AWS Site-to-Site VPN 客户网关设备的要求

Internet 密钥交换 (IKE) 安全关联。这是交换用来建立 IPsec 安全关联的密钥所需。

IPsec 安全关联。此项用于处理隧道的加密、身份验证等。

隧道接口。此项用于接收来往隧道的流量。

（可选）建立边界网关协议 (BGP) 对等体。对于使用 BGP 的设备，这会在客户网关设备和虚拟私有网关之间交换路由。

建立 IKE 安全关联

RFC 2409

RFC 7296

首先使用预共享密钥或使用 AWS 私有证书颁发机构 作为身份验证器的私有证书，在虚拟私有网关和客户网关之间建立 IKE 安全关联。建立后，IKE 即协商临时密钥，以便对将来的 IKE 消息进行保密。参数之间必须完全一致，包括加密和身份验证参数。

当您在 AWS 中创建 VPN 连接时，可以为每个隧道指定您自己的预共享密钥，也可以让 AWS 为您生成一个。或者，您可以使用 AWS 私有证书颁发机构 指定私有证书以用于客户网关设备。有关配置 VPN 隧道的更多信息，请参阅 AWS Site-to-Site VPN 连接的隧道选项。

支持以下版本：IKEv1 和 IKEv2。

对于 IKEv1 只支持主要模式。

Site-to-Site VPN 服务是基于路由的解决方案。如果您使用的是基于策略的配置，则必须将配置限制为单个安全关联 (SA)。

以隧道模式建立 IPsec 安全关联

RFC 4301

使用 IKE 临时密钥以便在虚拟私有网关和客户网关设备间建立密钥，从而形成 IPsec 安全关联 (SA)。网关间的流量使用该 SA 进行加密和解密。用来加密 IPsec SA 内流量的该临时密钥由 IKE 进行定期交替，确保通讯的保密性。

使用 AES 128 位加密或 AES 256 位加密功能

RFC 3602

加密功能用来确保 IKE 和 IPsec 安全关联这两者的保密性。

使用 SHA-1 或 SHA-2 (256) 哈希函数

RFC 2404

该哈希函数用来验证 IKE 和 IPsec 安全关联。

使用 Diffie-Hellman Perfect Forward Secrecy。

RFC 2409

IKE 使用 Diffie-Hellman 建立临时密钥，确保客户网关设备和虚拟私有网关之间的所有通讯安全可靠。

支持以下组：

（动态路由 VPN 连接）使用 IPsec 失效对端检测

RFC 3706

失效对端检测的运用让 VPN 设备能够快速识别网络条件阻止数据包经由 Internet 传送的情况。发生此情况时，网关将删除该安全关联并尝试建立新关联。在此过程中，若有可能将使用交替 IPsec 隧道。

（动态路由 VPN 连接）将隧道绑定到逻辑接口（基于路由的 VPN）

无

您的设备必须能够将 IPsec 隧道绑定到逻辑接口。该逻辑接口包含用来向虚拟私有网关建立 BGP 对等体的 IP 地址。该逻辑接口不应执行额外的封装（例如：GRE 或 IP 中的 IP）。应将接口最大传输单位 (MTU) 设置为 1399 字节。

（动态路由 VPN 连接）建立 BGP 对等体

RFC 4271

对于使用 BGP 的设备，BGP 用于在客户网关设备和虚拟私有网关间交换路由。所有的 BGP 流量均进行加密，并通过 IPsec 安全关联传输。两种网关均需要 BGP 来交换可通过 IPsec SA 取得的 IP 前缀。