AWS VPN 由两种服务组成:AWS Site-to-Site VPN 和 AWS Client VPN。借助 AWS Site-to-Site VPN,您可以将本地网络或分支机构站点安全地连接到 Amazon Virtual Private Cloud (Amazon VPC)。而 AWS Client VPN 则可以让您将用户安全地连接到 AWS 或本地网络。
一般性问题
问:什么是 Client VPN 终端节点?
答:Client VPN 终端节点是一个区域结构,您可以配置该结构以使用该服务。最终用户的 VPN 会话在 Client VPN 终端节点处终止。作为配置 Client VPN 终端节点的一部分,您可以指定身份验证详细信息、服务器证书信息、客户端 IP 地址分配、日志记录和 VPN 选项。
问:什么是目标网络?
答:目标网络是与 Client VPN 终端节点关联的网络,它可以安全访问 AWS 资源以及本地资源。目前,目标网络是您的 Amazon VPC 中的子网。
计费
问:如何定义应计费 VPN 连接小时数?
答:应计费 VPN 连接小时数是指 VPN 连接处于可用状态的时间。您可以通过 AWS 管理控制台、CLI 或 API 确定 VPN 连接的状态。如果您不想再用 VPN 连接,只需终止 VPN 连接即可避免产生额外的 VPN 连接小时数。
问:价格是否含税?
答:除非另行说明,否则我们的价格不包括适用的税费(包括增值税和适用销售税)。使用日本账单地址的客户若要使用 AWS 服务,则需缴纳日本消费税。了解更多。
AWS Site-to-Site VPN 设置和管理
问:可否使用 AWS 管理控制台控制和管理 AWS Site-to-Site VPN?
答:是。您可以使用 AWS 管理控制台管理 IPSec VPN 连接,例如 AWS Site-to-Site VPN。
问:Site-to-Site VPN 的默认限制或配额是多少?
答:有关 AWS Site-to-Site VPN 限制和配额的详细信息,请参阅我们的文档。
AWS Site-to-Site VPN 连接
问:VPC 有哪些 VPN 连接选择?
答:您可以通过虚拟私有网关使用硬件 VPN 连接将 VPC 连接到企业数据中心。
问:没有公有 IP 地址的实例如何访问 Internet?
答:没有公有 IP 地址的实例可以通过以下两种方式之一访问 Internet:
没有公有 IP 地址的实例可以通过网络地址转换 (NAT) 网关或 NAT 实例来传输流量,从而访问 Internet。这些实例使用 NAT 网关或 NAT 实例的公有 IP 地址来访问 Internet。NAT 网关或 NAT 实例允许出站通信,但不允许 Internet 上的计算机主动连接具有私有地址的实例。
对于通过硬件 VPN 或 Direct Connect 进行连接的 VPC,实例可以将其 Internet 流量通过虚拟私有网关下传到现有的数据中心。它可从该处借助现有出口点和网络安全/监控设备访问 Internet。
问:AWS Site-to-Site VPN 连接如何与 Amazon VPC 搭配使用?
答:AWS Site-to-Site VPN 连接将 VPC 与数据中心连接。Amazon 支持 Internet 安全协议 (IPsec) VPN 连接。在 VPC 与数据中心之间传输的数据通过加密的 VPN 连接路由,以保护传输中的数据的机密性和完整性。建立 Site-to-Site VPN 连接不需要使用互联网网关。
问:什么是 IPSec?
答:IPsec 是一个协议套件,通过身份验证和加密数据流的每个 IP 数据包来保护 Internet 协议(IP)通信。
问:可以使用哪些客户网关设备连接 Amazon VPC?
答:您可以创建两种 AWS Site-to-Site VPN 连接:静态路由 VPN 连接,以及动态路由 VPN 连接。支持静态路由 VPN 连接的客户网关设备必须能够:
使用预共享密钥建立 IKE 安全关联
以隧道模式建立 IPsec 安全关联
利用 AES 128 位、256 位、128 位 GCM-16 或 256 位 GCM-16 加密功能
使用 SHA-1、SHA-2 (256)、SHA2 (384) 或 SHA2 (512) 哈希功能
在“Group 2”模式下使用 Diffie-Hellman (DH) Perfect Forward Secrecy 或我们支持的某个其他 DH 组
加密前执行数据包分段
除了上述功能外,支持动态路由 Site-to-Site VPN 连接的设备还必须能够:
建立边界网关协议 (BGP) 对
将隧道绑定到逻辑接口(基于路由的 VPN)
利用 IPsec 失效对端检测
问:Amazon 支持哪些 Diffie-Hellman 组?
答:我们支持 Phase 1 和 Phase 2 中的以下 Diffie-Hellman (DH) 组。
Phase 1 DH 组 2、14-24。
Phase 2 DH 组 2、5、14-24。
问:当需要更新 IKE 密钥时,AWS 建议使用哪种算法?
答:默认情况下,AWS 端的 VPN 终端节点会建议 AES-128、SHA-1 和 DH 组 2。如果您想提出更新密钥的特定建议,建议您使用“修改 VPN 隧道选项”将隧道选项限制为所需的特定 VPN 参数。
问:哪些客户网关设备已知可以使用 Amazon VPC?
答:在网络管理员指南中,您将找到满足上述要求的设备列表,这些设备已知可与硬件 VPN 连接搭配使用,而且命令行工具也支持自动生成适用于设备的配置文件。
问:如果我的设备不在列表,何处可以找到有关将它用于 Amazon VPC 的更多信息?
答:建议您查看 Amazon VPC 论坛,因为其他客户可能已在使用相同的设备。
问:Site-to-Site VPN 连接的近似最大吞吐量是多少?
答:每个 AWS Site-to-Site VPN 连接都有两条隧道,每条隧道支持最高 1.25Gbps 的最大吞吐量。如果您的 VPN 连接到虚拟私有网关,则适用总吞吐量限制。
问:虚拟私有网关是否有总吞吐量限制?
答:虚拟私有网关对每种连接类型都有总吞吐量限制。连接到同一虚拟私有网关的多个 VPN 连接都受从 AWS 到本地最高 1.25Gbps 的总吞吐量限制的约束。对于虚拟私有网关上的 AWS Direct Connect 连接,其吞吐量受 Direct Connect 物理端口本身约束。要连接到多个 VPC 并获得更高的吞吐量限额,请使用 AWS Transit Gateway。
问:哪些因素会影响 VPN 连接的吞吐量?
答:VPN 连接的吞吐量取决于多个因素,如客户网关的功能、连接的容量、平均数据包大小、所用的协议(TCP 与UDP)以及客户网关和虚拟私有网关之间的网络延迟。
问:Site-to-Site VPN 连接每秒最多传输大约多少个数据包?
答:每个 AWS Site-to-Site VPN 连接都有两条隧道,每条隧道支持每秒最多传输 140000 个数据包。
问:有哪些工具可以帮助我对 Site-to-Site VPN 配置进行故障排除?
答:DescribeVPNConnection API 可以显示 VPN 连接的状态,包括各个 VPN 隧道的状态(“up”/“down”),并在有隧道处于“down”状态时显示对应的错误消息。AWS 管理控制台中也可显示此类信息。
问:如何将 VPC 与我的企业数据中心连接?
答:在现有网络和 Amazon VPC 之间建立硬件 VPN 连接,以便可以与 VPC 中的 Amazon EC2 实例交互,就像它们位于您的现有网络中一样。在通过硬件 VPN 连接访问 VPC 时,AWS 不会对 Amazon EC2 实例执行网络地址转换(NAT)。
问:可以对路由器或防火墙后的客户网关进行 NAT 吗?
答:使用 NAT 设备的公有 IP 地址。
问:客户网关地址需要使用哪个 IP 地址?
答:使用 NAT 设备的公有 IP 地址。
问:如何在我的连接上禁用 NAT-T?
答:您需要在设备上禁用 NAT-T。如果您不打算使用 NAT-T 且未在设备上禁用它,我们会尝试在 UDP 端口 4500 上建立隧道。如果未开放该端口,则无法建立隧道。
问:每条隧道可同时建立多少个 IPsec 安全关联?
答:AWS VPN 服务是一种基于路由的解决方案,因此当您使用基于路由的配置时,不存在 SA 数量限制。但是,如果您使用的是基于策略的解决方案,则只能使用一个 SA,因为该服务是基于路由的解决方案。
问:可否向 Internet 公布我的 VPC 公有 IP 地址范围,并将通过我的数据中心的流量从 Site-to-Site VPN 路由到我的 VPC?
答:可以。您可以通过 VPN 连接路由流量,也可从家庭网络公布该地址范围。
问:我的 VPN 连接最多将向我的客户网关设备公布多少路由?
答:您的 VPN 连接最多将向客户网关设备公布 1000 个路由。对于虚拟私有网关上的 VPN,公布的路由源包括 VPC 路由、其他 VPN 路由和来自 DX 虚拟接口的路由。对于 AWS Transit Gateway 上的 VPN,公布的路由来自与 VPN 连接相关的路由表。如果尝试发送的路由超过 1000 个,则仅会公布 1000 个路由子集。
问:我的客户网关设备最多可向我的 VPN 连接公布多少路由?
答:您最多可以从您的客户网关设备向虚拟私有网关上的 Site-to-Site VPN 连接发布 100 条路由,或向 AWS Transit Gateway 上的 Site-to-Site VPN 连接最多发布 1000 条路由。对于包含静态路由的 VPN 连接,您将不能添加超过 100 个静态路由。对于包含 BGP 的 VPN 连接,如果您尝试公布超过网关类型的最大路由数,BGP 会话将会重置。
问:VPN 连接是否支持 IPv6 流量?
答:是。与 AWS Transit Gateway 的 VPN 连接可以支持 IPv4 或 IPv6 流量,您可以在创建新 VPN 连接时进行选择。要选择为 VPN 流量使用 IPv6,请将 Inside IP Version(内部 IP 版本)的 VPN 隧道选项设置为 IPv6。请注意,隧道终端节点和客户网关 IP 地址仅为 IPv4。
问:VPN 隧道的哪一端会启动互联网密钥交换 (IKE) 会话?
答:默认情况下,您的客户网关 (CGW) 必须启动 IKE。或者,AWS VPN 端点可以通过启用适当的选项来启动。
问:VPN 连接支持私有 IP 地址吗?
答:支持。专用 IP 站点到站点 VPN 功能允许您使用私有 IP 地址部署 VPN 连接到 AWS Transit Gateway。私有 IP VPN 在 AWS Direct Connect 中转虚拟接口(VIF)上运行。您可以在创建新的 VPN 连接时选择私有 IP 地址作为您的外部隧道 IP 地址。请注意,隧道端点和客户网关 IP 地址仅为 IPv4。
问:公有和私有 IP VPN 协议交互之间是否存在差异?
答:没有差异,对私有 IP 站点到站点 VPN 连接和公有 IP VPN 连接来说,IPSec 加密与密钥交换的运行方式相同。
问:我需要为私有 IP VPN 使用 Transit Gateway 吗?
答:是的,您需要使用 Transit Gateway 来部署私有 IP VPN 连接。此外,Transit Gateway 上连接的私有 IP VPN 要求使用 Direct Connect 挂载进行传输。您需要指定 Direct Connect 挂载 ID,同时配置 Transit Gateway 的私有 IP VPN 连接。多个私有 IP VPN 连接可使用相同的 Direct Connect 挂载进行传输。
问:私有 IP VPN 支持静态路由和 BGP 吗?
答:是的,私有 IP VPN 支持静态路由和采用 BGP 的动态路由。如果您的客户网关设备支持边界网关协议(BGP),请在配置您的站点到站点 VPN 连接时指定动态路由。若您的客户网关设备不支持 BGP,则指定静态路由。我们建议您使用支持 BGP 的设备(如果可以),因为 BGP 协议提供稳健的活体检测检查,可在第一条隧道发生故障时协助失效转移到第二条 VPN 隧道。
问:什么是适用于私有 IP VPN 挂载的 Transit Gateway 路由表关联和传播行为?
答:适用于私有 IP VPN 挂载的路由表关联和传播行为和任何其他中转网关连接相同。您可以将 Transit Gateway 路由表关联到私有 IP VPN 挂载,并从私有 IP VPN 挂载传播路由到任何 Transit Gateway 路由表。
问:我可以通过私有 IP VPN 实现多大的吞吐量?
答:和正常的站点到站点 VPN 连接一样,每个私有 IP VPN 连接支持 1.25Gbps 带宽。您可以在多个私有 IP VPN 连接中使用 ECMP(等价多路径)来提高有效带宽。例如,要通过私有 IP VPN 发送 10Gbps 的 DX 流量,您可以在 Transit Gateway 和客户网关配对之间使用 4 个已启用 ECMP 的私有 IP VPN 连接(4 个连接 x 2 条隧道 x 1.25Gbps 带宽)。
问:我可以在私有 IP VPN 和公有 IP VPN 连接之间发送 ECMP 流量吗?
答:不可以,您不可以在私有和公有 IP VPN 连接之间发送 ECMP 流量。私有 IP VPN 的 ECMP 仅适用于有私有 IP 地址的 VPN 连接。
问:私有 IP VPN 的 MTU(最大传输单位)是多少?
答:私有 IP VPN 连接支持 1500 字节的 MTU。
答:私有 IP VPN 可以和不同拥有者账户(而不是 Transit Gateway 账户拥有者)关联吗?
答:不可以,Transit Gateway 和站点到站点 VPN 连接必须归相同的 AWS 账户所有。
问:哪些 AWS 区域提供 AWS Site-to-Site VPN 服务和私有 IP VPN 功能?
答:除亚太地区(北京)和亚太地区(宁夏)AWS 区域以外,所有商业区域均提供 AWS Site-to-Site VPN 服务。所有提供 AWS Site-to-Site VPN 服务的 AWS 区域都支持私有 IP VPN 功能。
AWS Accelerated Site-to-Site VPN
问:为什么我需要使用 Accelerated Site-to-Site VPN?
答:VPN 连接面临不一致的可用性和性能,因为流量在到达 AWS 中的 VPN 终端节点之前会通过 Internet 上的多个公共网络。这些公共网络可能会发生拥塞。每个跳转都可能带来可用性和性能风险。Accelerated Site-to-Site VPN 通过使用高度可用且无拥塞的 AWS 全球网络,提高用户体验的一致性。
问:如何创建 Accelerated Site-to-Site VPN?
答:创建 VPN 连接时,将选项“启用加速”设置为“True”。
问:如何确定我现有的 VPN 连接是否为 Accelerated Site-to-Site VPN?
答:在 VPN 连接的说明中,“启用加速”的值应设置为“True”。
问:如何将现有的 Site-to-Site VPN 转换为 Accelerated Site-to-Site VPN?
答:创建新的 Accelerated Site-to-Site VPN,更新您的客户网关设备以连接到此新 VPN 连接,然后删除现有的 VPN 连接。您将获得新的隧道终端节点 Internet 协议 (IP) 地址,因为加速 VPN 使用与非加速 VPN 连接不同的 IP 地址范围。
问:虚拟网关和 AWS Transit Gateway 是否支持 Accelerated Site-to-Site VPN?
答:只有 Transit Gateway 支持 Accelerated Site-to-Site VPN。创建 VPN 连接时应指定 Transit Gateway。AWS 端的 VPN 终端节点在 Transit Gateway 上创建。
问:Accelerated Site-to-Site VPN 连接是否提供两条隧道以实现高可用性?
答:是的,每个 VPN 连接都提供两条隧道以实现高可用性。
问:Accelerated Site-to-Site VPN 和非 Accelerated Site-to-Site VPN 隧道之间是否存在协议差异?
答:需要 NAT-T,并且默认情况下为 Accelerated Site-to-Site VPN 连接启用它。另外,Accelerated VPN 和非 Accelerated VPN 隧道支持相同的 IP 安全 (IPSec) 和 Internet 密钥交换 (IKE) 协议,并且还提供相同的带宽、隧道选项、路由选项和身份验证类型。
问:Accelerated Site-to-Site VPN 是否提供两个网络区域以实现高可用性?
答:是的,我们从两个隧道终端节点的独立网络区域中选择 AWS Global Accelerator 全球互联网协议地址 (IP)。
问:Accelerated Site-to-Site VPN 是否是 AWS Global Accelerator 中的一个选项?
答:不是,Accelerated Site-to-Site VPN 只能通过 AWS Site-to-Site VPN 创建。无法通过 AWS Global Accelerator 控制台或 API 创建 Accelerated Site-to-Site VPN。
问:是否可以在公有 AWS Direct Connect 虚拟接口上使用 Accelerated VPN?
答:不能,公有 Direct Connect 虚拟接口上的 Accelerated Site-to-Site VPN 不可用。在大多数情况下,通过公有 Direct Connect 使用 Accelerated Site-to-Site VPN 不会带来加速优势。
问:哪些 AWS 区域提供 Accelerated Site-to-Site VPN?
答:Accelerated Site-to-Site VPN 目前在以下 AWS 区域提供:美国西部(俄勒冈州)、美国西部(北加利福尼亚)、美国东部(俄亥俄州)、美国东部(弗吉尼亚州北部)、南美洲(圣保罗)、中东(巴林)、欧洲地区(斯德哥尔摩)、欧洲地区(巴黎)、欧洲地区(米兰)、欧洲地区(伦敦)、欧洲地区(爱尔兰)、欧洲地区(法兰克福)、加拿大(中部)、亚太地区(东京)、亚太地区(悉尼)、亚太地区(新加坡)、亚太地区(首尔)、亚太地区(孟买)、亚太地区(香港)、非洲(开普敦)。
AWS Site-to-Site VPN 可见性和监控
问:AWS Site-to-Site VPN 支持哪些日志?
答:Site-to-Site VPN 连接日志包括与 IP 安全性(IPsec)隧道建立活动相关的详细信息,包括 Internet 密钥交换(IKE)协商和失效对端检测(DPD)协议消息。这些日志将每隔 5 分钟定期导出一次,并且将会尽量传输到 CloudWatch Logs。
问:是否会为至 Transit Gateways 和虚拟网关的 VPN 连接提供 Site-to-Site VPN 日志?
答:是,您可以为基于 Transit Gateway 和虚拟网关的 VPN 连接启用 Site-to-Site VPN 日志。
问:能否在现有 VPN 连接上启用 Site-to-Site VPN 日志?
可以,您可以在创建或修改连接时通过隧道选项启用 Site-to-Site VPN 日志。
问:为现有 VPN 连接启用 Site-to-Site VPN 日志后将会出现什么情况?
答:使用修改隧道选项为现有 VPN 连接启用 Site-to-Site VPN 日志时,通过该隧道的连接将会中断几分钟。每个 VPN 连接都提供两条隧道以实现高可用性。您可以一次在一个隧道上启用日志记录,并且仅会影响修改的隧道。有关更多信息,请参阅《AWS Site-to-Site VPN 用户指南》中的 Site-to-Site VPN 隧道端点更换。
AWS Client VPN 设置和管理
问:如何设置 AWS Client VPN?
答:IT 管理员创建 Client VPN 终端节点,将目标网络与该终端节点关联,并设置访问策略以允许最终用户连接。IT 管理员将 Client VPN 配置文件分发给最终用户。最终用户需要下载 OpenVPN 客户端并使用 Client VPN 配置文件来创建它们的 VPN 会话。
问:最终用户应该如何设置连接?
答:最终用户应将 OpenVPN 客户端下载到其设备。然后,用户将 AWS Client VPN 配置文件导入到 OpenVPN 客户端并启动 VPN 连接。
AWS Client VPN 连接
问:如何启用与其他网络的连接?
答:您可以连接到其他网络(如对等的 Amazon VPC)、通过虚拟网关连接到本地网络、或通过终端节点连接到 AWS 服务(如 S3)、通过 AWS PrivateLink 连接到网络或通过互联网网关连接其他资源。要启用连接,请在 Client VPN 路由表中添加到特定网络的路由,并添加授权规则以允许访问特定网络。
问:Client VPN 终端节点是否可以属于与关联子网不同的账户?
答:不可以。关联的子网必须与 Client VPN 终端节点位于同一账户中。
问:是否可以使用私有 IP 地址访问与设置 TLS 会话的区域不同的其他区域中 VPC 的资源?
答:您可以通过以下两个步骤实现此目的:首先,在目标 VPC(在不同区域)和 Client VPN 关联 VPC 之间设置跨区域对等连接。第二步,您应该在 Client VPN 终端节点中为目标 VPC 添加路由和访问规则。您的用户现在可以访问与 Client VPN 终端节点所在区域不同的区域中目标 VPC 中的资源。
问:Client VPN 支持哪些传输协议?
答:您可以为 VPN 会话选择 TCP 或 UDP。
问:AWS Client VPN 是否支持拆分隧道?
答:是。您可以选择创建启用或禁用拆分隧道的终端节点。如果以前创建的终端节点禁用了拆分隧道,则可以选择对其进行修改以启用拆分隧道。如果启用了拆分隧道,则去往终端节点上配置的路线的流量将通过 VPN 隧道进行路由。所有其他流量将通过您的本地网络接口路由。如果禁用了拆分隧道,则来自该设备的所有流量都将通过 VPN 隧道。
AWS Client VPN 身份验证和授权
问:AWS Client VPN 支持哪些身份验证机制?
答:AWS Client VPN 支持使用 AWS Directory Service 和基于证书的身份验证对 Active Directory 进行身份验证,以及使用 SAML-2.0 的联合身份验证。
问:是否可以使用本地 Active Directory 服务来对用户进行身份验证?
答:是。AWS Client VPN 与 AWS Directory Service 集成,让您可以连接到本地 Active Directory。
问:AWS Client VPN 是否支持相互身份验证?
答:是,AWS Client VPN 支持相互身份验证。启用相互身份验证后,客户必须上传用于在服务器上颁发客户端证书的根证书。
问:是否可以将客户端证书加入黑名单?
答:可以,AWS Client VPN 支持静态配置的证书吊销列表 (CRL)。
问:AWS Client VPN 是否支持客户携带自己的证书?
答:是。您应该上传证书、根证书颁发机构 (CA) 证书和服务器的私有密钥。这些文件将上传到 AWS Certificate Manager。
问:AWS Client VPN 是否与 AWS Certificate Manager (ACM) 集成以生成服务器证书?
答:是。可以将 ACM 用作链接到外部根 CA 的从属 CA。ACM 随后生成服务器证书。在此情况下,ACM 还执行服务器证书轮换。
问:AWS Client VPN 是否支持态势评估?
答:不支持。AWS Client VPN 不支持态势评估。其他 AWS 服务(如 Amazon Inspector)则支持态势评估。
问:AWS Client VPN 是否支持 Multi-Factor Authentication (MFA)?
答:支持,AWS Client VPN 支持使用 AWS Directory Service 和通过外部身份提供商(例如,Okta)对 Active Directory 进行 MFA。
问:AWS Client VPN 如何支持授权?
答:您可以配置授权规则,以限制可以访问网络的用户。对于指定的目标网络,您可以配置允许访问的 Active Directory 组/身份提供商组。只有属于此 Active Directory 组/身份提供商组的用户才能访问指定的网络。
问:AWS Client VPN 是否支持安全组?
答:Client VPN 支持安全组。您可以为关联组指定安全组。关联子网时,我们将自动应用子网 VPC 的默认安全组。
问:如何使用安全组限制仅通过 Client VPN 连接对我的应用程序的访问?
答:对于应用程序,可以指定仅允许从应用于关联子网的安全组进行访问。现在,您只能限制通过 Client VPN 连接的用户的访问权限。
问:在联合身份验证中,我能修改 IDP 元数据文档吗?
答:可以,您可以将新的元数据文档上传到与 Client VPN 终端节点关联的 IAM 身份提供商中。更新后的元数据将在 2 到 4 小时内反映出来。
问:我可以使用第三方 OpenVPN 客户端连接到配置了联合身份验证的 Client VPN 终端节点吗?
答:不能,您必须使用 AWS Client VPN 软件客户端连接到此终端节点。
AWS Client VPN 可见性和监控
问:AWS Client VPN 支持哪些日志?
答:Client VPN 尽力将连接日志导出到 CloudWatch Logs。这些日志将以 15 分钟的间隔定期导出。连接日志包括有关创建的和终止的连接请求的详细信息。
问:Client VPN 是否支持终端节点中的 Amazon VPC 流日志?
答:不支持。您可以在关联的 VPC 中使用 Amazon VPC 流日志。
问:我可以监控活动连接吗?
答:可以,您可以使用 CLI 或控制台查看终端节点的当前活动连接并终止活动连接。
问:是否可以使用 CloudWatch 按终端节点进行监控?
答:是。使用 CloudWatch 监视器,您可以查看每个 Client VPN 终端节点的入口和出口字节以及活动连接。
VPN 客户端
问:如何为 AWS Client VPN 部署免费软件客户端?
答:AWS Client VPN 的软件客户端与现有 AWS Client VPN 配置兼容。客户端支持使用由 AWS Client VPN 服务生成的 OpenVPN 配置文件添加配置文件。创建配置文件后,客户端将根据您的设置连接到终端节点。
问:使用 AWS Client VPN 的软件客户端需要额外支付多少费用?
答:软件客户端免费提供。您只需为使用的 AWS Client VPN 服务付费。
问:支持哪些类型的设备和操作系统版本?
答:桌面客户端目前支持 64 位 Windows 10、macOS(Mojave、Catalina 和 Big Sur)以及 Ubuntu Linux(18.04 和 20.04)设备。
问:我的连接配置文件是否会在我的所有设备之间同步?
答:否,但 IT 管理员可以提供用于其软件客户端部署的配置文件,以对设置进行预配置。
问:在我的设备上运行 AWS Client VPN 的软件客户端是否需要管理员权限?
答:是。您需要管理员权限才能在 Windows 和 Mac 上安装该应用程序。之后便不需要管理员权限了。
问:AWS Client VPN 的客户端使用哪种 VPN 协议?
答:AWS Client VPN(包括软件客户端)支持 OpenVPN 协议。
问:该软件客户端是否支持 AWS Client VPN 服务支持的所有功能?
答:是。该客户端支持 AWS Client VPN 服务提供的所有功能。
问:AWS Client VPN 的软件客户端在连接后是否允许局域网访问?
答:是,连接到 AWS VPN Client 后,您可以访问局域网。
问:该软件客户端支持哪些身份验证功能?
答:AWS Client VPN 软件客户端支持 AWS Client VPN 服务提供的所有身份验证机制,包括使用 AWS Directory Service 和基于证书的身份验证对 Active Directory 进行身份验证,以及使用 SAML-2.0 的联合身份验证。
问:AWS Client VPN 支持哪种类型的客户端日志记录?
答:当用户尝试连接时,客户端会记录连接设置的详细信息。连接尝试最多保存 30 天,文件大小不超过 90MB。
问:我可以混合使用 AWS Client VPN 的软件客户端和连接到 AWS Client VPN 终端节点的基于标准的 OpenVPN 客户端吗?
答:可以,可假定基于标准的 OpenVPN 客户端支持在 AWS Client VPN 终端节点上定义的身份验证类型。
问:在哪里可以下载 AWS Client VPN 的软件客户端?
答:您可以从 AWS Client VPN 产品页面下载通用客户端,无需进行任何自定义。IT 管理员可以选择将下载内容托管到自己的系统中。
问:可以在一台设备上运行多种类型的 VPN 客户端吗?
答:不建议在一台设备上运行多个 VPN 客户端。这可能会造成冲突,或者这些 VPN 客户端可能会相互干扰,导致连接失败。尽管如此,AWS Client VPN 可以与其他 VPN 客户端一起安装在设备上。
虚拟私有网关
问:这是什么功能?
答:对于任何新虚拟网关来说,借助可配置的私有自治系统编号 (ASN),客户可为 VPN 和 AWS Direct Connect 私有 VIF 在 BGP 会话的 Amazon 端设置 ASN。
问:使用这个功能的费用是多少?
答:此功能无需支付额外费用。
问:如何将要公布的 ASN 配置/分配为 Amazon 端 ASN?
答:您可以在创建新的虚拟私有网关(虚拟网关)期间将某个要公布的 ASN 配置/指定为 Amazon 端 ASN。您可以使用 VPC 控制台或 EC2/CreateVpnGateway API 调用创建虚拟网关。
问:在推出该功能之前,Amazon 指定了什么 ASN?
答:Amazon 指定了以下 ASN:欧洲西部(都柏林)9059;亚太地区(新加坡)17493 和亚太地区(东京)10124。为所有其他区域均指定了 ASN 7224;这些 ASN 被称为区域的“早期公有 ASN”。
问:能否使用任何 ASN – 公有和私有?
答:您可以将任意私有 ASN 分配到 Amazon 端。在 2018 年 6 月 30 日之前,您可以指定区域的“早期公有 ASN”,但不能指定任何其他公有 ASN。2018 年 6 月 30 日之后,Amazon 将提供 ASN 64512。
问:为什么不能为 BGP 会话的 Amazon 端分配公有 ASN?
答:Amazon 不会验证 ASN 的所有权,因此我们将 Amazon 端 ASN 限定为私有 ASN。我们要保护客户免受 BGP 欺诈。
问:我可以选择什么 ASN?
答:您可以选择任何私有 ASN。16 位私有 ASN 的范围是从 64512 到 65534。您还可以提供介于 4200000000 与 4294967294 之间的 32 位 ASN。
如果您没有选择 ASN,Amazon 将为虚拟网关提供默认 ASN。在 2018 年 6 月 30 日之前,Amazon 将继续提供区域的“早期公有 ASN”。2018 年 6 月 30 日之后,Amazon 将提供 ASN 64512。
问:如果我尝试为 BGP 会话的 Amazon 端指定公有 ASN,会怎么样?
答:一旦您尝试创建虚拟网关,我们就会要求您重新输入私有 ASN,除非它是区域的“早期公有 ASN”。
问:如果我不为 BGP 会话的 Amazon 端提供 ASN,那么 Amazon 会向我分配什么 ASN?
答:如果您没有选择 ASN,Amazon 将为虚拟网关提供一个 ASN。在 2018 年 6 月 30 日之前,Amazon 将继续提供区域的“早期公有 ASN”。2018 年 6 月 30 日之后,Amazon 将提供 ASN 64512。
问:我可以在哪里查看 Amazon 端 ASN?
答:您可以在 VPC 控制台的虚拟网关页面和 EC2/DescribeVpnGateways API 响应中查看 Amazon 端 ASN。
问:如果我有公有 ASN,它是否会与 AWS 端的私有 ASN 搭配使用?
答:会的。您可以为 BGP 会话的 Amazon 端配置一个私有 ASN,为您的一端配置一个公有 ASN。
问:我已配置了私有 VIF,并且想要为现有 VIF 上的 BGP 会话设置一个不同的 Amazon 端 ASN。我应如何进行此项更改?
答:您需要创建一个具有所需 ASN 的新虚拟网关,然后创建一个连接新创建的虚拟网关的新 VIF。您的设备配置还需要做出相应更改。
问:我已配置 VPN 连接,并且想要为这些 VPN 的 BGP 会话修改 Amazon 端 ASN。我应如何进行此项更改?
答:您将需要创建使用所需 ASN 的新虚拟网关,并在客户网关和新创建的虚拟网关之间重新创建 VPN 连接。
问:我已使用 Amazon 指定的公有 ASN 7224 配置了虚拟网关和私有 VIF/VPN 连接。如果 Amazon 自动生成用于新私有虚拟网关的 ASN,那么 Amazon 会为我指定什么 Amazon 端 ASN?
答:Amazon 将为用于新虚拟网关连接的 Amazon 端 ASN 指定 64512。
问:我已使用 Amazon 指定的公有 ASN 配置了虚拟网关和私有 VIF/VPN 连接。我想将 Amazon 指定的同一公有 ASN 用于我创建的新私有 VIF/VPN 连接。应如何操作?
答:您可以在创建新的虚拟私有网关(虚拟网关)期间将某个要公布的 ASN 配置/指定为 Amazon 端 ASN。您可以使用控制台或 EC2/CreateVpnGateway API 调用创建虚拟网关。如前文所述,在 2018 年 6 月 30 日之前,Amazon 将继续提供区域的“早期公有 ASN”。2018 年 6 月 30 日之后,Amazon 将提供 ASN 64512。
问:我已使用 Amazon 指定的公有 ASN 7224 配置了虚拟网关和私有 VIF/VPN 连接。如果 Amazon 使用同一虚拟网关来自动生成用于新私有 VIF/VPN 连接的 ASN,那么 Amazon 会为我指定什么 Amazon 端 ASN?
答:Amazon 将为用于新 VIF/VPN 连接的 Amazon 端 ASN 指定 7224。用于新私有 VIF/VPN 连接的 Amazon 端 ASN 继承的是您现有的虚拟网关并默认为该 ASN。
问:我向单个虚拟网关连接了多个私有 VIF。每个 VIF 可否拥有单独的 Amazon 端 ASN?
答:不能。您可以为每个虚拟网关分配/配置单独的 Amazon 端 ASN,但不能为每个 VIF 这样做。用于 VIF 的 Amazon 端 ASN 继承的是所连接虚拟网关的 Amazon 端 ASN。
问:我对单个虚拟网关创建了多个 VPN 连接。每个 VPN 连接可否拥有单独的 Amazon 端 ASN?
答:不可以,您可以为每个虚拟网关而不是每个 VPN 连接指定/配置单独的 Amazon 端 ASN。用于 VPN 连接的 Amazon 端 ASN 继承的是虚拟网关的 Amazon 端 ASN。
问:我可以在哪里选择我自己的 ASN?
答:在 VPC 控制台中创建虚拟网关时,取消选中询问您是否需要自动生成的 Amazon BGP ASN 并在 BGP 会话中为 Amazon 提供您自己的私有 ASN 的框。虚拟网关配置了 Amazon 端 ASN 后,使用虚拟网关创建的私有 VIF 或 VPN 连接将使用您的 Amazon 端 ASN。
问:我目前使用的是 CloudHub。我日后是不是一定要调整配置?
答:您不需要进行任何更改。
问:我想选择 32 位 ASN。32 位私有 ASN 的范围是什么?
答:我们支持介于 4200000000 与 4294967294 之间的 32 位 ASN。
问:创建了虚拟网关后,我能否更改或修改 Amazon 端 ASN?
答:不能。您不能在创建网关后修改 Amazon 端 ASN。您可以删除虚拟网关,并使用所需的 ASN 重新创建新的虚拟网关。
问:是否可以为 Amazon 端 ASN 配置/指定新的 API?
答:不可以。您可以使用与之前相同的 API (EC2/CreateVpnGateway) 执行该操作。我们刚向该 API 添加了新的参数 (amazonSideAsn)。
问:是否可以使用新的 API 来查看 Amazon 端 ASN?
答:您可以使用相同的 EC2/DescribeVpnGateways API 来查看 Amazon 端 ASN。我们刚向该 API 添加了新的参数(amazonSideAsn)。
问:我可以使用哪些 ASN 来配置我的客户网关(CGW)?
答:除非注明不可使用,否则您可以使用介于 1 – 2147483647 范围之间的 ASN。请参阅《AWS VPN 用户指南》的AWS Site-to-Site VPN 连接的客户网关选项部分。
问:我想对我的客户网关使用 32 位 ASN。支持 32 位私有范围 ASN 吗?
答:支持。请注意,客户网关配置当前不支持介于 4200000000 到 4294967294 范围之间的私有 ASN。 请参阅《AWS VPN 用户指南》的 AWS Site-to-Site VPN 连接的客户网关选项部分。
