如何 AWS Site-to-Site VPN 运作 - AWS Site-to-Site VPN
虚拟专用网关Transit Gateway客户网关设备客户网关

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

如何 AWS Site-to-Site VPN 运作

Site-to-SiteVPN连接由以下组件组成:

该VPN连接在侧面的虚拟专用网关或传输网关与本地 AWS 端的客户网关之间提供两VPN条隧道。

有关 Site-to-SiteVPN配额的更多信息,请参阅AWS Site-to-Site VPN 配额

虚拟专用网关

虚拟专用网关是 Site-to-SiteVPN连接的 Amazon 端的VPN集中器。您创建虚拟私有网关并将其连接到虚拟私有云 (VPC),其资源必须访问该 Site-to-SiteVPN连接。

下图显示了使用虚拟私有网关在VPC和您的本地网络之间VPN建立的连接。

附VPC带虚拟专用网关并VPN连接到您的本地网络。

创建虚拟专用网关时,您可以为网关的 Amazon 端指定私有自治系统编号 (ASN)。如果未指定ASN,则使用默认值 ASN (64512) 创建虚拟专用网关。创建虚拟专用网关ASN后,您无法更改。要查看您的虚拟专用网关,请在 Amazon VPC 控制台的虚拟私有网关页面中查看其详细信息,或使用describe-vpn-gateways AWS CLI 命令。ASN

Transit Gateway

公交网关是一个交通枢纽,可用于将您的本地网络VPCs与您的本地网络互连。有关更多信息,请参阅 Amazon VPC 公交网关。您可以在传输网关上创建 Site-to-SiteVPN连接作为附件。

下图显示了使用中转网关在多个网络VPCs和您的本地网络之间VPN建立的连接。公交网关有三个VPC附件和一个VPN附件。

具有三个VPC附件和一个VPN附件的公交网关。

您在公交网关上的 Site-to-SiteVPN连接可以支持VPN隧道内的IPv4IPv6流量或流量。有关更多信息,请参阅 IPv4还有进IPv6来的交通 AWS Site-to-Site VPN

您可以将 Site-to-SiteVPN连接的目标网关从虚拟专用网关修改为传输网关。有关更多信息,请参阅 修改 AWS Site-to-Site VPN 连接的目标网关

客户网关设备

客户网关设备是您 Site-to-SiteVPN连接端的物理设备或软件应用程序。您可以将设备配置为使用 Site-to-SiteVPN连接。有关更多信息,请参阅 AWS Site-to-Site VPN 客户网关设备

默认情况下,您的客户网关设备必须通过生成流量和启动 Internet Key Exchange (IKE) 协商过程来为您的 Site-to-SiteVPN连接开通隧道。您可以将 Site-to-SiteVPN连接配置为指定 AWS 必须改为启动IKE协商过程。有关更多信息,请参阅 AWS Site-to-Site VPN 隧道启动选项

客户网关

客户网关 是您在 AWS 中创建的资源,它表示本地网络中的客户网关设备。创建客户网关时,您需要向提供有关您的设备的信息 AWS。有关更多信息,请参阅 您的 AWS Site-to-Site VPN 连接的客户网关选项

客户网关和客户网关设备。

要使用 Amazon VPC 进行 Site-to-SiteVPN连接,您或您的网络管理员还必须在远程网络中配置客户网关设备或应用程序。当您创建 Site-to-SiteVPN连接时,我们会为您提供所需的配置信息,您的网络管理员通常会执行此配置。有关客户网关要求和配置的信息,请参阅AWS Site-to-Site VPN 客户网关设备