本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Client VPN 端点
所有 AWS Client VPN 会话都与 Client VPN 端点建立通信。可以通过管理 Client VPN 端点创建、修改、查看和删除与该端点进行的 Client VPN 会话。可以使用 Amazon VPC 控制台或 AWS CLI 创建和修改端点。
## 创建 Client VPN 端点的要求
**重要**
必须在配置预期目标网络的同一 AWS 账户中创建 Client VPN 端点。您还需要生成服务器证书,并根据需要生成客户端证书。有关更多信息,请参阅 [中的客户端身份验证 AWS Client VPN](client-authentication.md)。
在您开始之前,请确保您已执行以下操作:
+ 查看 [使用规则和最佳实践 AWS Client VPN](what-is-best-practices.md)中的规则和限制。
+ 生成服务器证书,并(如果需要)获取客户端证书。有关更多信息,请参阅 [中的客户端身份验证 AWS Client VPN](client-authentication.md)。
## IP 地址类型
AWS Client VPN 支持 IPv4端点连接和 IPv6流量路由的仅限、仅限和双栈配置。以下指南可帮助您根据客户端设备功能、网络基础设施和应用程序要求选择适当的 IP 地址类型。
### 端点地址类型
端点地址类型决定了 Client VPN 端点支持哪些 IP 协议进行客户端连接。此设置在端点创建后无法更改。
** IPv4仅在以下情况下选择-**
+ 您的客户端设备仅支持 IPv4 VPN 连接
+ 您的安全工具已针对 IPv4 交通检查进行了优化
** IPv6仅在以下情况下选择-**
+ 所有客户端设备都完全支持 IPv6 连接
+ 您所在的网络 IPv4 地址已耗尽
**在以下情况下选择双堆栈:**
+ 您有多种具有不同 IP 功能的客户端设备
+ 你正在逐渐从过渡到 IPv4 IPv6
### 流量 IP 地址类型
流量 IP 地址类型控制 Client VPN 如何在客户端和您的 VPC 资源之间路由流量,这与端点支持的协议无关。
**按以下时间对流量 IPv4 进行路由:**
+ 仅支持您的 VPC 中的目标应用程序 IPv4
+ 你有复杂 IPv4 的安全组和网络 ACLs
+ 您正在连接到遗留系统
**按以下时间对流量 IPv6 进行路由:**
+ 您的 VPC 基础设施主要是 IPv6
+ 您希望让自己的网络架构适应未来需求
+ 你有专为之构建的现代应用程序 IPv6
## 端点修改
**注意**
使用快速入门设置创建的 Client VPN 端点可以使用与使用标准设置创建的端点相同的步骤进行修改。无论在创建过程中使用何种设置方法,所有配置选项都可用。
创建完 Client VPN 后,您可以修改以下任意设置:
+ 描述
+ 服务器证书
+ 客户端连接日志记录选项
+ 客户端连接处理程序选项
+ DNS 服务器
+ 拆分隧道选项
+ 路由(在使用拆分隧道选项时)
+ 证书撤销列表(CRL)
+ 授权规则
+ VPC 和安全组关联
+ VPN 端口号
+ 自助服务门户选项
+ 最长 VPN 会话持续时间
+ 启用或禁用会话超时时自动重新连接
+ 启用或禁用客户端登录横幅文本
+ 客户端登录横幅文本
**注意**
对客户端 VPN 端点的修改(包括证书吊销列表 (CRL, Certificate Revocation List) 更改)将在客户端 VPN 服务接受请求后最多 4 小时生效。
创建 IPv4 Client VPN 端点后,您无法修改客户端 CIDR 范围、身份验证选项、客户端证书或传输协议。
当您修改 Client VPN 端点上的以下任何参数时,连接将重置:
+ 服务器证书
+ DNS 服务器
+ 拆分隧道选项(打开或关闭支持)
+ 路由(当您使用拆分隧道选项时)
+ 证书撤销列表(CRL)
+ 授权规则
+ VPN 端口号
**Topics**
+ [创建 Client VPN 端点的要求](#cvpn-working-create-req)
+ [IP 地址类型](#cvpn-ip-address-types)
+ [端点修改](#cvpn-endpoints-modify-req)
+ [创建 端点](cvpn-working-endpoint-create.md)
+ [查看端点](cvpn-working-endpoint-view.md)
+ [修改端点](cvpn-working-endpoint-modify.md)
+ [删除端点。](cvpn-working-endpoint-delete.md)