Amazon Virtual Private Cloud
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

设置 AWS VPN 连接

按照以下过程手动设置 VPN 连接。或者,您也可以让 VPC 创建向导为您完成其中的许多步骤。有关使用 VPC 创建向导以设置虚拟专用网关的更多信息,请参见场景 3:具有公有和私有子网以及 AWS 托管 VPN 访问的 VPC场景 4:仅具有私有子网,以及 AWS 托管 VPN 访问权限的 VPC

要设置 VPN 连接,您需要完成以下步骤:

这些过程假定您的 VPC 具有一个或多个子网。

创建客户网关

客户网关向 AWS 提供有关您的客户网关设备或软件应用程序的信息。有关更多信息,请参阅 客户网关

使用控制台创建客户网关

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Customer Gateways,然后选择 Create Customer Gateway

  3. 填写以下信息,然后选择 Create Customer Gateway

    • (可选) 对于 Name,为您的客户网关键入名称。这样做可创建具有 Name 键以及您指定的值的标签。

    • 对于 Routing,选择路由类型。

    • 对于动态路由,为 BGP ASN 键入边界网关协议 (BGP) 自治系统编号 (ASN)。

    • 对于 IP Address,为您的客户网关设备键入静态、可在 Internet 上路由的 IP 地址。如果您的客户网关位于为 NAT-T 而启用的 NAT 设备后面,请使用 NAT 设备的公有 IP 地址。

使用命令行或 API 创建客户网关

创建虚拟私有网关

创建虚拟专用网关时,可以选择为网关的 Amazon 端指定专用自治系统编号 (ASN)。ASN 必须与为客户网关指定的 BGP ASN 不同。

创建虚拟专用网关后,必须将其连接到您的 VPC。

创建虚拟专用网关并将其连接到您的 VPC

  1. 在导航窗格中,依次选择 Virtual Private GatewaysCreate Virtual Private Gateway

  2. (可选) 为虚拟专用网关键入名称。这样做可创建具有 Name 键以及您指定的值的标签。

  3. 对于 ASN,保留默认选择以使用默认的 Amazon ASN。否则,选择 Custom ASN 并键入一个值。对于 16 位 ASN,该值必须在 64512 到 65534 范围内。对于 32 位 ASN,该值必须在 4200000000 到 4294967294 范围内。

  4. 选择 Create Virtual Private Gateway

  5. 选择您已创建的虚拟专用网关,然后依次选择 ActionsAttach to VPC

  6. 从列表中选择您的 VPC ,然后选择 Yes, Attach

使用命令行或 API 创建虚拟专用网关

使用命令行或 API 将虚拟专用网关连接到 VPC

在您的路由表中启用路由传播

要使您 VPC 中的实例可以访问您的客户网关,您必须配置路由表以包含您 VPN 连接使用的路由并将它们指向您的虚拟专用网关。您可以为路由表启用路由传播,从而自动将这些路由传播到表。

对于静态路由,您为 VPN 配置指定的静态 IP 前缀会在 VPN 连接状态为 UP 时传播到路由表。同样,对于动态路由,来自客户网关的通告 BGP 路由会在 VPN 连接的状态为 UP 时传播到路由表。

注意

如果您的连接中断,您的路由表中的任何已传播路由将不会自动删除。您可能必须禁用路由传播以删除已传播的路由;例如,如果您希望流量故障转移至某个静态路由。

使用控制台启用路由传播

  1. 在导航窗格中,选择 Route Tables,然后选择与子网关联的路由表;默认情况下,该路由表为 VPC 的主路由表。

  2. 在详细信息窗格中的 Route Propagation 选项卡上,选择 Edit,选择您在上一步骤中创建的虚拟专用网关,然后选择 Save

注意

对于静态路由,如果您没有启用路由传播,则您必须手动输入您的 VPN 连接使用的静态路由。为此,请选择您的路由表,然后依次选择 RoutesEdit。对于 Destination,添加您的 VPN 连接使用的静态路由。对于 Target,选择虚拟专用网关 ID,然后选择 Save

使用控制台禁用路由传播

  1. 在导航窗格中,选择 Route Tables,然后选择与子网关联的路由表。

  2. 依次选择 Route PropagationEdit。清除虚拟专用网关的 Propagate 复选框,然后选择 Save

使用命令行或 API 启用路由传播

使用命令行或 API 禁用路由传播

更新您的安全组

要允许从您的网络访问 VPC 中的实例,您必须更新安全组规则以启用入站 SSH、RDP 和 ICMP 访问。

向安全组添加规则以启用入站 SSH、RDP 和 ICMP 访问

  1. 在导航窗格中,选择 Security Groups,然后选择 VPC 的默认安全组。

  2. 在详细信息窗格中的 Inbound 选项卡上,添加规则,该规则允许您的网络进行入站 SSH、RDP 和 ICMP 访问,然后选择 Save。有关添加入站规则的更多信息,请参阅 添加、删除和更新规则

有关使用 AWS CLI 处理安全组的更多信息,请参阅 您的 VPC 的安全组

创建 VPN 连接并配置客户网关

创建 VPN 连接后,请下载配置信息并使用它来配置客户网关设备或软件应用程序。

创建 VPN 连接并配置客户网关

  1. 在导航窗格中,依次选择 VPN ConnectionsCreate VPN Connection

  2. 填写以下信息,然后选择 Create VPN Connection

    • (可选) 对于 Name tag,为您的 VPN 连接键入名称。这样做可创建具有 Name 键以及您指定的值的标签。

    • 选择您之前创建的虚拟专用网关。

    • 选择您之前创建的客户网关。

    • 根据您的 VPN 路由器是否支持边界网关协议 (BGP),选择一个路由选项:

      • 如果您的 VPN 路由器支持 BGP,请选择 Dynamic (requires BGP)

      • 如果您的 VPN 路由器不支持 BGP,请选择 Static。对于 Static IP Prefixes,为您的 VPN 连接的专用网络指定各自的 IP 前缀。

    • Tunnel Options 下面,您可以选择为每个隧道指定以下信息:

      • 隧道内部 IP 地址的 169.254.0.0/16 范围中大小为 /30 的 CIDR 块。

      • IKE 预共享密钥 (PSK)。

      有关这些选项的详细信息,请参阅 为您的 VPN 连接配置 VPN 隧道

    创建 VPN 连接可能需要几分钟的时间。准备就绪之后,选择该连接,然后选择 Download Configuration

  3. Download Configuration 对话框中,选择与客户网关设备或软件对应的供应商、平台和软件,然后选择 Yes, Download

  4. 为您的网络管理员提供配置文件和指南:Amazon VPC 网络管理员指南。在网络管理员配置客户网关之后,VPN 连接便已可以操作。

使用命令行或 API 创建 VPN 连接

编辑 VPN 连接的静态路由

对于静态路由,您可以添加、修改或删除您的 VPN 配置的静态路由。

添加、修改或删除静态路由

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 VPN Connections

  3. 依次选择 Static RoutesEdit

  4. 修改现有静态 IP 前缀或选择 Remove 将其删除。选择 Add Another Rule 以向您的配置添加新的 IP 前缀。完成此操作后,选择 Save

注意

如果您尚未为路由表启用路由传播,则必须手动更新您的路由表中的路由以在 VPN 连接中反映更新的静态 IP 前缀。有关更多信息,请参阅 在您的路由表中启用路由传播

使用命令行或 API 添加静态路由

使用命令行或 API 删除静态路由

替换受损的凭证

如果您认为 VPN 连接的隧道凭证已经受损,您可以更改 IKE 预共享密钥。如需测试受损凭证,取消 VPN 连接,使用相同的虚拟专用网关创建一项新的凭证,并在您的客户网关中配置新的密钥。您可以在创建 VPN 连接时指定自己的预共享密钥。您还需要确认隧道的内部和外部地址可以相互匹配,因为在您重新建立 VPN 连接时这些地址可能也会随之更改。在您执行此步骤时,与您的 VPC 实例的通信将会停止,但实例仍会继续不受干扰地运行。在网络管理员执行新配置信息之后,您的 VPN 连接便可使用新凭证,而到您的 VPC 实例的网络连接也将恢复正常。

重要

此步骤要求您的网络管理员组的协助。

更改 IKE 预共享密钥

  1. 删除 VPN 连接。有关更多信息,请参阅 删除 VPN 连接。您不需要删除 VPC 或虚拟专用网关。

  2. 创建新的 VPN 连接并为隧道指定您自己的预共享密钥,或者让 AWS 为您生成新的预共享密钥。有关更多信息,请参阅 创建 VPN 连接并配置客户网关

  3. 下载新的配置文件。