包**:允许完整 IPv6 迁移,外部隧道 IP 和内部数据包 IP 均采用 IPv6 地址。中转网关和 Cloud WAN 均支持此配置。
+ **IPv6 外部隧道搭配 IPv4 内部数据包**的:允许 IPv6 外部隧道寻址,同时支持隧道内的旧式 IPv4 应用程序。中转网关和 Cloud WAN 均支持此配置。
以下规则适用:
+ 仅终止在中转网关或 Cloud WAN 上的 Site-to-Site VPN 连接支持外部隧道 IPv6 地址。虚拟私有网关上的 Site-to-Site VPN 连接不支持外部隧道 IP 使用 IPv6。
+ 将 IPv6 用于外部隧道 IP 时,您必须在 VPN 连接的两个 AWS 端和客户网关上为两个 VPN 隧道分配 IPv6 地址。
+ 无法为现有 Site-to-Site VPN 连接启用 IPv6 支持。您必须删除现有连接并创建一个新连接。
+ Site-to-Site VPN 连接不能同时支持 IPv4 和 IPv6 流量。内部封装的数据包可以是 IPv6 或 IPv4,但不能两者兼而有之。您需要单独的 Site-to-Site VPN 连接来传输 IPv4 和 IPv6 数据包。
+ 私有 IP VPN 不支持外部隧道 IP 使用 IPv6 地址。它们使用 RFC 1918 或 CGNAT 地址。有关 RFC 1918 的更多信息,请参阅 [RFC 1918 - Address Allocation for Private Internets](https://datatracker.ietf.org/doc/html/rfc1918)。
+ IPv6 VPN 支持的吞吐量(Gbps 和 PPS)、MTU 和路由限制与 IPv4 VPN 相同。
+ IPv4 和 IPv6 VPN 的 IPSec 加密和密钥交换功能的工作方式相同。
有关创建支持 IPv6 的 VPN 连接的更多信息,请参阅“Get Started with Site-to-Site VPN”中的 [Create a VPN connection](SetUpVPNConnections.md#vpn-create-vpn-connection) 部分。
# AWS Site-to-Site VPN 浓缩器
AWS Site-to-Site VPN 集中器是一项新功能,可简化分布式企业的多站点连接。VPN 集中器适用于需要将 25 个以上的远程站点连接到 AWS 的客户,每个站点都需要低带宽(低于 100 Mbps)。
## 支持的网关服务和功能
只有 Transit Gateway 支持 VPN 集中器。Cloud WAN 或虚拟专用网关不支持此功能。
下表描述了 Site-to-Site VPN 集中器支持的功能:
| 功能 | 支持? |
| --- | --- |
| IPv6 | 是 |
| 私有直连 Connect VPN 连接 | 否 |
| 加速 VPN | 是 |
| 来自同一站点的多台客户网关设备 | 可以。但是,每台客户网关设备都必须具有唯一的 IP 地址。 |
| 地理限制 | 不是。 您可以将位于任何区域的站点连接到任何区域的集中器。 AWS |
| Site-to-Site VPN 日志 | 可以。您可以为连接到集中器的所有站点生成 VPN 日志,也可以单独生成 VPN 日志。 |
| Transit Gateway 加密支持 | 否 |
## 带宽
目前, Site-to-SiteVPN 集中器支持 5 Gbps 的聚合带宽。每个站点最多可以支持 100 Mbps 的带宽。但是,如果您需要更高的带宽,请联系我们 AWS 支持。
## 路由
Site-to-Site VPN 集中器仅支持 BGP(边界网关协议)路由。不支持静态路由。
连接到的所有客户网关都 Site-to-Site VPNConcentrator 使用与传输网关相同的 Site-to-Site VPN 集中器连接进行路由。每个连接到 Site-to-Site VPN 集中器的站点最多可以从传输网关向客户网关发送 5,000 条路由,从客户网关向传输网关发送 1,000 条路由。
## IP 地址分配
通过 VPN 集中器的每个 Site-to-Site VPN 连接仍将有一个唯一的 AWS IP 地址(每个隧道一个)。
## 监控
通过 VP Site-to-Site N 集中器进行的 VPN 连接支持与常规 VPN 连接相同的指标。
在 VPN 集中器连接上启用 Transit 网关流量日志时,您将看到所有与该集中器相连的远程站点进出的所有流量的流日志。
## 隧道维护
使用 VPN 集中器时,隧道维护的工作方式与两个端点的现有标准 Site-to-Site VP Site-to-Site N 隧道的工作方式相同。请参阅[端点替换](endpoint-replacements.md)了解更多信息。
## 定价
有关 Site-to-Site VPN 集中器定价的信息可在 [AWS VPN 定价](https://aws.amazon.com/vpn/pricing/)页面上找到。