AWS Site-to-Site VPN 中的 IPv4 和 IPv6 流量
中转网关上的站点到站点 VPN 连接可以在 VPN 隧道内支持 IPv4 流量或 IPv6 流量。默认情况下, Site-to-Site VPN 连接在 VPN 隧道内支持 IPv4 流量。您可以配置新 Site-to-Site VPN 连接以在 VPN 隧道内支持 IPv6 流量。然后,如果您的 VPC 和本地网络配置为 IPv6 寻址,则可以通过 VPN 连接发送 IPv6 流量。
如果为 Site-to-Site VPN 连接的 VPN 隧道启用 IPv6,则每个隧道都将有两个 CIDR 块。一个是大小为 /30 的 IPv4 CIDR 块,另一个是大小为 /126 的 IPv6 CIDR 块。
IPv4 和 IPv6 支持
Site-to-Site VPN VPN 连接支持以下 IP 配置:
-
IPv4 外部隧道搭配 IPv4 内部数据包:虚拟专用网关、中转网关和 Cloud WAN 上支持的基本 IPv4 VPN 功能。
-
IPv4 外部隧道搭配 IPv6 内部数据包:允许 VPN 隧道内的 IPv6 应用程序/传输。在中转网关和 Cloud WAN 上受支持。虚拟专用网关不支持此配置。
-
IPv6 外部隧道搭配 IPv6 内部数据包:允许完整 IPv6 迁移,外部隧道 IP 和内部数据包 IP 均采用 IPv6 地址。中转网关和 Cloud WAN 均支持此配置。
-
IPv6 外部隧道搭配 IPv4 内部数据包的:允许 IPv6 外部隧道寻址,同时支持隧道内的旧式 IPv4 应用程序。中转网关和 Cloud WAN 均支持此配置。
以下规则适用:
-
仅终止在中转网关或 Cloud WAN 上的 Site-to-Site VPN 连接支持外部隧道 IPv6 地址。虚拟私有网关上的 Site-to-Site VPN 连接不支持外部隧道 IP 使用 IPv6。
-
将 IPv6 用于外部隧道 IP 时,您必须在 VPN 连接的两个 AWS 端和客户网关上为两个 VPN 隧道分配 IPv6 地址。
-
无法为现有 Site-to-Site VPN 连接启用 IPv6 支持。您必须删除现有连接并创建一个新连接。
-
Site-to-Site VPN 连接不能同时支持 IPv4 和 IPv6 流量。内部封装的数据包可以是 IPv6 或 IPv4,但不能两者兼而有之。您需要单独的 Site-to-Site VPN 连接来传输 IPv4 和 IPv6 数据包。
-
私有 IP VPN 不支持外部隧道 IP 使用 IPv6 地址。它们使用 RFC 1918 或 CGNAT 地址。有关 RFC 1918 的更多信息,请参阅 RFC 1918 - Address Allocation for Private Internets
。 -
IPv6 VPN 支持的吞吐量(Gbps 和 PPS)、MTU 和路由限制与 IPv4 VPN 相同。
-
IPv4 和 IPv6 VPN 的 IPSec 加密和密钥交换功能的工作方式相同。
有关创建支持 IPv6 的 VPN 连接的更多信息,请参阅“Get Started with Site-to-Site VPN”中的 Create a VPN connection 部分。
