通过 Direct Connect 创建私有 IP AWS Site-to-Site VPN

要使用 Direct Connect 创建私有 IP VPN，请按照以下步骤操作。在通过 Direct Connect 创建私有 IP VPN 之前，您需要确保首先创建中转网关和 Direct Connect 网关。在创建这两个网关后，需要在两个网关之间创建关联。下表描述了这些先决条件。在创建并关联这两个网关后，应使用该关联创建 VPN 客户网关和连接。

先决条件

下表描述了通过 Direct Connect 创建私有 IP VPN 之前需要满足的先决条件。

项目	步骤	信息
为 Site-to-Site VPN 准备中转网关。	使用 Amazon Virtual Private Cloud（VPC）控制台、命令行或 API 创建中转网关。请参阅《Amazon VPC 中转网关指南》中的中转网关。	中转网关是网络中转中心，您可用它来互连 VPC 和本地网络。您可以创建新的中转网关，也可以使用现有中转网关来建立私有 IP VPN 连接。在创建中转网关或修改现有中转网关时，可以为连接指定私有 IP CIDR 块。注意在指定要与私有 IP VPN 关联的中转网关 CIDR 块时，请确保 CIDR 块不会与中转网关上的任何其他网络连接的任何 IP 地址重叠。如果任何 IP CIDR 块发生了重叠，可能会导致客户网关设备出现配置问题。
为 Site-to-Site VPN 创建 Direct Connect 网关。	使用 Direct Connect 控制台、命令行或 API 创建 Direct Connect 网关。请参阅《Direct Connect 用户指南》中的创建 AWS Direct Connect 网关。	通过 Direct Connect 网关，您能够跨多个 AWS 区域连接虚拟接口（VIF）。此网关用于连接到您的 VIF。
为 Site-to-Site VPN 创建中转网关关联。	使用 Direct Connect 控制台、命令行或 API 创建 Direct Connect 网关和中转网关之间的关联。请参阅《Direct Connect 用户指南》中的关联 Direct Connect 和中转网关或取消其关联。	创建 Direct Connect 网关后，创建 Direct Connect 网关的中转网关关联。为之前在允许的前缀列表中确定的中转网关指定私有 IP CIDR。

项目

步骤

信息

为 Site-to-Site VPN 准备中转网关。

使用 Amazon Virtual Private Cloud（VPC）控制台、命令行或 API 创建中转网关。

请参阅《Amazon VPC 中转网关指南》中的中转网关。

中转网关是网络中转中心，您可用它来互连 VPC 和本地网络。您可以创建新的中转网关，也可以使用现有中转网关来建立私有 IP VPN 连接。在创建中转网关或修改现有中转网关时，可以为连接指定私有 IP CIDR 块。

注意

在指定要与私有 IP VPN 关联的中转网关 CIDR 块时，请确保 CIDR 块不会与中转网关上的任何其他网络连接的任何 IP 地址重叠。如果任何 IP CIDR 块发生了重叠，可能会导致客户网关设备出现配置问题。

为 Site-to-Site VPN 创建 Direct Connect 网关。

使用 Direct Connect 控制台、命令行或 API 创建 Direct Connect 网关。

请参阅《Direct Connect 用户指南》中的创建 AWS Direct Connect 网关。

通过 Direct Connect 网关，您能够跨多个 AWS 区域连接虚拟接口（VIF）。此网关用于连接到您的 VIF。

为 Site-to-Site VPN 创建中转网关关联。

使用 Direct Connect 控制台、命令行或 API 创建 Direct Connect 网关和中转网关之间的关联。

请参阅《Direct Connect 用户指南》中的关联 Direct Connect 和中转网关或取消其关联。

创建 Direct Connect 网关后，创建 Direct Connect 网关的中转网关关联。为之前在允许的前缀列表中确定的中转网关指定私有 IP CIDR。

为 Site-to-Site VPN 创建客户网关和连接

客户网关是您在 AWS 中创建的资源。它表示本地网络中的客户网关设备。创建客户网关时，您将向 AWS 提供有关设备的信息。有关更多详细信息，请参阅客户网关。

使用控制台创建客户网关

通过 https://console.aws.amazon.com/vpc/ 打开 Amazon VPC 控制台。
在导航窗格中，选择客户网关。
选择创建客户网关。
（可选）对于 Name tag（名称标签），为您的客户网关输入名称。这样做可创建具有 Name 键以及您指定的值的标签。
对于 BGP ASN，输入您的客户网关的边界网关协议（BGP）自治系统编号（ASN）。
对于 IP address（IP 地址），输入您的客户网关设备的私有 IP 地址。

重要
配置 AWS 私有 IP AWS Site-to-Site VPN 时，您必须使用 RFC 1918 地址指定自己的隧道端点 IP 地址。请勿使用点对点 IP 地址在客户网关路由器和 Direct Connect 端点之间建立 eBGP 对等连接。AWS 建议使用客户网关路由器上的环回或 LAN 接口作为源地址或目标地址，而不是点对点连接。
有关 RFC 1918 的更多信息，请参阅私有互联网的地址分配。
（可选）对于 Device（设备），输入托管此客户网关的设备的名称。
选择创建客户网关。
在导航窗格中，选择 Site-to-Site VPN 连接。
选择 Create VPN connection（创建 VPN 连接）。
（可选）对于名称标签，为您的 Site-to-Site VPN 连接输入名称。这样做可创建具有 Name 键以及您指定的值的标签。
对于 Target gateway type（目标网关类型），选择 Transit gateway（中转网关）。然后，选择您之前确定的中转网关。
对于 Customer gateway（客户网关），选择 Existing（现有）。然后，选择您之前创建的客户网关。
根据您的客户网关设备是否支持边界网关协议（BGP），选择一个路由选项：
- 如果您的客户网关设备支持 BGP，请选择动态（需要 BPG）。
- 如果您的客户网关设备不支持 BGP，请选择静态。
对于隧道内部 IP 版本，指定 VPN 隧道是支持 IPv4 还是 IPv6 流量。
（可选）如果您为隧道内部 IP 版本指定了 IPv4，则可以选择指定客户网关端和 AWS 端上允许通过 VPN 隧道进行通信的 IPv4 CIDR 范围。默认值为 0.0.0.0/0。

如果您为隧道内部 IP 版本指定了 IPv6，则可以选择指定客户网关端和 AWS 端上允许通过 VPN 隧道进行通信的 IPv6 CIDR 范围。这两个范围的默认值均为 ::/0。
对于外部 IP 地址类型，选择 PrivateIpv4。
对于 Transport attachment ID（传输连接 ID），选择相应 Direct Connect 网关的中转网关连接。
选择创建 VPN 连接。

注意

Enable acceleration（启用加速）选项不适用于 Direct Connect 上的 VPN 连接。

使用命令行或 API 创建客户网关

CreateCustomerGateway（Amazon EC2 查询 API）
create-customer-gateway（AWS CLI）

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

私有 IP VPN 与 Direct Connect

安全性

通过 Direct Connect 创建私有 IP AWS Site-to-Site VPN

先决条件

注意

为 Site-to-Site VPN 创建客户网关和连接

使用控制台创建客户网关

重要

注意

使用命令行或 API 创建客户网关