本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 什么是AWS Site-to-Site VPN?
默认情况下,您在 Amazon VPC 中启动的实例无法与本地(AWS 云)网络和远程设备(例如站点或本地设备)进行通。您可以创建AWS Site-to-Site VPN(VP Site-to-Site N) 连接并配置路由以通过该连接传递流量,从而允许从 VPC 访问您的远程设备。
尽管 *VPN 连接*是一个通用术语,但在本文档中,VPN 连接是指您的 VPC 和您自己的本地网络之间的连接。 Site-to-SiteVPN 支持互联网协议安全 (IPsec) VPN 连接。
**Topics**
+ [
## 概念
](#concepts)
+ [
## Site-to-Site VPN 功能
](#s2svpn-features)
+ [
## Site-to-Site VPN 限制
](#site-to-site-limitations)
+ [
## Site-to-Site VPN 资源
](#site-site-tools)
+ [
## 定价
](#pricing)
## 概念
以下是 Site-to-Site VPN 的关键概念:
+ **VPN 连接**:您的本地设备与您的设备之间的安全连接 VPCs。
+ **VPN 隧道**:用于在客户网络和AWS之间传输数据的加密链接。
每个 VPN 连接均包括两条 VPN 隧道,可以同时使用这两条隧道来实现高可用性。
+ **客户网关**:一种向您的客户网关设备提供AWS相关信息的AWS资源。
+ **客户网关设备**: Site-to-SiteVPN 连接您一侧的物理设备或软件应用程序。
+ **目标网关**:VP Site-to-Site N 连接的 Amazon 端点的通用术语。
+ **虚拟私有网关**:虚拟私有网关是 VPN 连接的 Amazon 端的 Site-to-Site VPN 终端节点,可以连接到单个 VPC。
+ **传输网关**:一个传输中心,可用于互连多个 VPCs 本地网络,也可用作 VPN 连接的 Amazon 端点的 V Site-to-Site PN 终端节点。
+ **大型带宽隧道**:一种隧道配置,每条隧道支持高达 5 Gbps 的带宽,而标准的 1.25 Gbps 带宽。适用于连接到 Transit Gateway 或 Cloud WAN 的 VPN 连接。
## Site-to-Site VPN 功能
AWS Site-to-Site VPN连接支持以下功能:
+ 互联网密钥交换版本 2 (IKEv2)
+ NAT 遍历
+ 适用于虚拟专用网关(VGW)配置的 4 字节 ASN,范围为 1 至 2147483647。请参阅[用于 AWS Site-to-Site VPN 连接的客户网关选项](cgw-options.md)了解更多信息。
+ 适用于客户网关(CGW)的 2 字节 ASN,范围为 1 至 65535。请参阅[用于 AWS Site-to-Site VPN 连接的客户网关选项](cgw-options.md)了解更多信息。
+ CloudWatch 指标
+ 您的客户网关的可重用 IP 地址。
+ 其他加密选项,包括 AES 256 位加密、SHA-2 哈希,以及其他 Diffie-Hellman 组
+ 可配置的隧道选项
+ BGP 会话的 Amazon 端的自定义专用 ASN
+ 来自下属 CA 的私有证书AWS 私有证书颁发机构
+ IPv6 支持AWS Site-to-Site VPN
+ IPv6 用于内部隧道 IP 地址(数据包 IP)
+ IPv6 获取 Transit Gateway 和 Cloud WAN 上的外部隧道 IP 地址(隧道 IP)
+ 通过以下组合提供全面的 IPv6 迁移支持:
+ IPv6 带有 IPv6 内部数据包 IP 的外部隧道 IP (IPv6-in-IPv6)
+ IPv6 带有 IPv4 内部数据包 IP 的外部隧道 IP (IPv4-in-IPv6)
## Site-to-Site VPN 限制
V Site-to-Site PN 连接有以下限制。
+ IPv6 虚拟专用网关上的 VPN 连接不支持流量。 IPv6 只有 IPs Transit Gateway 和 Cloud WAN 支持外部隧道。
+ Site-to-Site VPN连接不支持路径 MTU 发现。
+ 单个 Site-to-Site VPN 连接不能同时支持两个 IPv4 和 IPv6 流量。您需要单独的 VPN 连接来传输 IPv4 和 IPv6 数据包。
+ 私有 IP VPN 连接不支持外部隧道 IPv6 的地址 IPs。
+ 您无法修改现有的 IPv4 VPN 连接以供使用 IPv6。您必须删除现有连接并创建一个新连接。
此外,在使用 Site-to-Site VPN 时,请考虑以下几点。
+ 将您 VPCs 连接到常见的本地网络时,我们建议您在网络中使用不重叠的 CIDR 块。
## Site-to-Site VPN 资源
您可以使用以下任何接口创建、访问和管理 Site-to-Site VPN 资源:
+ **AWS 管理控制台**— 提供可用于访问您的 Site-to-Site VPN 资源的 Web 界面。
+ **AWS Command Line Interface(AWS CLI)** — 为包括 Amazon VPC 在内的各种AWS服务提供命令,并在 Windows、macOS 和 Linux 上受支持。AWS Site-to-Site VPN命令行包含在较大的命令行参考中 EC2
+ 有关命令行界面的一般信息,请参阅 [AWS Command Line Interface](https://aws.amazon.com/cli/)。
+ 有关可用 EC2 命令的列表,包括 Site-to-Site VPN 命令,请参阅[EC2 命令行参考](https://docs.aws.amazon.com/cli/latest/reference/ec2/)。
**注意**
命令行参考没有区分 Site-to-Site VPN 命令和较大的 EC2 命令集
+ **AWS SDKs**— 提供特定语言 APIs 并处理许多连接细节,例如计算签名、处理请求重试和错误处理。有关更多信息,请参阅 [AWS SDKs](https://aws.amazon.com/developer/tools/)。
+ **查询 API** — 提供您使用 HTTPS 请求调用的低级别 API 操作。使用查询 API 是用于访问 Amazon VPC 的最直接方式,但需要您的应用程序处理低级别详细信息,例如生成哈希值以签署请求以及进行错误处理。有关更多信息,请参阅 [Amazon EC2 API 参考](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/)。
## 定价
您需要为预置并且可用的 VPN 连接按 VPN 连接小时数付费。有关更多信息,请参阅[加AWS Site-to-Site VPN速 Site-to-Site VPN 连接定价](https://aws.amazon.com/vpn/pricing/#AWS_Site-to-Site_VPN_and_Accelerated_Site-to-Site_VPN_Connection_Pricing)。
您需要支付从 Amazon EC2 向互联网传输数据的费用。有关更多信息,请参阅 Amazon EC2 按需定价页面上的[数据传输](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer)。
当您创建加速 VPN 连接时,我们将代表您创建和管理两个加速器。您需要按小时为每个加速器付费,并支付数据传输费。有关更多信息,请参阅[AWS Global Accelerator定价](https://aws.amazon.com/global-accelerator/pricing/)。
在 Site-to-Site VPN VPN 连接中使用 IPv6 地址无需支付额外费用。