本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
您可以使用 Site-to-Site VPN 连接将您的远程网络连接到 VPC。每个 Site-to-Site VPN 连接都有两条隧道,每条隧道使用唯一的公有 IP 地址。配置两条隧道以提供冗余能力是重要的步骤。当一条隧道不可用(例如,因维护而关闭)时,网络流量会自动路由到该特定 Site-to-Site VPN 连接的可用隧道。
下图展示了 VPN 连接的两条隧道。每条隧道在不同的可用区终止,以提供更高的可用性。从本地网络到的流量 AWS 使用两条隧道。来自本地网络 AWS 的流量优先选择其中一条隧道,但如果 AWS 侧面出现故障,则可以自动故障转移到另一条隧道。
创建 Site-to-Site VPN 连接时,需要下载特定于您的客户网关设备的配置文件,其中包含配置设备的信息,包括配置每条隧道的信息。创建 Site-to-Site VPN 连接时,您可以选择自己指定一些隧道选项。否则, AWS 会提供默认值。
注意
Site-to-Site 无论客户网关的提案顺序如何,VPN 隧道端点都会从下面列表中的最低配置值开始评估来自客户网关的提案。您可以使用modify-vpn-connection-options命令来限制 AWS 端点将接受的选项列表。有关更多信息,请参阅 Amazon EC2 命令行参考modify-vpn-connection-options
以下是您可以配置的隧道选项。
注意
某些隧道选项有多个默认值。例如,IKE 版本有两个默认隧道选项值:ikev1 和 ikev2。如果您不选择特定值,则所有默认值都将与该隧道选项相关联。单击删除您不希望与隧道选项相关联的任何默认值。例如,如果您只想使用 ikev1 作为 IKE 版本,请单击 ikev2 将其删除。
- 失效对端检测 (DPD) 超时
-
发生 DPD 超时之后的秒数。DPD 超时为 30 秒意味着 VPN 端点将在第一次保持连接失败 30 秒后认为对等体已死亡。您可以指定 30 或更高值。
原定设置值:40
- DPD 超时操作
-
发生失效对端检测 (DPD) 超时后采取的操作。您可以指定:
-
Clear:当发生 DPD 超时时结束 IKE 会话(停止隧道并清除路由) -
None:当发生 DPD 超时时不采取任何操作 -
Restart:当发生 DPD 超时时重新启动 IKE 会话
有关更多信息,请参阅AWS Site-to-Site VPN 隧道启动选项。
默认值:
Clear -
- VPN 日志记录选项
-
使用 Site-to-Site VPN 日志,您可以访问有关 IP 安全 (IPsec) 隧道建立、互联网密钥交换 (IKE) 协商和失效对等体检测 (DPD) 协议消息的详细信息。
有关更多信息,请参阅 AWS Site-to-Site VPN 日志。
可用的日志格式:
json、text - IKE 版本
-
VPN 隧道允许的 IKE 版本。您可以指定一个或多个默认值。
默认值:
ikev1、ikev2 - 隧道内部 IPv4 CIDR
-
VPN 隧道的内部(内部) IPv4 地址范围。您可以指定
169.254.0.0/16范围中大小为 /30 的 CIDR 块。在使用相同虚拟专用网关的所有 Site-to-Site VPN 连接中,CIDR 块必须是唯一的。注意
对于一个中转网关上的所有连接,CIDR 块无需唯一。但如果它们不唯一,则可能会在客户网关上造成冲突。在传输网关的多个 Site-to-Site VPN 连接上重复使用相同的 CIDR 块时,请谨慎行事。
以下 CIDR 块由系统保留,不能使用:
-
169.254.0.0/30 -
169.254.1.0/30 -
169.254.2.0/30 -
169.254.3.0/30 -
169.254.4.0/30 -
169.254.5.0/30 -
169.254.169.252/30
默认:该范围内大小为 /30 的 IPv4 CIDR 块。
169.254.0.0/16 -
- 隧道内部 IPv6 CIDR
-
(仅IPv6 限 VPN 连接)VPN 隧道的内部(内部) IPv6 地址范围。您可以指定本地
fd00::/8范围内的大小为 /126 的 CIDR 块。在使用相同传输网关的所有 Site-to-Site VPN 连接中,CIDR 块必须是唯一的。默认:本地
fd00::/8范围内大小为 /126 的 IPv6 CIDR 块。 - 本地 IPv4 网络 CIDR
-
(仅IPv4 限 VPN 连接)允许通过 VPN 隧道进行通信的客户网关(本地)端的 IPv4 CIDR 范围。
默认:0.0.0.0/0
- 远程 IPv4 网络 CIDR
-
(仅限 IPv4 VPN 连接)允许通过 VPN 隧道进行通信 AWS 的一侧的 IPv4 CIDR 范围。
默认:0.0.0.0/0
- 本地 IPv6 网络 CIDR
-
(仅IPv6 限 VPN 连接)允许通过 VPN 隧道进行通信的客户网关(本地)端的 IPv6 CIDR 范围。
默认值:::/0
- 远程 IPv6 网络 CIDR
-
(仅限 IPv6 VPN 连接)允许通过 VPN 隧道进行通信 AWS 的一侧的 IPv6 CIDR 范围。
默认值:::/0
- 阶段 1 Diffie-Hellman (DH) 组编号
-
对于 VPN 隧道的阶段 1 IKE 协商,允许的 DH 组编号。您可以指定一个或多个默认值。
默认值:2、14、15、16、17、18、19、20、21、22、23、24
- 阶段 2 Diffie-Hellman (DH) 组编号
-
对于 VPN 隧道的阶段 2 IKE 协商,允许的 DH 组编号。您可以指定一个或多个默认值。
默认值:2、5、14、15、16、17、18、19、20、21、22、23、24
- 阶段 1 加密算法
-
对于 VPN 隧道的阶段 1 IKE 协商,允许的加密算法。您可以指定一个或多个默认值。
默认值: AES128、、 AES128-GCM- AES256 16、-GCM-16 AES256
- 阶段 2 加密算法
-
对于 VPN 隧道的阶段 2 IKE 协商,允许的加密算法。您可以指定一个或多个默认值。
默认值: AES128、、 AES128-GCM- AES256 16、-GCM-16 AES256
- 阶段 1 完整性算法
-
对于 VPN 隧道的阶段 1 IKE 协商,允许的完整性算法。您可以指定一个或多个默认值。
默认值: SHA1、 SHA2 -256、- SHA2 384、-512 SHA2
- 阶段 2 完整性算法
-
对于 VPN 隧道的阶段 2 IKE 协商,允许的完整性算法。您可以指定一个或多个默认值。
默认值: SHA1、 SHA2 -256、- SHA2 384、-512 SHA2
- 阶段 1 生命周期
-
注意
AWS 使用第 1 阶段生命周期和第 2 阶段生命周期字段中设置的时间值启动重新生成密钥。如果此生命周期与协商的握手值不同,则可能会中断隧道连接。
IKE 协商的阶段 1 的生命周期,以秒为单位。您可以指定 900 到 28800 之间的数字。
默认值:28800(8 小时)
- 阶段 2 生命周期
-
注意
AWS 使用第 1 阶段生命周期和第 2 阶段生命周期字段中设置的时间值启动重新生成密钥。如果此生命周期与协商的握手值不同,则可能会中断隧道连接。
IKE 协商的阶段 2 的生命周期,以秒为单位。您可以指定 900 到 3600 之间的数字。您指定的数字必须小于阶段 1 生命周期的秒数。
默认值:3600(1 小时)
- 预共享密钥 (PSK)
-
预共享密钥 (PSK),用于在目标网关和客户网关之间建立初始 Internet 密钥交换 (IKE) 安全关联。
PSK 的长度必须在 8 到 64 个字符之间,而且不能以零 (0) 开头。允许的字符是字母数字字符、句点 (.) 和下划线 (_)。
默认值:32 个字符的字母数字字符串。
- 更改密钥模糊值
-
在其中随机选择更改密钥时间的更改密钥窗口的百分比(由更改密钥容许时间确定)
您可以指定介于 0 到 100 之间的百分比值。
默认值:100
- 更改密钥容许时间
-
第 1 阶段和第 2 阶段生命周期到期之前的空闲时间(以秒为单位),在此期间 VPN 连接 AWS 端执行 IKE 重新密钥。
您可以指定一个介于 60 和阶段 2 生命周期值一半之间的数字。
更改密钥的确切时间基于更改密钥模糊值随机选择。
原定设置:270(4.5 分钟)
- 回放窗口大小的数据包
-
IKE 回放窗口中的数据包数。
您可以指定 64 到 2048 之间的值。
默认值:1024
- 启动操作
-
为 VPN 连接建立隧道时要执行的操作。您可以指定:
-
Start: AWS 启动 IKE 协商以启动隧道。仅当您的客户网关配置了 IP 地址时才支持。 -
Add:您的客户网关设备必须启动 IKE 协商才能启动隧道。
有关更多信息,请参阅AWS Site-to-Site VPN 隧道启动选项。
默认值:
Add -
- 隧道端点生命周期控制
-
隧道端点生命周期控制提供对端点替换计划的控制。
有关更多信息,请参阅 AWS Site-to-Site VPN 隧道端点生命周期控制。
默认值:
Off
您可以在创建 Site-to-Site VPN 连接时指定隧道选项,也可以修改现有 VPN 连接的隧道选项。有关更多信息,请参阅以下主题:
