本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
您必须有一个静态 IP 地址才能用作将您的客户网关设备连接到端点的IPsec隧道的 AWS Site-to-Site VPN 终端节点。如果在您的客户网关设备 AWS 之间设置了防火墙,则必须遵守下表中的规则才能建立IPsec隧道。 AWS-side 的 IP 地址将在配置文件中。
输入规则 I1 |
|
---|---|
源 IP |
Tunnel1 外部 IP |
目的 IP |
客户网关 |
协议 |
UDP |
源端口 |
500 |
目的地 |
500 |
输入规则 I2 |
|
源 IP |
Tunnel2 外部 IP |
目的 IP |
客户网关 |
协议 |
UDP |
源端口 |
500 |
目的地端口 |
500 |
输入规则 I3 |
|
源 IP |
Tunnel1 外部 IP |
目的 IP |
客户网关 |
协议 |
IP 50 (ESP) |
输入规则 I4 |
|
源 IP |
Tunnel2 外部 IP |
目的 IP |
客户网关 |
协议 |
IP 50 (ESP) |
输出规则 O1 |
|
---|---|
源 IP |
客户网关 |
目的 IP |
Tunnel1 外部 IP |
协议 |
UDP |
源端口 |
500 |
目的地端口 |
500 |
输出规则 O2 |
|
源 IP |
客户网关 |
目的 IP |
Tunnel2 外部 IP |
协议 |
UDP |
源端口 |
500 |
目的地端口 |
500 |
输出规则 O3 |
|
源 IP |
客户网关 |
目的 IP |
Tunnel1 外部 IP |
协议 |
IP 50 (ESP) |
输出规则 O4 |
|
源 IP |
客户网关 |
目的 IP |
Tunnel2 外部 IP |
协议 |
IP 50 (ESP) |
规则 I1、I2、O1 和 O2 允许数据包的传输。IKE规则 I3、I4、O3 和 O4 允许传输包含加密IPsec网络流量的数据包。
注意
如果您在设备上使用NAT遍历 (NAT-T),请确保也允许端口 4500 上的UDP流量在网络和端点之间传输。 AWS Site-to-Site VPN 检查您的设备是否在宣传 NAT-T。