AWS Site-to-Site VPN 客户网关设备的防火墙规则
您必须将静态 IP 地址用作端点,以便 IPsec 隧道将您的客户网关设备连接到 AWS Site-to-Site VPN 端点。如果 AWS 和您的客户网关设备之间有防火墙,则必须应用下表中的规则以建立 IPsec 隧道。AWS 端的 IP 地址将位于配置文件中。
|
输入规则 I1 |
|
|---|---|
|
源 IP |
Tunnel1 外部 IP |
|
目的 IP |
客户网关 |
|
协议 |
UDP |
|
源端口 |
500 |
|
目的地 |
500 |
|
输入规则 I2 |
|
|
源 IP |
Tunnel2 外部 IP |
|
目的 IP |
客户网关 |
|
协议 |
UDP |
|
源端口 |
500 |
|
目的地端口 |
500 |
|
输入规则 I3 |
|
|
源 IP |
Tunnel1 外部 IP |
|
目的 IP |
客户网关 |
|
协议 |
IP 50(ESP) |
|
输入规则 I4 |
|
|
源 IP |
Tunnel2 外部 IP |
|
目的 IP |
客户网关 |
|
协议 |
IP 50(ESP) |
|
输出规则 O1 |
|
|---|---|
|
源 IP |
客户网关 |
|
目的 IP |
Tunnel1 外部 IP |
|
协议 |
UDP |
|
源端口 |
500 |
|
目的地端口 |
500 |
|
输出规则 O2 |
|
|
源 IP |
客户网关 |
|
目的 IP |
Tunnel2 外部 IP |
|
协议 |
UDP |
|
源端口 |
500 |
|
目的地端口 |
500 |
|
输出规则 O3 |
|
|
源 IP |
客户网关 |
|
目的 IP |
Tunnel1 外部 IP |
|
协议 |
IP 50(ESP) |
|
输出规则 O4 |
|
|
源 IP |
客户网关 |
|
目的 IP |
Tunnel2 外部 IP |
|
协议 |
IP 50(ESP) |
规则 I1、I2、O1、和 O2 启用 IKE 数据包的传输。规则 I3、I4、O3 和 O4 启用包含加密网络流量的 IPsec 数据包的传输。
注意
如果在设备上使用 NAT 遍历 (NAT-T),请确保端口 4500 上的 UDP 流量也能够在您的网络和 AWS Site-to-Site VPN 端点之间传输。检查您的设备是否通告 NAT-T。
