本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 与... 一起工作AWS Site-to-Site VPN
您可以使用 Amazon Site-to-Site VPC 控制台或使用 VPN 资源AWS CLI。
**Topics**
+ [创建和管理 VPN 集中器](create-manage-vpn-concentrators.md)
+ [创建 VPN 连接](create-vpn-connection.md)
+ [测试 VPN 连接](HowToTestEndToEnd_Linux.md)
+ [删除 VPN 连接和网关](delete-vpn.md)
+ [修改 VPN 连接的目标网关](modify-vpn-target.md)
+ [修改 VPN 连接选项](modify-vpn-connection-options.md)
+ [修改 VPN 隧道选项](modify-vpn-tunnel-options.md)
+ [编辑 VPN 连接的静态路由](vpn-edit-static-routes.md)
+ [更改 VPN 连接的客户网关](change-vpn-cgw.md)
+ [替换受损的凭证](CompromisedCredentials.md)
+ [轮换 VPN 隧道端点证书](rotate-vpn-certificate.md)
+ [私有 IP VPN 与 Direct Connect](private-ip-dx.md)
# 创建和管理AWS Site-to-Site VPN集中器
Site-to-SiteVPN 集中器允许您聚合和管理来自远程站点的多个 VPN 连接,从而提供集中管理。
创建 Site-to-Site VPN 集中器后,您可以从 Amazon VPC 控制台的 Site-to-Site VPN 集中器主页查看和管理它们。此控制面板显示所有管理 AWS 与您的远程站点之间安全连接的活动的 VPN 集中器。
**Topics**
+ [创建 VPN 集中器](create-vpn-concentrator.md)
+ [管理 VPN 集中器标签](manage-vpn-concentrator-tags.md)
+ [删除 VPN 集中器](delete-vpn-concentrator.md)
# 创建 AWS Site-to-Site VPN 集中器
使用 Amazon VPC 控制台或创建集中器。 APIs AWS CLI在创建集中器之前,必须先创建与集中器关联的传输网关。有关创建中转网关的更多信息,请参阅 *Amazon VPC [Transit Gateway 指南中的创建](https://docs.aws.amazon.com/vpc/latest/tgw/create-tgw.html) AWS 传输网关*。
## 使用控制台创建 Site-to-Site VPN 集中器
要使用 AWS 管理控制台创建 Site-to-Site VPN 集中器,请执行以下步骤:
**使用控制台创建 Site-to-Site VPN 集中器**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Site-to-Site VPN 集中器。**
1. 选择**创建 Site-to-Site VPN 集中器**。
1. (可选)在**名称标签**中,输入您的 Site-to-Site VPN 集中器的名称。
1. 对于**公交网关**,请选择现有的公交网关。
1. (可选)添加标签以帮助识别和整理您的 Site-to-Site VPN 集中器。
1. 选择**添加新标签**。
1. 对于 **Key**,输入标签密钥(例如,**Name**)。
1. 在 “**值**” 中,输入标签值(例如,**Production-VPN-Concentrator**)。
1. 重复前面的步骤,根据需要添加其他标签。
1. 选择**创建 Site-to-Site VPN 集中器**。
创建后, Site-to-SiteVPN 集中器将在配置时`pending`处于状态。准备就绪后,状态将更改为`available`,您可以开始创建使用 VPN 集中器的 Site-to-Site VPN 连接。
## 使用 CL Site-to-Site I 创建 VPN 集中器
在使用 CLI 创建 Site-to-Site VPN 集中器之前,请确保具备以下条件:
+ 您的 AWS 账户中已有 Transit Gateway
+ 创建 Site-to-Site VPN 集中器的适当 IAM 权限
+ 您要连接集中器的 Transit Gateway 的 ID
以下示例为指定的传输网关创建 Site-to-Site VPN 集中器:
```
aws ec2 create-vpn-concentrator --transit-gateway-id tgw-123456789
```
成功响应如下所示:
```
{
"VpnConcentrator": {
"VpnConcentratorId": "vcn-0123456789abcdef0",
"State": "pending",
"TransitGatewayId": "tgw-123456789",
"CreationTime": "2025-09-29T17:26:31.000Z",
"Tags": []
}
}
```
## 使用 API 创建 Site-to-Site VPN 集中器
您可以使用 CreateVpnConcentrators API 创建 Site-to-Site VPN 集中器。
API 接受以下关键参数:
`TransitGatewayId`
要连接 Site-to-Site VPN 集中器的 Transit Gateway 的 ID。
`TagSpecification`
分配给 Site-to-Site VPN 集中器的标签,用于资源组织和计费。
以下示例显示如何创建连接到 Transit Gateway 的 Site-to-Site VPN 集中器:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=...
Action=CreateVpnConcentrator
&Version=2016-11-15
&TransitGatewayId=tgw-0123456789abcdef0
&TagSpecification.1.ResourceType=vpn-concentrator
&TagSpecification.1.Tag.1.Key=Name
&TagSpecification.1.Tag.1.Value=MyVpnConcentrator
```
成功创建后,API 会返回有关新创建的 Site-to-Site VPN 集中器的详细信息:
```
12345678-1234-1234-1234-123456789012
vcn-0123456789abcdef0
pending
tgw-0123456789abcdef0
2024-01-15T10:30:00.000Z
-
Name
MyVpnConcentrator
```
# 管理AWS Site-to-Site VPN集中器标签
标签是键值对,可帮助您组织和管理 Site-to-Site VPN 集中器。您可以使用标签按用途、环境、成本中心或对您的组织有意义的任何其他标准对 Site-to-Site VPN 集中器进行分类。
## 使用控制台管理标签
您可以使用AWS管理控制台为 Site-to-Site VPN 集中器添加或删除 VPN 集中器的标签。
**向 Site-to-Site VPN 集中器添加标签**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Site-to-Site VPN 集中器。**
1. 选择要标记的 Site-to-Site VPN 集中器。
1. 选择**标签**选项卡。
1. 选择**管理标签**。
1. 选择 **Add new tag(添加新标签)**。
1. 对于 **Key**,输入标签密钥(例如,**Environment**)。
1. 在 “**值**” 中,输入标签值(例如,**Production**)。
1. 选择**保存更改**。
**从 Site-to-Site VPN 集中器中删除标签**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Site-to-Site VPN 集中器。**
1. 选择要从中删除标签的 Site-to-Site VPN 集中器。
1. 选择**标签**选项卡。
1. 选择**管理标签**。
1. 对于要移除的每个标签,请选择 “**移除**”。
1. 选择**保存更改**。
## 使用 CLI 管理标签
您可以使用添加、修改或移除标签AWS CLI。
**添加标签**
以下示例向 Site-to-Site VPN 集中器添加标签:
```
aws ec2 create-tags --resources vcn-0123456789abcdef0 --tags Key=Environment,Value=Production Key=Team,Value=NetworkOps
```
成功后,此命令不返回任何输出。
**查看标签**
以下示例描述了 Site-to-Site VPN 集中器的标签:
```
aws ec2 describe-tags --filters "Name=resource-id,Values=vcn-0123456789abcdef0"
```
如果成功,将返回以下响应。
```
{
"Tags": [
{
"Key": "Environment",
"ResourceId": "vcn-0123456789abcdef0",
"ResourceType": "vpn-concentrator",
"Value": "Production"
},
{
"Key": "Team",
"ResourceId": "vcn-0123456789abcdef0",
"ResourceType": "vpn-concentrator",
"Value": "NetworkOps"
}
]
}
```
**删除标签**
以下示例从 Site-to-Site VPN 集中器中删除标签:
```
aws ec2 delete-tags --resources vcn-0123456789abcdef0 --tags Key=Environment Key=Team
```
成功后,此命令不返回任何输出。
## 使用 API 管理标签
您可以使用 Amazon EC2 API 操作以编程方式管理 Site-to-Site VPN 集中器标签。
**CreateTags**
使用`CreateTags`操作来添加或更新标签:
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateTags
&ResourceId.1=vcn-0123456789abcdef0
&Tag.1.Key=Environment
&Tag.1.Value=Production
&Tag.2.Key=Team
&Tag.2.Value=NetworkOps
&Version=2016-11-15
```
如果成功,将返回以下响应。
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
true
```
**DescribeTags**
使用`DescribeTags`操作来检索标签:
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DescribeTags
&Filter.1.Name=resource-id
&Filter.1.Value.1=vcn-0123456789abcdef0
&Version=2016-11-15
```
如果成功,将返回以下响应。
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
-
vcn-0123456789abcdef0
vpn-concentrator
Environment
Production
-
vcn-0123456789abcdef0
vpn-concentrator
Team
NetworkOps
```
**DeleteTags**
使用`DeleteTags`操作来移除标签:
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DeleteTags
&ResourceId.1=vcn-0123456789abcdef0
&Tag.1.Key=Environment
&Tag.2.Key=Team
&Version=2016-11-15
```
如果成功,将返回以下响应。
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
true
```
# 删除 AWS Site-to-Site VPN 集中器
当您不再需要 Site-to-Site VPN 集中器时,可以将其删除以停止产生费用。删除 Site-to-Site VPN 集中器会永久删除该集中器及其所有相关配置。
## 先决条件
在删除 Site-to-Site VPN 集中器之前,请确保满足以下条件:
+ 与 VPN 集中器关联的所有 Site-to-Site VPN 连接都将被删除。
+ 您拥有删除 Site-to-Site VPN 集中器的必要权限 (`ec2:DeleteVpnConcentrator`)。
## 使用控制台删除 Site-to-Site VPN 集中器
**删除 Site-to-Site VPN 集中器**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**站点到站点集中器**。
1. 选择要删除的 Site-to-Site VPN 集中器。
1. 选择 “**操作**”,然后选择 “**删除 Site-to-Site VPN 集中器**”。
1. 在确认对话框中,键入 **delete** 以确认删除。
1. 选择**删除**。
## 使用 CL Site-to-Site I 删除 VPN 集中器
使用`delete-vpn-concentrator`命令删除 Site-to-Site VPN 集中器。您需要使用才能将其删除。`vpn-concentrator-id`
以下示例删除 Site-to-Site VPN 集中器:
```
aws ec2 delete-vpn-concentrator --vpn-concentrator-id vcn-0123456789abcdef0
```
如果成功,将返回以下响应。
```
{
"VpnConcentrator": {
"VpnConcentratorId": "vcn-0123456789abcdef0",
"State": "deleting",
"Message": "The Site-to-Site VPN Concentrator vcn-0123456789abcdef0 is being deleted and will be removed from your account."
}
}
```
## 使用 API 删除 Site-to-Site VPN 集中器
使用该`DeleteVpnConcentrator`操作删除 Site-to-Site VPN 集中器。您需要使用才能将其删除。`VpnConcentratorId`
以下示例删除 Site-to-Site VPN 集中器:
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DeleteVpnConcentrator
&VpnConcentratorId=vcn-0123456789abcdef0
&Version=2016-11-15
```
如果成功,将返回以下响应。
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
vcn-0123456789abcdef0
deleting
The Site-to-Site VPN Concentrator vcn-0123456789abcdef0 is being deleted and will be removed from your account.
```
# 创建AWS Site-to-Site VPN连接
您可以创建连接到传输网关或 Cloud WAN 全球网络的 Site-to-Site VPN 连接。两种连接类型都支持 IPv4 和 IPv6 协议,并且可以选择使用 Site-to-Site VPN 集中器经济高效地连接多个远程站点。
## 使用控制台创建 VPN 连接
**使用控制台创建 VPN 连接**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Site-to-Site VPN 连接**。
1. 选择**创建 VPN 连接**。
1. (可选)对于**名称标签**,输入连接的名称。这样做可创建具有 `Name` 键以及您指定的值的标签。
1. 对于**目标网关类型**,请选择以下选项之一:
+ **虚拟专用网关**-通过选择现有的虚拟专用网关来创建新的**虚拟专用网关** VPN 连接。
+ **传输网关**-通过选择现有的公交网关来创建新的**传输网关** VPN 连接。有关创建中转网关的更多信息,请参阅 *Amazon VPC 中转网关* 中的[中转网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。
+ **Site-to-Site VPN 集中器**-使用现有的 Site-to-Site VPN 集中器或创建新的 VPN 集中器创建新的 Site-to-Site VPN 集中器连接。选择下列选项之一:
+ **现有-使用现有**集中器创建新的 VP Site-to-Site N 集中器 VPN 连接。
+ **新建**-输入 Site-to-Site VPN 集中器的可选名称,然后选择要与之关联的传输网关。
+ **未关联**-创建独立的 VPN 连接,以后可以通过网络管理器控制台或 API 与 Cloud WAN 关联。有关 VPN 附件和云广域网的更多信息,请参阅云广域网*用户指南*[中的AWS云广域网中的 Site-to-site AWS VPN 附件](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html)。
1. 对于**客户网关**,执行以下操作之一:
+ 要使用现有的客户网关,请选择**现有**,然后选择**客户网关 ID**。
+ 要创建新的客户网关,请选择**新**建,然后执行以下操作:
+ 对于 **IP 地址**,请输入静态**IPv4**或**IPv6**地址。
+ (可选)对于**证书 ARN**,请选择私有证书的 ARN(如果使用基于证书的身份验证)。
+ 对于 **BGP ASN**,输入您的客户网关的边界网关协议(BGP)自治系统编号(ASN)。有关更多信息,请参阅 [客户网关选项](cgw-options.md)。
1. 对于**路由选项**,请选择**动态(需要 BGP)**或**静态**。
**注意**
云广域网 VPN 连接和使用集中器的 VPN 连接仅支持 BGP 路由。这些连接类型不支持静态路由。
1. 对于**预共享密钥存储**,请选择**标准**或 **Secrets Manager**。默认选择为**标准**。有关使用AWS Secrets Manager的更多信息,请参阅[安全性](security.md)。
1. 对于 **IP 内的 Tunnel 版本**,请选择**IPv4**或**IPv6**。
1. (可选)对于**启用加速**,选中复选框可启用加速。有关更多信息,请参阅 [加速的 VPN 连接](accelerated-vpn.md)。
如果您启用加速,我们将创建两个加速器以供您的 VPN 连接使用。将收取额外费用。
1. (可选)根据您选择的 IP 版本中的隧道,执行以下操作之一:
+ IPv4 — 对于**本地 IPv4 网络 CIDR**,请指定允许通过 VPN 隧道进行通信的客户网关(本地)端的 IPv4 CIDR 范围。对于**远程 IPv4 网络 CIDR**,请选择允许通过 VPN 隧道进行通信AWS的一侧的 CIDR 范围。两个字段的默认值为 `0.0.0.0/0`。
+ IPv6 — 对于**本地 IPv6 网络 CIDR**,请指定允许通过 VPN 隧道进行通信的客户网关(本地)端的 IPv6 CIDR 范围。对于**远程 IPv6 网络 CIDR**,请选择允许通过 VPN 隧道进行通信AWS的一侧的 CIDR 范围。两个字段的默认值为 `::/0`
1. 对于**外部 IP 地址类型**,可从以下选项中进行选择:
+ **公共 IPv4**-(默认)使用外部隧道 IPv4 的地址 IPs。
+ **私有 IPv4**-使用私有 IPv4 地址在私有网络中使用。
+ **IPv6**-使用外部隧道 IPv6 的地址 IPs。此选项要求您的客户网关设备支持 IPv6寻址。
**注意**
如果选择**IPv6**外部 IP 地址类型,则必须使用 IPv6 地址创建客户网关
1. (可选)对于**隧道 1 选项**,您可以选择为每个隧道指定以下信息:
+ 内部隧道 IPv4 地址`169.254.0.0/16`范围 IPv4 中的 CIDR 块大小为 /30。
+ 如果您在 **IP 版本内**IPv6**为 Tunnel 指定,则内部隧道**地址`fd00::/8`范围中会有 /126 IPv6 CIDR 块。 IPv6
+ IKE 预共享密钥(PSK)。支持以下版本: IKEv1或 IKEv2。
+ 要编辑隧道的高级选项,请选择**编辑隧道选项**。有关更多信息,请参阅 [VPN 隧道选项](VPNTunnels.md)。
+ (可选)为**隧道活动日志**选择**启用**,以捕获 IPsec 活动和 DPD 协议消息的日志消息。
+ (可选)对于**隧道端点生命周期**,选择**启用**以控制端点更换计划。有关隧道端点生命周期的更多信息,请参阅[隧道端点生命周期](tunnel-endpoint-lifecycle.md)。
1. (可选)选择**隧道 2 选项**,然后按照前面的步骤设置第二条隧道。
1. 选择**创建 VPN 连接**。
# 使用 CLI 或 API 创建 AWS Site-to-Site VPN 公交网关连接
## 使用 CLI 创建到 Transit Gateway 的 VPN 连接
使用[create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html)命令并为该`--transit-gateway-id`选项指定传输网关 ID。
以下示例演示如何使用 IPv6 外部隧道 IPs 和 IPv6 内部隧道创建 VPN 连接 IPs:
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--transit-gateway-id tgw-12312312312312312 \
--customer-gateway-id cgw-001122334455aabbc \
--options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
示例响应:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-001122334455aabbc",
"Type": "ipsec.1",
"TransitGatewayId": "tgw-12312312312312312",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false,
"OutsideIPAddressType": "Ipv6",
"TunnelInsideIpVersion": "ipv6"
}
}
}
```
## 使用 API 创建到 Transit Gateway 的 VPN 连接
您可以使用亚马逊 EC2 API 创建 VPN 连接。本节提供使用 API 创建传输网关 VPN 连接的请求和响应消息示例。
### 先决条件
在使用 API 创建 VPN 连接之前,请确保您已具备以下条件:
+ 公交网关已创建并可用
+ 使用您的本地设备详细信息配置的客户网关
以下示例说明如何使用 `CreateVpnConnection` API 操作创建 VPN 连接:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&TransitGatewayId=tgw-12345678901234567
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
此示例在指定的传输网关和客户网关之间使用动态路由 (BGP) 创建一个 VPN 连接。
成功的 API 响应会返回 VPN 连接详情:
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
vpn-1a2b3c4d5e6f78901
pending
cgw-12345678901234567
ipsec.1
tgw-12345678901234567
VPN
false
```
响应包括 VPN 连接 ID、当前状态和配置详细信息。当 AWS 配置 VPN 隧道时,连接最初将处于 “待处理” 状态。
# 使用 CLI 或 API 创建 AWS Site-to-Site VPN 云广域网连接
您可以按照以下步骤在本地和 AWS 云广域网之间创建 Site-to-Site VPN 连接。有关更多信息,请参阅《[AWS 云广域网*用户指南》中的 Clou AWS d WAN* 中的 Site-to-site VPN 附件](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html)。
## 使用 CLI 创建与云广域网的 VPN 连接
使用[create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html)命令创建 VPN 连接,该连接稍后将连接到 Cloud WAN 全球网络。这将创建一个独立的 VPN 连接,该连接随后可以通过网络管理器控制台或 API 与 Cloud WAN 关联。
**先决条件**
在创建 Cloud WAN VPN 连接之前,请确保您具备以下条件:
+ `customer-gateway-id`-代表您的本地 VPN 设备的现有客户网关资源 (`cgw-xxxxxxxxx`)。
+ **云广域网全球网络**-云广域网全球网络必须创建并配置适当的网段。
+ **BGP 配置**-云广域网 VPN 连接需要 BGP 路由;不支持静态路由。必须在 options 参数`StaticRoutesOnly=false`中设置
此命令在不指定目标网关的情况下创建 VPN 连接。该连接将处于未连接状态,稍后可以通过网络管理器控制台或 API 与您的 Cloud WAN 全球网络关联。该`StaticRoutesOnly=false`选项启用 BGP 路由,这是 Cloud WAN VPN 附件所必需的,因为不支持静态路由。
以下示例为云 WAN 创建了独立的 VPN 连接:
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-0123456789abcdef0 \
--options StaticRoutesOnly=false
```
响应返回以下内容:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-0123456789abcdef0",
"Type": "ipsec.1",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
创建 VPN 连接后,您可以使用网络管理器控制台或 `create-site-to-site-vpn-attachment` API 调用将其连接到 Cloud WAN 全球网络。
## 使用 API 创建 VPN 云广域网连接
您可以使用 EC2 API 为云广域网集成创建 VPN 连接。这包括调用 `CreateVpnConnection` API 来创建独立的 VPN 连接,然后该连接可以与您的 Cloud WAN 全球网络相关联。
API 请求在不指定目标网关的情况下创建 VPN 连接,使其处于独立状态,随时可以集成 Cloud WAN。连接使用 BGP 路由,这是云广域网 VPN 连接所必需的。
以下示例显示了创建云广域网 VPN 连接的 HTTP 请求:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=...
Action=CreateVpnConnection
&Type=ipsec.1
&CustomerGatewayId=cgw-0123456789abcdef0
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
API 返回包含 VPN 连接详细信息的成功响应。在配置 VPN 隧道时 AWS ,连接最初将处于`pending`状态,此时状态将更改为`available`。
```
12345678-1234-1234-1234-123456789012
vpn-0abcdef1234567890
pending
cgw-0123456789abcdef0
ipsec.1
VPN
false
```
**回复详情**
API 响应提供以下关键信息:
+ **vpnConnectionId**-您的 VPN 连接的唯一标识符(例如`vpn-0abcdef1234567890`),用于将其连接到 Cloud WAN
+ **状态**-AWS 预置 VPN 隧道时最初为 “待定”,然后在准备连接时转换为 “可用”
+ **类别**-显示 “VPN”,表示这是适用于云广域网集成的独立的 VPN 连接
+ **staticRoutesOnly**-设置为 “false” 以启用 BGP 路由,这是 Cloud WAN VPN 附件所必需的
VPN 连接达到 “可用” 状态后,您可以使用网络管理器 `CreateSiteToSiteVpnAttachment` API 或 AWS 控制台将其连接到您的 Cloud WAN 全球网络。
# 使用 CLI 或 API 创建 AWS Site-to-Site VPN 集中器连接
## 使用 CL Site-to-Site I 创建 VPN 集中器连接
创建 Site-to-Site VPN 集中器后,您需要建立从远程站点到 VPN 集中器的单个 Site-to-Site VPN 连接。每个远程站点都需要自己的引用 VPN 集中器 ID 的 Site-to-Site VPN 连接。这允许多个远程站点共享相同的 Site-to-Site VPN 集中器基础架构,同时为每个站点维护单独的安全隧道。
要使用 VPN 集中器建立 Site-to-Site VPN 连接,请在创建 Site-to-Site VPN 连接时指定 VPN 集中器而不是传输网关。以下示例使用 VPN 集中器创建 Site-to-Site VPN 连接:
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-123456789 \
--vpn-concentrator-id vcn-0123456789abcdef0
```
成功的响应将返回以下内容:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-123456789",
"Type": "ipsec.1",
"VpnConcentratorId": "vcn-0123456789abcdef0",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
## 使用 API 创建 Site-to-Site VPN 集中器连接
您可以使用 Amazon EC2 API 创建使用 Site-to-Site VPN 集中器的 VPN 连接。本节提供创建与 VPN 集中器的 VPN 连接的请求和响应消息示例。 Site-to-Site
在使用 API 与 VPN 集中器建 Site-to-Site立 VPN 连接之前,请确保您已具备以下条件:
+ Site-to-SiteVPN 集中器已创建并可用
+ 为您的远程站点配置的客户网关
+ 网络配置允许您的网站与 AWS 之间的 IPsec 流量
以下示例说明如何使用带有 `CreateVpnConnection` API 操作的 VP Site-to-Site N 集中器创建 VPN 连接:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&VpnConcentratorId=vcn-0123456789abcdef0
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
此示例在指定的 VPN 集中器和客户网关之间创建 Site-to-Site VPN 连接。 Site-to-SiteVPN 集中器充当 AWS 侧端点,允许多个远程站点通过集中式集线器进行连接。
成功的 API 响应会返回带有 VPN 集中器信息的 Site-to-Site VPN 连接详细信息:
```
8b73d60f-458f-5gc5-a442-7f9fEXAMPLE
vpn-9z8y7x6w5v4u32109
pending
cgw-12345678901234567
ipsec.1
vcn-0123456789abcdef0
VPN
false
```
响应包含 VPN 连接 ID,并引用 Site-to-Site VPN 集中器 ID 而不是传输网关 ID。此连接允许您的远程站点与连接到同一 Site-to-Site VPN 集中器的其他站点通信,从而实现 hub-and-spoke网络拓扑。
# 查看AWS Site-to-Site VPN连接
## 使用控制台查看 VPN 连接
您可以使用 AWS 管理控制台查看您的 VPN 连接及其详细信息。这提供了一个可视界面来监控连接状态、隧道运行状况和配置详细信息。
**使用控制台查看 VPN 连接**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Site-to-Site VPN Connections**。
1. 选择您的 VPN 连接以查看详细信息,包括:
+ 连接状态和状态
+ 隧道详情和健康状态
+ 路线信息
+ 配置参数
控制台显示实时状态信息,允许您监控隧道连接、查看路由表和访问配置详细信息以进行故障排除。
## 使用 CLI 查看 VPN 连接
使用 AWS CLI 以编程方式查询和检索有关您的 VPN 连接的详细信息。此方法支持自动化、编写脚本以及与监控工具的集成。
要查询您当前 AWS 账户和区域中的所有 VPN 连接,请执行不带参数的`describe-vpn-connections`命令。但是,如果您想查看有关特定 VPN 连接的详细信息,则需要知道 VPN 连接 ID。
要检索特定 VPN 连接的详细信息,请将连接 ID 指定为参数。以下示例显示了查看特定 VPN 连接详细信息的请求。
```
aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1234567890abcdef0
```
响应包括有关 VPN 连接的全面信息,包括隧道选项、路由详细信息和当前状态。
+ `State`-VPN 连接的当前状态
+ `TunnelOptions`-每个隧道的配置和状态
+ `OutsideIpAddress`-VPN 隧道的公有 IP 地址
+ `Routes`-连接的路由信息
显示关键连接详细信息的响应摘录示例:
```
{
"VpnConnections": [
{
"VpnConnectionId": "vpn-1234567890abcdef0",
"State": "available",
"CustomerGatewayId": "cgw-1234567890abcdef0",
"Type": "ipsec.1",
"Options": {
"StaticRoutesOnly": false,
"TunnelOptions": [
{
"OutsideIpAddress": "203.0.113.12",
"TunnelInsideCidr": "169.254.10.0/30",
"PreSharedKey": "example_key_1234567890abcdef0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
},
{
"OutsideIpAddress": "203.0.113.34",
"TunnelInsideCidr": "169.254.11.0/30",
"PreSharedKey": "example_key_0987654321fedcba0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
}
]
}
}
]
}
```
## 使用 API 查看 VPN 连接
直接调用 Amazon EC2 服务的 API 以检索 VPN 连接信息。这种方法为自定义应用程序和编程集成提供了最大的灵活性。
`DescribeVpnConnections`API 操作查询并返回有关一个或多个 VPN 连接的详细信息。您可以按连接 ID、状态或其他属性应用筛选器来缩小结果范围。
以下是提供单个 VPN 连接详细信息的请求示例。
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=AKIAIOSFODNN7EXAMPLE/20230101/us-east-1/ec2/aws4_request, SignedHeaders=host;x-amz-date, Signature=example_signature
Action=DescribeVpnConnections
&VpnConnectionId.1=vpn-1234567890abcdef0
&Version=2016-11-15
```
响应返回有关该 VPN 连接的详细信息。
```
12345678-1234-1234-1234-123456789012
-
vpn-1234567890abcdef0
available
cgw-1234567890abcdef0
ipsec.1
false
-
203.0.113.12
169.254.10.0/30
example_key_1234567890abcdef0
-
203.0.113.34
169.254.11.0/30
example_key_0987654321fedcba0
```
# 测试 AWS Site-to-Site VPN 连接
创建 AWS Site-to-Site VPN 连接并配置客户网关后,您可以启动一个实例并通过 ping 通实例来测试连接。
在您开始之前,确保完成以下操作:
+ 使用可以响应 Ping 请求的 AMI。我们建议您使用 Amazon Linux AMI 之一。
+ 在您的 VPC 中配置过滤实例流量的任意安全组或网络 ACL,以允许入站和出站 ICMP 流量。这使实例能够接收 `ping` 请求。
+ 如果您使用运行 Windows Server 的实例,请连接到实例并在 Windows 防火墙中启用入站 ICMPv4 以 ping 实例。
+ (静态路由)确保客户网关设备具有指向 VPC 的静态路由,并且您的 VPN 连接具有静态路由,这样流量可以返回到您的客户网关设备。
+ (动态路由)确保在客户网关设备上建立了 BGP 状态。建立 BGP 对等会话大约需要 30 秒时间。确保路由通过 BGP 正确通告并显示在子网路由表中,以便流量能够返回到您的客户网关。请确保两个隧道都配置了 BGP 路由。
+ 确保您已在子网路由表中为 VPN 连接配置了路由。
**测试连接**
1. 通过以下网址打开 Amazon EC2 控制台:[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。
1. 在控制面板上,选择**启动实例**。
1. (可选)对于**名称**,为您的实例输入一个描述性名称。
1. 对于**应用程序和操作系统映像(Amazon 机器映像)**,选择**快速启动**,然后为您的实例选择操作系统。
1. 对于**密钥对名称**,选择现有密钥对或新建一个密钥对。
1. 对于**网络设置**,选择**选择现有安全组**,然后选择您配置的安全组。
1. 在 **Summary**(摘要)面板中,选择 **Launch instance**(启动实例)。
1. 当实例开始运行后,获取其私有 IP 地址 (例如 10.0.0.4)。Amazon EC2 控制台显示的地址是实例详细信息的一部分。
1. 对于在您的网络中、位于客户网关设备背后的计算机,您可以使用 **ping** 命令侦测实例的私有 IP 地址。
```
ping 10.0.0.4
```
成功的响应与以下内容类似。
```
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
```
为测试隧道失效转移,您可临时禁用客户网关设备上的隧道之一,然后重复此步骤。您无法禁用 VPN 连接的 AWS 端的隧道。
1. 要测试从 AWS 到本地网络的连接,您可以使用 SSH 或 RDP 从您的网络连接到实例。然后,您可以使用网络中另一台计算机的私有 IP 地址运行 `ping` 命令,以验证连接的两端是否可以启动和接收请求。
有关如何连接到 Linux 实例的更多信息,请参阅《Amazon EC2 用户指南》**中的[连接到 Linux 实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-linux-instance.html)。有关如何连接到 Windows 实例的更多信息,请参阅《Amazon EC2 用户指南》**中的[连接到 Windows 实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connecting_to_windows_instance.html)。
# 删除 AWS Site-to-Site VPN 连接和网关
如果您不再需要某一 AWS Site-to-Site VPN 连接,则可将其删除。当您删除 Site-to-Site VPN 连接时,我们不会删除与该 Site-to-Site VPN 连接关联的客户网关或虚拟私有网关。如果您不再需要相关的客户网关和虚拟私有网关,可以将其删除。
**警告**
如果您删除 Site-to-Site VPN 连接,然后创建一个新的 Site-to-Site VPN 连接,则必须下载新配置文件并重新配置客户网关设备。
**Topics**
+ [删除 VPN 连接](delete-vpn-connection.md)
+ [删除客户网关](delete-cgw.md)
+ [分离和删除虚拟私有网关](delete-vgw.md)
# 删除 AWS Site-to-Site VPN 连接
删除 Site-to-Site VPN 连接后,该连接将在短时间内以 `deleted` 状态保持可见,之后系统会自动删除该条目。
**使用控制台删除 VPN 连接**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Site-to-Site VPN 连接**。
1. 选择 VPN 连接,然后依次选择**操作**和**删除 VPN 连接**。
1. 提示进行确认时,输入 **delete**,然后选择 **Delete**(删除)。
**使用命令行或 API 删除 VPN 连接**
+ [DeleteVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnConnection.html)(Amazon EC2 查询 API)
+ [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html) (AWS CLI)
+ [Remove-EC2VpnConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnConnection.html) (AWS Tools for Windows PowerShell)
# 删除 AWS Site-to-Site VPN 客户网关
如果您不再需要某一客户网关,可以将其删除。您无法删除正在 Site-to-Site VPN 连接中使用的客户网关。
**使用控制台删除客户网关**
1. 在导航窗格中,选择**客户网关**。
1. 选择客户网关,然后依次选择**操作**和**删除客户网关**。
1. 提示进行确认时,输入 **delete**,然后选择 **Delete**(删除)。
**使用命令行或 API 删除客户网关**
+ [DeleteCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteCustomerGateway.html)(Amazon EC2 查询 API)
+ [delete-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-customer-gateway.html) (AWS CLI)
+ [Remove-EC2CustomerGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2CustomerGateway.html) (AWS Tools for Windows PowerShell)
# 在 AWS Site-to-Site VPN 中分离和删除虚拟私有网关
如果您不再需要 VPC 的某一虚拟私有网关,可以将其与 VPC 断开。
**使用控制台断开虚拟私有网关**
1. 在导航窗格中,选择**虚拟私有网关**。
1. 选择相应的虚拟私有网关,然后选择 **Actions**、**Detach from VPC**。
1. 选择**分离虚拟私有网关**。
如果不再需要某一断开的虚拟私有网关,可将其删除。您无法删除仍与 VPC 关联的虚拟私有网关。虚拟私有网关删除之后,它会在短时间内保持可见,状态为 `deleted`,然后该条目将被自动删除。
**使用控制台删除虚拟私有网关**
1. 在导航窗格中,选择**虚拟私有网关**。
1. 选择虚拟私有网关,然后依次选择**操作**和**删除虚拟私有网关**。
1. 提示进行确认时,输入 **delete**,然后选择 **Delete**(删除)。
**使用命令行或 API 断开虚拟私有网关**
+ [DetachVpnGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DetachVpnGateway.html)(Amazon EC2 查询 API)
+ [detach-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/detach-vpn-gateway.html) (AWS CLI)
+ [Dismount-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Dismount-EC2VpnGateway.html) (AWS Tools for Windows PowerShell)
**使用命令行或 API 删除虚拟私有网关**
+ [DeleteVpnGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnGateway.html)(Amazon EC2 查询 API)
+ [delete-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-gateway.html) (AWS CLI)
+ [Remove-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnGateway.html) (AWS Tools for Windows PowerShell)
# 修改 AWS Site-to-Site VPN 连接的目标网关
您可以修改 AWS Site-to-Site VPN 连接的目标网关。以下迁移选项可用:
+ 现有虚拟私有网关到中转网关
+ 到另一个虚拟专用网关的现有虚拟专用网关
+ 现有中转网关到另一个中转网关
+ 现有中转网关到虚拟私有网关
修改目标网关后,在我们配置新的终端节点期间,您的 Site-to-Site VPN 连接将在短时间内暂时不可用。
以下任务可帮助您完成迁移到新网关的过程。
**Topics**
+ [步骤 1:创建新的目标网关](#step-create-gateway)
+ [步骤 2:删除您的静态路由(有条件)](#step-update-staic-route)
+ [步骤 3:迁移到新网关](#step-migrate-gateway)
+ [步骤 4:更新 VPC 路由表](#step-update-routing)
+ [步骤 5:更新目标网关路由(有条件)](#step-update-transit-gateway-routing)
+ [步骤 6:更新客户网关 ASN(有条件)](#step-update-customer-gateway-asn)
## 步骤 1:创建新的目标网关
在执行向新目标网关的迁移之前,您必须先配置新的网关。有关添加虚拟专用网关的信息,请参阅[创建虚拟专用网关](SetUpVPNConnections.md#vpn-create-vpg)。有关添加中转网关的更多信息,请参阅 *Amazon VPC 中转网关* 中的[创建中转网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#create-tgw)。
如果新的目标网关是传输网关,请将 VPCs 连接到传输网关。有关 VPC 挂载的信息,请参阅 *Amazon VPC 中转网关* 中的 [VPC 的中转网关挂载](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html)。
在将目标从虚拟私有网关修改为中转网关时,您可以选择将中转网关 ASN 设置为与虚拟私有网关 ASN 相同的值。如果您选择使用其他 ASN,则必须将客户网关设备上的 ASN 设置为中转网关 ASN。有关更多信息,请参阅 [步骤 6:更新客户网关 ASN(有条件)](#step-update-customer-gateway-asn)。
## 步骤 2:删除您的静态路由(有条件)
当您从具有静态路由的虚拟私有网关迁移到中转网关时,此步骤是必需的。
您必须先删除静态路由,然后再迁移到新的网关。
**提示**
保留一份静态路由,然后将其删除。在 VPN 连接迁移完成后,您需要将这些路由重新添加到中转网关。
**从路由表中删除路由**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Route tables**(路由表),然后选择路由表。
1. 在**路由**选项卡上,选择**编辑路由**。
1. 对于到虚拟私有网关的静态路由,选择**删除**。
1. 选择**保存更改**。
## 步骤 3:迁移到新网关
**更改目标网关**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Site-to-Site VPN 连接**。
1. 选择 VPN 连接,然后依次选择**操作**和**修改 VPN 连接**。
1. 对于**目标类型**,选择网关类型。
1. 如果新目标网关为虚拟私有网关,则选择 **VPN 网关**。
1. 如果新目标网关为中转网关,则选择**中转网关**。
1. 选择**保存更改**。
**使用命令行或 API 修改 Site-to-Site VPN 连接**
+ [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html)(亚马逊 EC2 查询 API)
+ [modify-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection.html) (AWS CLI)
## 步骤 4:更新 VPC 路由表
迁移到新的网关后,您可能需要修改您的 VPC 路由表。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)。
下表说明了有关修改 VPN 网关目标后要进行的 VPC 路由表更新。
| 现有网关 | 新网关 | VPC 路由表更改 |
| --- | --- | --- |
| 使用传播路由的虚拟专用网关 | Transit Gateway | 添加包含中转网关 ID 的路由。 |
| 使用传播路由的虚拟专用网关 | 使用传播路由的虚拟专用网关 | 无需操作。 |
| 使用传播路由的虚拟专用网关 | 使用静态路由的虚拟专用网关 | 添加一个路由,其中包含新的虚拟私有网关的 ID。 |
| 使用静态路由的虚拟专用网关 | Transit Gateway | 将包含虚拟私有网关 ID 的路由更新为包含中转网关的 ID。 |
| 使用静态路由的虚拟专用网关 | 使用静态路由的虚拟专用网关 | 将包含虚拟私有网关 ID 的路由更新为包含新的虚拟私有网关的 ID。 |
| 使用静态路由的虚拟专用网关 | 使用传播路由的虚拟专用网关 | 删除包含虚拟私有网关 ID 的路由。 |
| Transit Gateway | 使用静态路由的虚拟专用网关 | 将包含中转网关 ID 的路由更新为包含虚拟私有网关的 ID。 |
| Transit Gateway | 使用传播路由的虚拟专用网关 | 删除包含中转网关 ID 的路由。 |
| Transit Gateway | Transit Gateway | 将包含中转网关 ID 的路由更新为包含新的中转网关的 ID。 |
## 步骤 5:更新目标网关路由(有条件)
当新网关是传输网关时,修改传输网关路由表以允许 VPC 和 VP Site-to-Site N 之间的流量。有关更多信息,请参阅 *Amazon VPC Transit Gateway*中的[中转网关路由表](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html)。
如果您删除了 VPN 静态路由,则必须将这些静态路由添加到中转网关路由表中。
与虚拟私有网关不同,中转网关将为一个 VPN 挂载上的所有隧道设置相同的多出口标识(MED)值。如果要从虚拟私有网关迁移到中转网关,并依据 MED 值进行隧道选择,我们建议您更改路由以避免连接问题。例如,您可以在中转网关上公布更具体的路由。有关更多信息,请参阅 [路由表和 AWS Site-to-Site VPN 路由优先级](vpn-route-priority.md)。
## 步骤 6:更新客户网关 ASN(有条件)
当新网关具有与旧网关不同的 ASN 时,您必须更新客户网关设备上的 ASN 以指向新 ASN。参阅 [用于 AWS Site-to-Site VPN 连接的客户网关选项](cgw-options.md) 了解更多信息。
# 修改 AWS Site-to-Site VPN 连接选项
您可以修改 Site-to-Site VPN 连接的连接选项。您可以修改以下选项:
+ 在 VPN 连接的本地(客户网关)端和远程(AWS)端上可通过 VPN 隧道进行通信的 IPv4 CIDR 范围。对于这两个范围,默认值为 `0.0.0.0/0`。
+ 在 VPN 连接的本地(客户网关)端和远程(AWS)端上可通过 VPN 隧道进行通信的 IPv6 CIDR 范围。对于这两个范围,默认值为 `::/0`。
修改 VPN 连接选项时,AWS 端的 VPN 端点 IP 地址不会更改,隧道选项也不会更改。在 VPN 连接更新过程中,您的 VPN 连接将在短时间内暂时不可用。
**使用控制台修改 VPN 连接选项**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Site-to-Site VPN 连接**。
1. 选择您的 VPN 连接,然后依次选择**操作**和**修改 VPN 连接选项**。
1. 根据需要输入新的 CIDR 范围。
1. 选择**保存更改**。
**使用命令行或 API 修改 VPN 连接选项**
+ [modify-vpn-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection-options.html) (AWS CLI)
+ [ModifyVpnConnectionOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnectionOptions.html)(Amazon EC2 查询 API)
# 修改 AWS Site-to-Site VPN 隧道选项
您可以修改 Site-to-Site VPN 连接中 VPN 隧道的隧道选项。可以一次修改一个 VPN 隧道。
**重要**
在修改 VPN 隧道时,该隧道上的连接会被中断长达几分钟。确保您为预期的停机时间做了计划。
**使用控制台修改 VPN 隧道选项**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Site-to-Site VPN 连接**。
1. 选择 Site-to-Site VPN 连接,然后依次选择**操作**和**修改 VPN 隧道选项**。
1. 对于 **VPN 隧道外部 IP 地址**,选择 VPN 隧道的隧道端点 IP。
1. 根据需要为隧道选项选择或输入新值。有关隧道选项的更多信息,请参阅 [VPN 隧道选项](VPNTunnels.md)。
**注意**
某些隧道选项有多个默认值。单击可删除任何默认值。然后,系统将从隧道选项中删除该默认值。
1. 选择**保存更改**。
**使用命令行或 API 修改 VPN 隧道选项**
+ (AWS CLI)使用 [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html) 可查看当前的隧道选项,使用 [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) 可修改隧道选项。
+ (Amazon EC2 查询 API)使用 [DescribeVpnConnections](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnConnections.html) 可查看当前的隧道选项,使用 [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) 可修改隧道选项。
# 编辑 AWS Site-to-Site VPN 连接的静态路由
对于配置为静态路由的虚拟私有网关上的 Site-to-Site VPN 连接,您可以从 VPN 配置中添加或删除静态路由。
**使用控制台添加或删除静态路由**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Site-to-Site VPN 连接**。
1. 选择 VPN 连接。
1. 选择**编辑静态路由**。
1. 根据需要添加或删除路由。
1. 选择**保存更改**。
1. 如果您尚未为路由表启用路由传播,则必须手动更新您的路由表中的路由以在 VPN 连接中反映更新的静态 IP 前缀。有关更多信息,请参阅 [(虚拟私有网关)在路由表中启用路由传播](SetUpVPNConnections.md#vpn-configure-routing)。
1. 对于中转网关上的 VPN 连接,您可以在中转网关路由表中添加、修改或删除静态路由。有关更多信息,请参阅 *Amazon VPC Transit Gateway*中的[中转网关路由表](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html)。
**使用命令行或 API 添加静态路由**
+ [CreateVpnConnectionRoute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnectionRoute.html)(Amazon EC2 查询 API)
+ [create-vpn-connection-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection-route.html) (AWS CLI)
+ [New-EC2VpnConnectionRoute](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpnConnectionRoute.html) (AWS Tools for Windows PowerShell)
**使用命令行或 API 删除静态路由**
+ [DeleteVpnConnectionRoute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnConnectionRoute.html)(Amazon EC2 查询 API)
+ [delete-vpn-connection-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection-route.html) (AWS CLI)
+ [Remove-EC2VpnConnectionRoute](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnConnectionRoute.html) (AWS Tools for Windows PowerShell)
# 更改 AWS Site-to-Site VPN 连接的客户网关
您可以使用 Amazon VPC 控制台或命令行工具更改 Site-to-Site VPN 连接的客户网关。
更改客户网关后,在我们预调配新端点时,您的 VPN 连接将在短时间内暂时不可用。
**使用控制台更改客户网关**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Site-to-Site VPN 连接**。
1. 选择 VPN 连接。
1. 依次选择**操作**和**修改 VPN 连接**。
1. 对于**目标类型**,选择**客户网关**。
1. 对于**目标客户网关**,选择新的客户网关。
1. 选择**保存更改**。
**使用命令行或 API 更高客户网关**
+ [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html)(Amazon EC2 查询 API)
+ [modify-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection.html)(AWS CLI)
# 替换 AWS Site-to-Site VPN 连接的受损凭证
如果您认为 Site-to-Site VPN 连接的隧道凭证已经受损,可以更改 IKE 预共享密钥或 ACM 凭证。您使用的方法取决于您用于 VPN 隧道的身份验证选项。有关更多信息,请参阅 [AWS Site-to-Site VPN 隧道身份验证选项](vpn-tunnel-authentication-options.md)。
**更改 IKE 预共享密钥**
您可以修改 VPN 连接的隧道选项,并为每个隧道指定新的 IKE 预共享密钥。有关更多信息,请参阅 [修改 AWS Site-to-Site VPN 隧道选项](modify-vpn-tunnel-options.md)。
或者,您可以删除 VPN 连接。有关更多信息,请参阅 [删除 VPN 连接和网关](delete-vpn.md)。您不需要删除 VPC 或虚拟专用网关。然后,使用相同的虚拟私有网关创建一个新的 VPN 连接,并在您的客户网关设备中配置新的密钥。您可以为隧道指定您自己的预共享密钥,或者让 AWS 为您生成新的预共享密钥。有关更多信息,请参阅[创建 VPN 连接](SetUpVPNConnections.md#vpn-create-vpn-connection)。重新创建 VPN 连接时,隧道的内部和外部地址可能会发生变化。
**更改隧道端点的 AWS 端的证书**
轮换证书。有关更多信息,请参阅 [轮换 VPN 隧道端点证书](rotate-vpn-certificate.md)。
**更改客户网关设备上的证书**
1. 创建新证书。有关信息,请参阅《AWS Certificate Manager 用户指南》**中的[发布和管理证书](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)。
1. 将证书添加到客户网关设备。
# 轮换 AWS Site-to-Site VPN 隧道端点证书
您可以使用 Amazon VPC 控制台轮换 AWS 端的隧道端点上的证书。当隧道端点的证书即将过期时,AWS 会自动使用服务相关角色轮换该证书。有关更多信息,请参阅 [VPN 的 Site-to-Site服务相关角色](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked)。
**使用控制台轮换 Site-to-Site VPN 隧道端点证书**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Site-to-Site VPN 连接**。
1. 选择 Site-to-Site VPN 连接,然后依次选择**操作**和**修改 VPN 隧道证书**。
1. 选择隧道端点。
1. 选择**保存**。
**使用 AWS CLI 轮换 Site-to-Site VPN 隧道端点证书**
使用 [modify-vpn-tunnel-certificate](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-certificate.html) 命令。
# 私有 IP AWS Site-to-Site VPN与Direct Connect
借助私有 IP VPN,您可以通过部署 IPsec VPN Direct Connect,加密本地网络和本地网络之间的流量AWS,而无需使用公有 IP 地址或其他第三方 VPN 设备。
私有 IP VPN 的主要用例之一Direct Connect是帮助金融、医疗保健和联邦行业的客户实现监管和合规目标。Private IP VPN Direct Connect可确保AWS与本地网络之间的流量既安全又私密,从而使客户能够遵守其监管和安全规定。
## 私有 IP VPN 的好处
+ **简化的网络管理和操作:**如果没有私有 IP VPN,客户必须部署第三方 VPN 和路由器来实现Direct Connect网络私 VPNs 有化。利用私有 IP VPN 功能,客户无需部署和管理自己的 VPN 基础结构。这可以简化网络运营并降低成本。
+ **改善安全状况:**以前,客户必须使用公共Direct Connect虚拟接口 (VIF) 来加密流量Direct Connect,这需要为 VPN 端点提供公有 IP 地址。公开使用 IPs 会增加外部 (DOS) 攻击的可能性,这反过来又迫使客户部署额外的安全设备来保护网络。此外,公共 VIF 开放了所有AWS公共服务和客户本地网络之间的访问权限,从而增加了风险的严重性。私有 IP VPN 功能允许通过Direct Connect传输进行加密 VIFs (而不是公共 VIFs),并能够配置私有 IPs。除了加密之外,这还提供 end-to-end私有连接,从而改善了整体安全状况。
+ **更高的路由规模:**私有 IP VPN 连接提供更高的路由限制(5000 条出站路由和 1000 条入站路由),而Direct Connect单独连接目前限制为 200 条出站路由和 100 条入站路由。
## 私有 IP VPN 的工作原理
私有 IP Site-to-Site VPN 通过Direct Connect传输虚拟接口 (VIF) 运行。它使用Direct Connect网关和传输网关将您的本地网络与AWS VPCs之互连。私有 IP VPN 连接在AWS侧面的传输网关和本地端的客户网关设备上都有终止点。您必须为 IPsec 隧道的传输网关和客户网关设备端分配私有 IP 地址。您可以使用任一地址范围内的私有 IP 地址, RFC1918 也可以使用 RFC6598 私有 IPv4 地址范围。
您将私有 IP VPN 连接附加到中转网关。然后,您可以在 VPN 连接和也连接到传输网关的任何 VPCs (或其他网络)之间路由流量。您可以通过将路由表与 VPN 连接关联来实现此目标。相反,您可以使用与关联的路由表,将流量从您的路由 VPCs 到私有 IP VPN 附件 VPCs。
与 VPN 连接关联的路由表可以与底层Direct Connect连接关联的路由表相同或不同。这使您能够在本地网络和本地网络之间同时路由加密 VPCs和未加密的流量。
有关离开 VPN 的流量路径的更多详细信息,请参阅《Direct Connect用户指南》**中的[私有虚拟接口和中转虚拟接口路由策略](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#private-routing-policies)。
## 先决条件
下表描述了通过 Direct Connect 创建私有 IP VPN 之前需要满足的先决条件。
| Item | Steps | 信息 |
| --- | --- | --- |
| 为 Site-to-Site VPN 准备传输网关。 | 使用Amazon Virtual Private Cloud(VPC) 控制台或使用命令行或 API 创建传输网关。 请参阅《Amazon VPC 中转网关指南》**中的[中转网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。 | 传输网关是一个网络中转枢纽,可用于将您的网络 VPCs 和本地网络互连。您可以创建新的中转网关,也可以使用现有中转网关来建立私有 IP VPN 连接。在创建中转网关或修改现有中转网关时,可以为连接指定私有 IP CIDR 块。 在指定要与私有 IP VPN 关联的中转网关 CIDR 块时,请确保 CIDR 块不会与中转网关上的任何其他网络连接的任何 IP 地址重叠。如果任何 IP CIDR 块发生了重叠,可能会导致客户网关设备出现配置问题。 |
| 为 Site-to-Site VPN 创建Direct Connect网关。 | 使用 Direct Connect 控制台、命令行或 API 创建 Direct Connect 网关。 请参阅*Direct Connect用户指南*中的[创建AWS Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html)。 | Direct Connect 网关允许您跨多个AWS区域连接虚拟接口 (VIFs)。此网关用于连接到您的 VIF。 |
| 为 Site-to-Site VPN 创建传输网关关联。 | 使用 Direct Connect 控制台、命令行或 API 创建 Direct Connect 网关和中转网关之间的关联。 请参阅《*Direct Connect用户指南》*中的[关联或取消Direct Connect与公交网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html)的关联。 | 创建Direct Connect网关后,为网关创建中转Direct Connect网关联。为之前在允许的前缀列表中确定的中转网关指定私有 IP CIDR。 |
**Topics**
+ [私有 IP VPN 的好处](#private-ip-dx-features)
+ [私有 IP VPN 的工作原理](#private-ip-dx-how)
+ [先决条件](#private-ip-dx-prereqs)
+ [通过 Direct Connect 创建私有 IP VPN](private-ip-dx-steps.md)
# 通过创建私有 AWS Site-to-Site VPN IP Direct Connect
要使用创建私有 IP VPN, Direct Connect 请按照以下步骤操作。在通过 Direct Connect 创建私有 IP VPN 之前,您需要确保首先创建中转网关和 Direct Connect 网关。在创建这两个网关后,需要在两个网关之间创建关联。下表描述了这些先决条件。在创建并关联这两个网关后,应使用该关联创建 VPN 客户网关和连接。
## 先决条件
下表描述了通过 Direct Connect 创建私有 IP VPN 之前需要满足的先决条件。
| Item | Steps | 信息 |
| --- | --- | --- |
| 为 Site-to-Site VPN 准备传输网关。 | 使用 Amazon Virtual Private Cloud (VPC) 控制台或使用命令行或 API 创建传输网关。 请参阅《Amazon VPC 中转网关指南》**中的[中转网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。 | 传输网关是一个网络中转枢纽,可用于将您的网络 VPCs 和本地网络互连。您可以创建新的中转网关,也可以使用现有中转网关来建立私有 IP VPN 连接。在创建中转网关或修改现有中转网关时,可以为连接指定私有 IP CIDR 块。 在指定要与私有 IP VPN 关联的中转网关 CIDR 块时,请确保 CIDR 块不会与中转网关上的任何其他网络连接的任何 IP 地址重叠。如果任何 IP CIDR 块发生了重叠,可能会导致客户网关设备出现配置问题。 |
| 为 Site-to-Site VPN 创建 Direct Connect 网关。 | 使用 Direct Connect 控制台、命令行或 API 创建 Direct Connect 网关。 请参阅*Direct Connect 用户指南*中的[创建 AWS Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html)。 | Direct Connect 网关允许您跨多个 AWS 区域连接虚拟接口 (VIFs)。此网关用于连接到您的 VIF。 |
| 为 Site-to-Site VPN 创建传输网关关联。 | 使用 Direct Connect 控制台、命令行或 API 创建 Direct Connect 网关和中转网关之间的关联。 请参阅*Direct Connect 用户指南*中的[关联或取消 Direct Connect 与公交网关的关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html)联。 | 创建 Direct Connect 网关后,为网关创建中转 Direct Connect 网关联。为之前在允许的前缀列表中确定的中转网关指定私有 IP CIDR。 |
## 为 Site-to-Site VPN 创建客户网关和连接
客户网关是您在中创建的资源 AWS。它表示本地网络中的客户网关设备。创建客户网关时,您需要向提供有关您的设备的信息 AWS。有关更多详细信息,请参阅[客户网关](how_it_works.md#CustomerGateway)。
**使用控制台创建客户网关**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**客户网关**。
1. 选择**创建客户网关**。
1. (可选)对于 **Name tag**(名称标签),为您的客户网关输入名称。这样做可创建具有 `Name` 键以及您指定的值的标签。
1. 对于 **BGP ASN**,输入您的客户网关的边界网关协议(BGP)自治系统编号(ASN)。
1. 对于 **IP address**(IP 地址),输入您的客户网关设备的私有 IP 地址。
**重要**
配置 AWS 私有 IP 时 AWS Site-to-Site VPN,必须使用 RFC 1918 地址指定自己的隧道端点 IP 地址。请勿使用 point-to-point IP 地址在您的客户网关路由器和终端节点之间进行 eBGP 对等。 Direct Connect AWS 建议使用客户网关路由器上的环回或 LAN 接口作为源地址或目标地址,而不是 point-to-point连接。
有关 RFC 1918 的更多信息,请参阅[私有互联网的地址分配](https://datatracker.ietf.org/doc/html/rfc1918)。
1. (可选)对于 **Device**(设备),输入托管此客户网关的设备的名称。
1. 选择**创建客户网关**。
1. 在导航窗格中,选择 **Site-to-Site VPN 连接**。
1. 选择**创建 VPN 连接**。
1. (可选)在**名称标签**中,输入您的 Site-to-Site VPN 连接的名称。这样做可创建具有 `Name` 键以及您指定的值的标签。
1. 对于 **Target gateway type**(目标网关类型),选择 **Transit gateway**(中转网关)。然后,选择您之前确定的中转网关。
1. 对于 **Customer gateway**(客户网关),选择 **Existing**(现有)。然后,选择您之前创建的客户网关。
1. 根据您的客户网关设备是否支持边界网关协议(BGP),选择一个路由选项:
+ 如果您的客户网关设备支持 BGP,请选择**动态(需要 BPG)**。
+ 如果您的客户网关设备不支持 BGP,请选择**静态**。
1. 对于 **IP 版本内的隧道**,指定 VPN 隧道是否支持 IPv4 或 IPv6 流量。
1. (可选)如果您在 **IP 版本内指定了隧道**,则可以选择为客户网关和允许通过 VPN 隧道进行通信的 AWS 端指定 IPv4 CIDR 范围。**IPv4**默认值为 `0.0.0.0/0`。
如果您在 **IP 版本内指定**IPv6**隧道**,则可以选择为客户网关和允许通过 VPN 隧道进行通信的 AWS 端指定 IPv6 CIDR 范围。这两个范围的默认值均为 `::/0`。
1. 对于**外部 IP 地址类型**,请选择 **PrivateIpv4**。
1. 对于**传输附件 ID**,请为相应网关选择传输 Direct Connect 网关附件。
1. 选择**创建 VPN 连接**。
**注意**
**Enable acceleration**(启用加速)选项不适用于 Direct Connect上的 VPN 连接。
**使用命令行或 API 创建客户网关**
+ [CreateCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateCustomerGateway.html)(亚马逊 EC2 查询 API)
+ [create-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-customer-gateway.html) (AWS CLI)