选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

AWS Site-to-Site VPN 客户网关设备的要求

PDF
RSS
聚焦模式
AWS Site-to-Site VPN 客户网关设备的要求 - AWS Site-to-Site VPN

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

如果您的设备不在上述示例列表中,则本节介绍该设备必须满足的要求才能使用它建立 Site-to-Site VPN 连接。

客户网关设备的配置有四个主要部分。以下符号表示配置的各个部分。

Internet 密钥交换符号

Internet 密钥交换 (IKE) 安全关联。这是交换用于建立 IPsec 安全关联的密钥所必需的。
Internet 协议安全性

IPsec 安全关联。此项用于处理隧道的加密、身份验证等。
隧道接口符号

隧道接口。此项用于接收来往隧道的流量。
边界网关协议

(可选)建立边界网关协议 (BGP) 对等体。对于使用 BGP 的设备,这会在客户网关设备和虚拟私有网关之间交换路由。

下表列出了对客户网关设备的要求、相关的 RFC(用于参考)和有关该要求的备注。

每个 VPN 连接由两条单独的隧道构成。每个隧道都包含一个 IKE 安全关联、一个 IPsec 安全关联和 BGP 对等连接。每条隧道只能有一个唯一的安全关联 (SA) 对(一个入站和一个出站),因此两条隧道(四个)总共只能有两个唯一的安全关联 (SA SAs) 对。有些设备使用基于策略的 VPN 并创建任意多 SAs 个 ACL 条目。因此,可能需要合并您的规则,然后再进行筛选,以使您不允许多余的流量通过。

默认情况下,当生成流量并且从 VPN 连接的一端启动 IKE 协商时,VPN 隧道将启动。您可以将 VPN 连接配置为改为从连接 AWS 端启动 IKE 协商。有关更多信息,请参阅 AWS Site-to-Site VPN 隧道启动选项

VPN 端点支持重新加密,如果客户网关设备没有发送任何重新商通信,则当阶段 1 即将到期时,可以启动谈判。

要求 RFC 评论

建立 IKE 安全关联

IKE

RFC 2409

RFC 7296

首先使用预共享密钥或 AWS Private Certificate Authority 用作身份验证器的私有证书在虚拟专用网关和客户网关设备之间建立 IKE 安全关联。建立后,IKE 即协商临时密钥,以便对将来的 IKE 消息进行保密。参数之间必须完全一致,包括加密和身份验证参数。

在中创建 VPN 连接时 AWS,您可以为每个隧道指定自己的预共享密钥,也可以让它为您 AWS 生成一个预共享密钥。或者,您可以使用指定用于客户网关设备的私有证书。 AWS Private Certificate Authority 有关配置 VPN 隧道的更多信息,请参阅 AWS Site-to-Site VPN 连接的隧道选项

支持以下版本: IKEv1 和 IKEv2。

我们仅支持主模式 IKEv1。

Site-to-SiteVPN 服务是一种基于路由的解决方案。如果您使用的是基于策略的配置,则必须将配置限制为单个安全关联 (SA)。

在隧道模式下建立 IPsec 安全关联

IPsec

RFC 4301

使用 IKE 临时密钥,在虚拟专用网关和客户网关设备之间建立密钥以形成 IPsec 安全关联 (SA)。网关间的流量使用该 SA 进行加密和解密。IKE 会定期自动轮换用于加密 IPsec SA 内部流量的临时密钥,以确保通信的机密性。

使用 AES 128 位加密或 AES 256 位加密功能

RFC 3602

加密功能用于确保 IKE 和 IPsec 安全关联的隐私。

使用 SHA-1 或 SHA-2 (256) 哈希函数

RFC 2404

此哈希函数用于对 IKE 和 IPsec安全关联进行身份验证。

使用 Diffie-Hellman Perfect Forward Secrecy。

RFC 2409

IKE 使用 Diffie-Hellman 建立临时密钥,确保客户网关设备和虚拟私有网关之间的所有通讯安全可靠。

支持以下组:

  • 第 1 阶段组:2、14-24

  • 第 2 阶段组:2、5、14-24

(动态路由 VPN 连接)使用失效对等体检测 IPsec

RFC 3706

失效对端检测的运用让 VPN 设备能够快速识别网络条件阻止数据包经由 Internet 传送的情况。发生此情况时,网关将删除该安全关联并尝试建立新关联。在此过程中,如果可能,将使用备用 IPsec 隧道。

(动态路由 VPN 连接)将隧道绑定到逻辑接口(基于路由的 VPN)

Tunnel

您的设备必须能够将 IPsec 隧道绑定到逻辑接口。该逻辑接口包含用来向虚拟私有网关建立 BGP 对等体的 IP 地址。该逻辑接口不应执行额外的封装(例如:GRE 或 IP 中的 IP)。应将接口最大传输单位 (MTU) 设置为 1399 字节。

(动态路由 VPN 连接)建立 BGP 对等体

BGP

RFC 4271

对于使用 BGP 的设备,BGP 用于在客户网关设备和虚拟私有网关间交换路由。所有 BGP 流量都经过加密并通过 IPsec 安全协会传输。两个网关都需要 BGP 才能交换可通过 SA 访问的 IP 前缀。 IPsec

AWS VPN 连接不支持 Path MTU 发现 (RFC 1 191)。

如果您的客户网关设备和 Internet 之间有防火墙,请参阅AWS Site-to-Site VPN 客户网关设备的防火墙规则

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。