本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 操作方法 AWS Site-to-Site VPN 方式
Site-to-Site VPN 连接由以下组件组成:
+ [虚拟私有网关](#VPNGateway)或[中转网关](#Transit-Gateway)
+ [客户网关设备](#CustomerGatewayDevice)
+ [客户网关](#CustomerGateway)
VPN 连接在侧面的虚拟专用网关或传输网关与本地 AWS 端的客户网关之间提供两条 VPN 隧道。
有关 Site-to-Site VPN 配额的更多信息,请参阅[AWS Site-to-Site VPN配额](vpn-limits.md)。
## 虚拟专用网关
*虚拟专用网关*是 Site-to-Site VPN 连接的 Amazon 端的 Site-to-Site VPN 集中器。您创建虚拟私有网关并将其连接到虚拟私有云 (VPC),其资源必须访问 Site-to-Site VPN 连接。
下图显示了 VPC 和本地网络之间使用虚拟私有网关的 VPN 连接。
创建虚拟专用网关时,可以为网关的 Amazon 端指定专用自治系统编号 (ASN)。如果不指定 ASN,则会使用默认 ASN (64512) 创建虚拟专用网关。创建虚拟专用网关后,无法更改 ASN。要查看虚拟私有网关的 ASN,请在 Amazon VPC 控制台中的**虚拟私有网关**页面上查看其详细信息,或者使用 [describe-vpn-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-gateways.html) AWS CLI 命令。
**注意**
虚拟专用网关不支持 IPv6 进行 Site-to-Site VPN 连接。如果您需要 IPv6 支持,请使用中转网关或 Cloud WAN 进行 VPN 连接。
## Transit Gateway
中转网关是中转中心,您可用它来互连 VPC 和本地网络。有关更多信息,请参阅 [Amazon VPC 中转网关](https://docs.aws.amazon.com/vpc/latest/tgw/)。您可以在传输网关上创建 Site-to-Site VPN 连接作为附件。
下图显示了多个 VPC 与本地网络之间使用中转网关的 VPN 连接。中转网关有三个 VPC 挂载和一个 VPN 挂载。
您在传输网关上的 Site-to-Site VPN 连接可以支持 VPN 隧道内的 IPv4 或 IPv6 流量(内部 IP 地址)。此外,中转网关支持外部隧道 IP 地址采用 IPv6 地址。有关更多信息,请参阅 [AWS Site-to-Site VPN 中的 IPv4 和 IPv6 流量](ipv4-ipv6.md)。
您可以将 Site-to-Site VPN 连接的目标网关从虚拟专用网关修改为传输网关。有关更多信息,请参阅 [修改 AWS Site-to-Site VPN 连接的目标网关](modify-vpn-target.md)。
## 客户网关设备
*客户网关设备*是 Site-to-Site VPN 连接中您一侧的物理设备或软件应用程序。您可以将设备配置为使用 Site-to-Site VPN 连接。有关更多信息,请参阅 [AWS Site-to-Site VPN 客户网关设备](your-cgw.md)。
默认情况下,您的客户网关设备必须通过生成流量和启动 Internet 密钥交换 (IKE) 协商过程来开通 Site-to-Site VPN 连接的隧道。您可以将 Site-to-Site VPN 连接配置为指定 AWS 必须改为启动 IKE 协商进程。有关更多信息,请参阅 [AWS Site-to-Site VPN 隧道启动选项](initiate-vpn-tunnels.md)。
如果您使用 IPv6 作为外部隧道 IP 地址,则您的客户网关设备必须支持 IPv6 寻址,并且能够使用 IPv6 端点建立 IPsec 隧道。
## 客户网关
*客户网关* 是您在 AWS 中创建的资源,它表示本地网络中的客户网关设备。创建客户网关时,您需要向提供有关您的设备的信息 AWS。有关更多信息,请参阅 [用于 AWS Site-to-Site VPN 连接的客户网关选项](cgw-options.md)。
要将 Amazon VPC 与 Site-to-Site VPN 连接配合使用,您或您的网络管理员还必须在远程网络中配置客户网关设备或应用程序。当您创建 Site-to-Site VPN 连接时,我们会为您提供所需的配置信息,您的网络管理员通常会执行此配置。有关客户网关要求和配置的信息,请参阅[AWS Site-to-Site VPN 客户网关设备](your-cgw.md)。
### IPv6 客户网关
在创建搭配使用 IPv6 外部隧道 IP 的客户网关时,您需要指定 IPv6 地址而不是 IPv4 地址。您可以使用 AWS 管理控制台或 AWS CLI 创建 IPv6 客户网关。
要使用 AWS CLI 创建 IPv6 客户网关,请使用以下命令:
```
aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
```
IPv6 地址必须是客户网关设备的有效 Internet 可路由 IPv6 地址。
## IPv6 VPN 连接
Site-to-Site VPN VPN 连接支持以下 IPv6 配置:
+ *IPv4 外部隧道搭配 IPv4 内部数据包*:虚拟专用网关(VGW)、中转网关(TGW)和 Cloud WAN 上支持的基本 IPv4 VPN 功能。
+ *带有 IPv6 内部数据包的 IPv4 外部隧道*-允许 VPN 隧道 applications/transport 内有 IPv6。在 TGW 和 Cloud WAN 上支持(VGW 不支持)。
+ *IPv6 外部隧道搭配 IPv6 内部数据包*:允许完整 IPv6 迁移,外部隧道 IP 和内部数据包 IP 均采用 IPv6 地址。在 TGW 和 Cloud WAN 上支持。
+ *IPv6 外部隧道搭配 IPv4 内部数据包*的:允许 IPv6 外部隧道寻址,同时支持隧道内的旧式 IPv4 应用程序。在 TGW 和 Cloud WAN 上支持。
要创建采用 IPv6 外部隧道 IP 的 VPN 连接,请在创建 VPN 连接时指定 `OutsideIPAddressType=Ipv6`。AWS 会自动为 VPN 隧道的 AWS 端配置外部隧道 IPv6 地址。
使用 IPv6 外部隧道 IP 和 IPv6 内部隧道 IP 创建 VPN 连接的 CLI 命令示例:
```
aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
您可以使用 `describe-vpn-connection` CLI 命令查看分配给您 VPN 连接的 IPv6 地址。