本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 创建AWS Site-to-Site VPN连接
您可以创建连接到传输网关或 Cloud WAN 全球网络的 Site-to-Site VPN 连接。两种连接类型都支持 IPv4 和 IPv6 协议,并且可以选择使用 Site-to-Site VPN 集中器经济高效地连接多个远程站点。
## 使用控制台创建 VPN 连接
**使用控制台创建 VPN 连接**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Site-to-Site VPN 连接**。
1. 选择**创建 VPN 连接**。
1. (可选)对于**名称标签**,输入连接的名称。这样做可创建具有 `Name` 键以及您指定的值的标签。
1. 对于**目标网关类型**,请选择以下选项之一:
+ **虚拟专用网关**-通过选择现有的虚拟专用网关来创建新的**虚拟专用网关** VPN 连接。
+ **传输网关**-通过选择现有的公交网关来创建新的**传输网关** VPN 连接。有关创建中转网关的更多信息,请参阅 *Amazon VPC 中转网关* 中的[中转网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。
+ **Site-to-Site VPN 集中器**-使用现有的 Site-to-Site VPN 集中器或创建新的 VPN 集中器创建新的 Site-to-Site VPN 集中器连接。选择下列选项之一:
+ **现有-使用现有**集中器创建新的 VP Site-to-Site N 集中器 VPN 连接。
+ **新建**-输入 Site-to-Site VPN 集中器的可选名称,然后选择要与之关联的传输网关。
+ **未关联**-创建独立的 VPN 连接,以后可以通过网络管理器控制台或 API 与 Cloud WAN 关联。有关 VPN 附件和云广域网的更多信息,请参阅云广域网*用户指南*[中的AWS云广域网中的 Site-to-site AWS VPN 附件](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html)。
1. 对于**客户网关**,执行以下操作之一:
+ 要使用现有的客户网关,请选择**现有**,然后选择**客户网关 ID**。
+ 要创建新的客户网关,请选择**新**建,然后执行以下操作:
+ 对于 **IP 地址**,请输入静态**IPv4**或**IPv6**地址。
+ (可选)对于**证书 ARN**,请选择私有证书的 ARN(如果使用基于证书的身份验证)。
+ 对于 **BGP ASN**,输入您的客户网关的边界网关协议(BGP)自治系统编号(ASN)。有关更多信息,请参阅 [客户网关选项](cgw-options.md)。
1. 对于**路由选项**,请选择**动态(需要 BGP)**或**静态**。
**注意**
云广域网 VPN 连接和使用集中器的 VPN 连接仅支持 BGP 路由。这些连接类型不支持静态路由。
1. 对于**预共享密钥存储**,请选择**标准**或 **Secrets Manager**。默认选择为**标准**。有关使用AWS Secrets Manager的更多信息,请参阅[安全性](security.md)。
1. 对于 **IP 内的 Tunnel 版本**,请选择**IPv4**或**IPv6**。
1. (可选)对于**启用加速**,选中复选框可启用加速。有关更多信息,请参阅 [加速的 VPN 连接](accelerated-vpn.md)。
如果您启用加速,我们将创建两个加速器以供您的 VPN 连接使用。将收取额外费用。
1. (可选)根据您选择的 IP 版本中的隧道,执行以下操作之一:
+ IPv4 — 对于**本地 IPv4 网络 CIDR**,请指定允许通过 VPN 隧道进行通信的客户网关(本地)端的 IPv4 CIDR 范围。对于**远程 IPv4 网络 CIDR**,请选择允许通过 VPN 隧道进行通信AWS的一侧的 CIDR 范围。两个字段的默认值为 `0.0.0.0/0`。
+ IPv6 — 对于**本地 IPv6 网络 CIDR**,请指定允许通过 VPN 隧道进行通信的客户网关(本地)端的 IPv6 CIDR 范围。对于**远程 IPv6 网络 CIDR**,请选择允许通过 VPN 隧道进行通信AWS的一侧的 CIDR 范围。两个字段的默认值为 `::/0`
1. 对于**外部 IP 地址类型**,可从以下选项中进行选择:
+ **公共 IPv4**-(默认)使用外部隧道 IPv4 的地址 IPs。
+ **私有 IPv4**-使用私有 IPv4 地址在私有网络中使用。
+ **IPv6**-使用外部隧道 IPv6 的地址 IPs。此选项要求您的客户网关设备支持 IPv6寻址。
**注意**
如果选择**IPv6**外部 IP 地址类型,则必须使用 IPv6 地址创建客户网关
1. (可选)对于**隧道 1 选项**,您可以选择为每个隧道指定以下信息:
+ 内部隧道 IPv4 地址`169.254.0.0/16`范围 IPv4 中的 CIDR 块大小为 /30。
+ 如果您在 **IP 版本内**IPv6**为 Tunnel 指定,则内部隧道**地址`fd00::/8`范围中会有 /126 IPv6 CIDR 块。 IPv6
+ IKE 预共享密钥(PSK)。支持以下版本: IKEv1或 IKEv2。
+ 要编辑隧道的高级选项,请选择**编辑隧道选项**。有关更多信息,请参阅 [VPN 隧道选项](VPNTunnels.md)。
+ (可选)为**隧道活动日志**选择**启用**,以捕获 IPsec 活动和 DPD 协议消息的日志消息。
+ (可选)对于**隧道端点生命周期**,选择**启用**以控制端点更换计划。有关隧道端点生命周期的更多信息,请参阅[隧道端点生命周期](tunnel-endpoint-lifecycle.md)。
1. (可选)选择**隧道 2 选项**,然后按照前面的步骤设置第二条隧道。
1. 选择**创建 VPN 连接**。