您的 AWS Site-to-Site VPN 连接的客户网关选项 - AWS Site-to-Site VPN

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

您的 AWS Site-to-Site VPN 连接的客户网关选项

下表描述了在 AWS中创建客户网关资源所需的信息

Item 描述

(可选)名称标签。

 创建具有“名称”键以及您指定的值的标签。

(仅动态路由)客户网关的边界网关协议 (BGP) 自治系统编号 (ASN)。

支持 1 到 4,294,967,295 范围内的 ASN。您可以使用为您的网络分配的现有公有 ASN,但以下情况除外:

  • 7224 - 在所有区域保留

  • 9059 - 在 eu-west-1 区域保留

  • 10124 - 在 ap-northeast-1 区域保留

  • 17943 - 在 ap-southeast-1 区域保留

如果您没有公有 ASN,则可以使用私有 ASN(在 64512 至 65534 或 4200000000 至 4294967294 范围内)。默认 ASN 是 64512。有关路由的更多信息,请参阅 AWS Site-to-Site VPN 路由选项

(可选)客户网关设备的外部接口的 IP 地址。

该 IP 地址必须是静态的。

如果您的客户网关设备位于网络地址转换 (NAT, Network Address Translation) 设备的后面,请使用 NAT 设备的 IP 地址。此外,请确保允许端口 500(如果使用 NAT 遍历,则还要允许端口 4500)上的 UDP 数据包在您的网络和端点之间传输。 AWS Site-to-Site VPN 有关更多信息,请参阅防火墙规则

当您使用来自 AWS Private Certificate Authority 的私有证书和公有 VPN 时,不需要 IP 地址。
(可选)使用 AWS Certificate Manager (ACM) 从属 CA 获得的私有证书。

如果您要使用基于证书的身份验证,请提供将在客户网关设备上使用的 ACM 私有证书的 ARN。

创建客户网关时,可以将客户网关配置为使用 AWS Private Certificate Authority 私有证书对 Site-to-Site VPN 进行身份验证。

当您选择使用此选项时,您将创建一个完全 AWS托管的私有证书颁发机构 (CA),供组织内部使用。根 CA 证书和从属 CA 证书均由存储和管理 AWS 私有 CA。

在创建客户网关之前,您可以使用从属 CA 创建私有证书 AWS Private Certificate Authority,然后在配置客户网关时指定证书。有关创建私有证书的信息,请参阅《AWS Private Certificate Authority 用户指南》中的创建和管理私有 CA

(可选)设备。

 与此客户网关关联的客户网关设备的名称。