用于 AWS Site-to-Site VPN 连接的客户网关选项

（可选）名称标签。

（仅动态路由）客户网关的边界网关协议 (BGP) 自治系统编号 (ASN)。

支持 1 到 4,294,967,295 范围内的 ASN。您可以使用为您的网络分配的现有公有 ASN，但以下情况除外：

如果您没有公有 ASN，则可以使用私有 ASN（在 64512 至 65534 或 4200000000 至 4294967294 范围内）。默认 ASN 为 64512。有关路由的更多信息，请参阅 AWS Site-to-Site VPN 路由选项。

客户网关设备外部接口的 IP 地址。

IP 地址必须是静态的，可以是 IPv4 或 IPv6。

对于 IPv4 地址：如果您的客户网关设备位于网络地址转换 (NAT, Network Address Translation) 设备的后面，请使用 NAT 设备的 IP 地址。此外，请确保允许端口 500（如果使用的是 NAT 遍历，则为端口 4500）上的 UDP 数据包在您的网络和 AWS Site-to-Site VPN 端点之间传输。有关更多信息，请参阅防火墙规则。

对于 IPv6 地址：该地址必须是可通过互联网路由的有效 IPv6 地址。只有中转网关或 Cloud WAN 上的 VPN 连接才支持 IPv6 地址。

当您使用来自 AWS 私有证书颁发机构 的私有证书和公有 VPN 时，不需要 IP 地址。

如果您要使用基于证书的身份验证，请提供将在客户网关设备上使用的 ACM 私有证书的 ARN。

创建客户网关时，您可以将客户网关配置为使用 AWS 私有证书颁发机构 私有证书对 Site-to-Site VPN 进行身份验证。

选择使用此选项时，您将创建完全由 AWS 托管的私有证书颁发机构 (CA) 供您的组织内部使用。根 CA 证书和从属 CA 证书都由 AWS 私有 CA 存储和管理。

在创建客户网关之前，您可以使用 AWS 私有证书颁发机构 通过从属 CA 创建私有证书，然后在配置客户网关时指定该证书。有关创建私有证书的信息，请参阅《AWS 私有证书颁发机构 用户指南》中的创建和管理私有 CA。

（可选）设备。