本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 通过创建私有 AWS Site-to-Site VPN IP Direct Connect
要使用创建私有 IP VPN, Direct Connect 请按照以下步骤操作。在通过 Direct Connect 创建私有 IP VPN 之前,您需要确保首先创建中转网关和 Direct Connect 网关。在创建这两个网关后,需要在两个网关之间创建关联。下表描述了这些先决条件。在创建并关联这两个网关后,应使用该关联创建 VPN 客户网关和连接。
## 先决条件
下表描述了通过 Direct Connect 创建私有 IP VPN 之前需要满足的先决条件。
| Item | Steps | 信息 |
| --- | --- | --- |
| 为 Site-to-Site VPN 准备传输网关。 | 使用 Amazon Virtual Private Cloud (VPC) 控制台或使用命令行或 API 创建传输网关。 请参阅《Amazon VPC 中转网关指南》**中的[中转网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。 | 传输网关是一个网络中转枢纽,可用于将您的网络 VPCs 和本地网络互连。您可以创建新的中转网关,也可以使用现有中转网关来建立私有 IP VPN 连接。在创建中转网关或修改现有中转网关时,可以为连接指定私有 IP CIDR 块。 在指定要与私有 IP VPN 关联的中转网关 CIDR 块时,请确保 CIDR 块不会与中转网关上的任何其他网络连接的任何 IP 地址重叠。如果任何 IP CIDR 块发生了重叠,可能会导致客户网关设备出现配置问题。 |
| 为 Site-to-Site VPN 创建 Direct Connect 网关。 | 使用 Direct Connect 控制台、命令行或 API 创建 Direct Connect 网关。 请参阅*Direct Connect 用户指南*中的[创建 AWS Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html)。 | Direct Connect 网关允许您跨多个 AWS 区域连接虚拟接口 (VIFs)。此网关用于连接到您的 VIF。 |
| 为 Site-to-Site VPN 创建传输网关关联。 | 使用 Direct Connect 控制台、命令行或 API 创建 Direct Connect 网关和中转网关之间的关联。 请参阅*Direct Connect 用户指南*中的[关联或取消 Direct Connect 与公交网关的关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html)联。 | 创建 Direct Connect 网关后,为网关创建中转 Direct Connect 网关联。为之前在允许的前缀列表中确定的中转网关指定私有 IP CIDR。 |
## 为 Site-to-Site VPN 创建客户网关和连接
客户网关是您在中创建的资源 AWS。它表示本地网络中的客户网关设备。创建客户网关时,您需要向提供有关您的设备的信息 AWS。有关更多详细信息,请参阅[客户网关](how_it_works.md#CustomerGateway)。
**使用控制台创建客户网关**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**客户网关**。
1. 选择**创建客户网关**。
1. (可选)对于 **Name tag**(名称标签),为您的客户网关输入名称。这样做可创建具有 `Name` 键以及您指定的值的标签。
1. 对于 **BGP ASN**,输入您的客户网关的边界网关协议(BGP)自治系统编号(ASN)。
1. 对于 **IP address**(IP 地址),输入您的客户网关设备的私有 IP 地址。
**重要**
配置 AWS 私有 IP 时 AWS Site-to-Site VPN,必须使用 RFC 1918 地址指定自己的隧道端点 IP 地址。请勿使用 point-to-point IP 地址在您的客户网关路由器和终端节点之间进行 eBGP 对等。 Direct Connect AWS 建议使用客户网关路由器上的环回或 LAN 接口作为源地址或目标地址,而不是 point-to-point连接。
有关 RFC 1918 的更多信息,请参阅[私有互联网的地址分配](https://datatracker.ietf.org/doc/html/rfc1918)。
1. (可选)对于 **Device**(设备),输入托管此客户网关的设备的名称。
1. 选择**创建客户网关**。
1. 在导航窗格中,选择 **Site-to-Site VPN 连接**。
1. 选择**创建 VPN 连接**。
1. (可选)在**名称标签**中,输入您的 Site-to-Site VPN 连接的名称。这样做可创建具有 `Name` 键以及您指定的值的标签。
1. 对于 **Target gateway type**(目标网关类型),选择 **Transit gateway**(中转网关)。然后,选择您之前确定的中转网关。
1. 对于 **Customer gateway**(客户网关),选择 **Existing**(现有)。然后,选择您之前创建的客户网关。
1. 根据您的客户网关设备是否支持边界网关协议(BGP),选择一个路由选项:
+ 如果您的客户网关设备支持 BGP,请选择**动态(需要 BPG)**。
+ 如果您的客户网关设备不支持 BGP,请选择**静态**。
1. 对于 **IP 版本内的隧道**,指定 VPN 隧道是否支持 IPv4 或 IPv6 流量。
1. (可选)如果您在 **IP 版本内指定了隧道**,则可以选择为客户网关和允许通过 VPN 隧道进行通信的 AWS 端指定 IPv4 CIDR 范围。**IPv4**默认值为 `0.0.0.0/0`。
如果您在 **IP 版本内指定**IPv6**隧道**,则可以选择为客户网关和允许通过 VPN 隧道进行通信的 AWS 端指定 IPv6 CIDR 范围。这两个范围的默认值均为 `::/0`。
1. 对于**外部 IP 地址类型**,请选择 **PrivateIpv4**。
1. 对于**传输附件 ID**,请为相应网关选择传输 Direct Connect 网关附件。
1. 选择**创建 VPN 连接**。
**注意**
**Enable acceleration**(启用加速)选项不适用于 Direct Connect上的 VPN 连接。
**使用命令行或 API 创建客户网关**
+ [CreateCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateCustomerGateway.html)(亚马逊 EC2 查询 API)
+ [create-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-customer-gateway.html) (AWS CLI)