AWS VPN 由两种服务组成:AWS Site-to-Site VPN 和 AWS Client VPN。借助 AWS Site-to-Site VPN,您可以将本地网络或分支机构站点安全地连接到 Amazon Virtual Private Cloud (Amazon VPC)。而 AWS Client VPN 则可以让您将用户安全地连接到 AWS 或本地网络。

一般性问题

问:什么是 Client VPN 终端节点?

答:Client VPN 终端节点是一个区域结构,您可以配置该结构以使用该服务。最终用户的 VPN 会话在 Client VPN 终端节点处终止。作为配置 Client VPN 终端节点的一部分,您可以指定身份验证详细信息、服务器证书信息、客户端 IP 地址分配、日志记录和 VPN 选项。

问:什么是目标网络?

答:目标网络是与 Client VPN 终端节点关联的网络,它可以安全访问 AWS 资源以及本地资源。目前,目标网络是您的 Amazon VPC 中的子网。

计费

问:如何定义应计费 VPN 连接小时数?

答:应计费 VPN 连接小时数是指 VPN 连接处于可用状态的时间。您可以通过 AWS 管理控制台、CLI 或 API 确定 VPN 连接的状态。如果您不想再用 VPN 连接,只需终止 VPN 连接即可避免产生额外的 VPN 连接小时数。

问:价格是否含税?

答:除非另行说明,否则我们的价格不包括适用的税费(包括增值税和适用销售税)。使用日本账单地址的客户若要使用 AWS 服务,则需缴纳日本消费税。了解更多

AWS Site-to-Site VPN 设置和管理

问:可否使用 AWS 管理控制台控制和管理 AWS Site-to-Site VPN?

答:是。您可以使用 AWS 管理控制台管理 IPSec VPN 连接,例如 AWS Site-to-Site VPN。

问:我可以创建多少个客户网关、虚拟私有网关和 AWS Site-to-Site VPN 连接?

答:数量如下:

  • 每个 VPC 1 个互联网网关
  • 每个 AWS 区域的每个 AWS 账户 5 个虚拟私有网关
  • 每个 AWS 区域的每个 AWS 账户 50 个客户网关
  • 每个虚拟私有网关 10 个 IPsec VPN 连接

有关 VPC 限制的更多信息,请参阅 VPC 用户指南

AWS Site-to-Site VPN 连接

问:VPC 有哪些 VPN 连接选择?

答:您可以通过虚拟私有网关使用硬件 VPN 连接将 VPC 连接到企业数据中心。

问:没有公有 IP 地址的实例如何访问 Internet?

答:没有公有 IP 地址的实例可以通过以下两种方式之一访问 Internet:

没有公有 IP 地址的实例可以通过网络地址转换 (NAT) 网关或 NAT 实例来传输流量,从而访问 Internet。这些实例使用 NAT 网关或 NAT 实例的公有 IP 地址来访问 Internet。NAT 网关或 NAT 实例允许出站通信,但不允许 Internet 上的计算机主动连接具有私有地址的实例。

对于通过硬件 VPN 或 Direct Connect 进行连接的 VPC,实例可以将其 Internet 流量通过虚拟私有网关下传到现有的数据中心。它可从该处借助现有出口点和网络安全/监控设备访问 Internet。

问:AWS Site-to-Site VPN 连接如何与 Amazon VPC 搭配使用?

答:AWS Site-to-Site VPN 连接将 VPC 与数据中心连接。Amazon 支持 Internet 安全协议 (IPsec) VPN 连接。在 VPC 与数据中心之间传输的数据通过加密的 VPN 连接路由,以保护传输中的数据的机密性和完整性。建立 Site-to-Site VPN 连接不需要使用互联网网关。

问:什么是 IPSec?

答:IPsec 是一个协议套件,通过身份验证和加密数据流的每个 IP 数据包来保护 Internet 协议 (IP) 通信。

问:可以使用哪些客户网关设备连接 Amazon VPC?

答:您可以创建两种 AWS Site-to-Site VPN 连接:静态路由 VPN 连接,以及动态路由 VPN 连接。支持静态路由 VPN 连接的客户网关设备必须能够:

使用预共享密钥建立 IKE 安全关联

以隧道模式建立 IPsec 安全关联

利用 AES 128 位、256 位、128 位 GCM-16 或 256 位 GCM-16 加密功能

使用 SHA-1、SHA-2 (256)、SHA2 (384) 或 SHA2 (512) 哈希功能

在“Group 2”模式下使用 Diffie-Hellman (DH) Perfect Forward Secrecy 或我们支持的某个其他 DH 组

加密前执行数据包分段

除了上述功能外,支持动态路由 Site-to-Site VPN 连接的设备还必须能够:

建立边界网关协议 (BGP) 对

将隧道绑定到逻辑接口(基于路由的 VPN)

利用 IPsec 失效对端检测

问:Amazon 支持哪些 Diffie-Hellman 组?

答:我们支持 Phase 1 和 Phase 2 中的以下 Diffie-Hellman (DH) 组。

Phase 1 DH 组 2、14-24。

Phase 2 DH 组 2、5、14-24。

问:当需要更新 IKE 密钥时,AWS 建议使用哪种算法?

答:默认情况下,AWS 端的 VPN 终端节点会建议 AES-128、SHA-1 和 DH 组 2。如果您想提出更新密钥的特定建议,建议您使用“修改 VPN 隧道选项”将隧道选项限制为所需的特定 VPN 参数。

问:哪些客户网关设备已知可以使用 Amazon VPC?

答:在网络管理员指南中,您将找到满足上述要求的设备列表,这些设备已知可与硬件 VPN 连接搭配使用,而且命令行工具也支持自动生成适用于设备的配置文件。

问:如果我的设备不在列表,何处可以找到有关将它用于 Amazon VPC 的更多信息?

答:建议您查看 Amazon VPC 论坛,因为其他客户可能已在使用相同的设备。

问:Site-to-Site VPN 连接的近似最大吞吐量是多少?

答:每个 AWS Site-to-Site VPN 连接都有两条隧道,每条隧道支持最高 1.25Gbps 的最大吞吐量。如果您的 VPN 连接到虚拟私有网关,则适用总吞吐量限制。

问:虚拟私有网关是否有总吞吐量限制?

答:虚拟私有网关对每种连接类型都有总吞吐量限制。连接到同一虚拟私有网关的多个 VPN 连接都受从 AWS 到本地最高 1.25Gbps 的总吞吐量限制的约束。对于虚拟私有网关上的 AWS Direct Connect 连接,其吞吐量受 Direct Connect 物理端口本身约束。要连接到多个 VPC 并获得更高的吞吐量限额,请使用 AWS Transit Gateway

问:哪些因素会影响 VPN 连接的吞吐量?

答:VPN 连接的吞吐量取决于多个因素,如客户网关的功能、连接的容量、平均数据包大小、所用的协议(TCP 与UDP)以及客户网关和虚拟私有网关之间的网络延迟。

问:Site-to-Site VPN 连接每秒最多传输大约多少个数据包?

答:每个 AWS Site-to-Site VPN 连接都有两条隧道,每条隧道支持每秒最多传输 140000 个数据包。 

问:有哪些工具可以帮助我对 Site-to-Site VPN 配置进行故障排除?

答:DescribeVPNConnection API 可以显示 VPN 连接的状态,包括各个 VPN 隧道的状态(“up”/“down”),并在有隧道处于“down”状态时显示对应的错误消息。AWS 管理控制台中也可显示此类信息。

问:如何将 VPC 与我的企业数据中心连接?

答:在现有网络和 Amazon VPC 之间建立硬件 VPN 连接,以便可以与 VPC 中的 Amazon EC2 实例交互,就像它们位于您的现有网络中一样。在通过硬件 VPN 连接访问 VPC 时,AWS 不会对 Amazon EC2 实例执行网络地址转换 (NAT)

问:可以对路由器或防火墙后的客户网关进行 NAT 吗?

答:使用 NAT 设备的公有 IP 地址。

问:客户网关地址需要使用哪个 IP 地址?

答:使用 NAT 设备的公有 IP 地址。

问:如何在我的连接上禁用 NAT-T?

答:您需要在设备上禁用 NAT-T。如果您不打算使用 NAT-T 且未在设备上禁用它,我们会尝试在 UDP 端口 4500 上建立隧道。如果未开放该端口,则无法建立隧道。

问:我打算在 NAT 后面部署多个客户网关,该如何配置?

答:您需要在设备上禁用 NAT-T。如果您不打算使用 NAT-T 且未在设备上禁用它,我们会尝试在 UDP 端口 4500 上建立隧道。如果未开放该端口,则无法建立隧道。

问:每条隧道可同时建立多少个 IPsec 安全关联?

答:AWS VPN 服务是一种基于路由的解决方案,因此当您使用基于路由的配置时,不存在 SA 数量限制。但是,如果您使用的是基于策略的解决方案,则只能使用一个 SA,因为该服务是基于路由的解决方案。

问:可否向 Internet 公布我的 VPC 公有 IP 地址范围,并将通过我的数据中心的流量从 Site-to-Site VPN 路由到我的 VPC?

答:可以。您可以通过 VPN 连接路由流量,也可从家庭网络公布该地址范围。

问:我的 VPN 连接最多将向我的客户网关设备公布多少路由?

答:您的 VPN 连接最多将向客户网关设备公布 1000 个路由。对于虚拟私有网关上的 VPN,公布的路由源包括 VPC 路由、其他 VPN 路由和来自 DX 虚拟接口的路由。对于 AWS Transit Gateway 上的 VPN,公布的路由来自与 VPN 连接相关的路由表。如果尝试发送的路由超过 1000 个,则仅会公布 1000 个路由子集。 

问:我的客户网关设备最多可向我的 VPN 连接公布多少路由?

答:您可以从您的客户网关设备最多向 VPN 连接公布 100 个路由。对于包含静态路由的 VPN 连接,您将不能添加超过 100 个静态路由。对于包含 BGP 的 VPN 连接,如果您尝试公布超过 100 个路由,BGP 会话将会重置。

问:VPN 连接是否支持 IPv6 流量?

答:是。与 AWS Transit Gateway 的 VPN 连接可以支持 IPv4 或 IPv6 流量,您可以在创建新 VPN 连接时进行选择。要选择为 VPN 流量使用 IPv6,请将 Inside IP Version(内部 IP 版本)的 VPN 隧道选项设置为 IPv6。请注意,隧道终端节点和客户网关 IP 地址仅为 IPv4。

问:VPN 隧道的哪一端会启动互联网密钥交换 (IKE) 会话?

答:默认情况下,您的客户网关 (CGW) 必须启动 IKE。或者,AWS VPN 终端节点可以通过启用适当的选项来启动。

AWS Accelerated Site-to-Site VPN

问:为什么我需要使用 Accelerated Site-to-Site VPN?

答:VPN 连接面临不一致的可用性和性能,因为流量在到达 AWS 中的 VPN 终端节点之前会通过 Internet 上的多个公共网络。这些公共网络可能会发生拥塞。每个跳转都可能带来可用性和性能风险。Accelerated Site-to-Site VPN 通过使用高度可用且无拥塞的 AWS 全球网络,提高用户体验的一致性。

问:如何创建 Accelerated Site-to-Site VPN?

答:创建 VPN 连接时,将选项“启用加速”设置为“True”。

问:如何确定我现有的 VPN 连接是否为 Accelerated Site-to-Site VPN?

答:在 VPN 连接的说明中,“启用加速”的值应设置为“True”。

问:如何将现有的 Site-to-Site VPN 转换为 Accelerated Site-to-Site VPN?

答:创建新的 Accelerated Site-to-Site VPN,更新您的客户网关设备以连接到此新 VPN 连接,然后删除现有的 VPN 连接。您将获得新的隧道终端节点 Internet 协议 (IP) 地址,因为加速 VPN 使用与非加速 VPN 连接不同的 IP 地址范围。

问:虚拟网关和 AWS Transit Gateway 是否支持 Accelerated Site-to-Site VPN?

答:只有 Transit Gateway 支持 Accelerated Site-to-Site VPN。创建 VPN 连接时应指定 Transit Gateway。AWS 端的 VPN 终端节点在 Transit Gateway 上创建。

问:Accelerated Site-to-Site VPN 连接是否提供两条隧道以实现高可用性?

答:是的,每个 VPN 连接都提供两条隧道以实现高可用性。

问:Accelerated Site-to-Site VPN 和非 Accelerated Site-to-Site VPN 隧道之间是否存在协议差异?

答:需要 NAT-T,并且默认情况下为 Accelerated Site-to-Site VPN 连接启用它。另外,Accelerated VPN 和非 Accelerated VPN 隧道支持相同的 IP 安全 (IPSec) 和 Internet 密钥交换 (IKE) 协议,并且还提供相同的带宽、隧道选项、路由选项和身份验证类型。

问:Accelerated Site-to-Site VPN 是否提供两个网络区域以实现高可用性?

答:是的,我们从两个隧道终端节点的独立网络区域中选择 AWS Global Accelerator 全球互联网协议地址 (IP)。

问:Accelerated Site-to-Site VPN 是否是 AWS Global Accelerator 中的一个选项?

答:不是,Accelerated Site-to-Site VPN 只能通过 AWS Site-to-Site VPN 创建。无法通过 AWS Global Accelerator 控制台或 API 创建 Accelerated Site-to-Site VPN。

问:是否可以在公有 AWS Direct Connect 虚拟接口上使用 Accelerated VPN?

答:不能,公有 Direct Connect 虚拟接口上的 Accelerated Site-to-Site VPN 不可用。在大多数情况下,通过公有 Direct Connect 使用 Accelerated Site-to-Site VPN 不会带来加速优势。

问:哪些 AWS 区域提供 Accelerated Site-to-Site VPN?

答:Accelerated Site-to-Site VPN 目前在以下 AWS 区域提供:美国西部(俄勒冈)、美国西部(加利福尼亚北部)、美国东部(俄亥俄)、美国东部(弗吉尼亚北部)、南美洲(圣保罗)、中东(巴林)、欧洲(斯德哥尔摩)、欧洲(巴黎)、欧洲(米兰)、欧洲(伦敦)、欧洲(爱尔兰)、欧洲(法兰克福)、加拿大(中部)、亚太地区(东京)、亚太地区(悉尼)、亚太地区(新加坡)、亚太地区(首尔)、亚太地区(孟买)、亚太地区(香港)、非洲(开普敦)。

AWS Client VPN 设置和管理

问:如何设置 AWS Client VPN?

答:IT 管理员创建 Client VPN 终端节点,将目标网络与该终端节点关联,并设置访问策略以允许最终用户连接。IT 管理员将 Client VPN 配置文件分发给最终用户。最终用户需要下载 OpenVPN 客户端并使用 Client VPN 配置文件来创建它们的 VPN 会话。

问:最终用户应该如何设置连接?

答:最终用户应将 OpenVPN 客户端下载到其设备。然后,用户将 AWS Client VPN 配置文件导入到 OpenVPN 客户端并启动 VPN 连接。

AWS Client VPN 连接

问:如何启用与其他网络的连接?

答:您可以连接到其他网络(如对等的 Amazon VPC)、通过虚拟网关连接到本地网络、或通过终端节点连接到 AWS 服务(如 S3)、通过 AWS PrivateLink 连接到网络或通过互联网网关连接其他资源。要启用连接,请在 Client VPN 路由表中添加到特定网络的路由,并添加授权规则以允许访问特定网络。

问:Client VPN 终端节点是否可以属于与关联子网不同的账户?

答:不可以。关联的子网必须与 Client VPN 终端节点位于同一账户中。

问:是否可以使用私有 IP 地址访问与设置 TLS 会话的区域不同的其他区域中 VPC 的资源?

答:您可以通过以下两个步骤实现此目的:首先,在目标 VPC(在不同区域)和 Client VPN 关联 VPC 之间设置跨区域对等连接。第二步,您应该在 Client VPN 终端节点中为目标 VPC 添加路由和访问规则。您的用户现在可以访问与 Client VPN 终端节点所在区域不同的区域中目标 VPC 中的资源。

问:Client VPN 支持哪些传输协议?

答: 您可以为 VPN 会话选择 TCP 或 UDP。

问:AWS Client VPN 是否支持拆分隧道?

答:是。您可以选择创建启用或禁用拆分隧道的终端节点。如果以前创建的终端节点禁用了拆分隧道,则可以选择对其进行修改以启用拆分隧道。如果启用了拆分隧道,则去往终端节点上配置的路线的流量将通过 VPN 隧道进行路由。所有其他流量将通过您的本地网络接口路由。如果禁用了拆分隧道,则来自该设备的所有流量都将通过 VPN 隧道。

AWS Client VPN 身份验证和授权

问:AWS Client VPN 支持哪些身份验证机制?

答:AWS Client VPN 支持使用 AWS Directory Service 和基于证书的身份验证对 Active Directory 进行身份验证,以及使用 SAML-2.0 的联合身份验证。

问:是否可以使用本地 Active Directory 服务来对用户进行身份验证?

答:是。AWS Client VPN 与 AWS Directory Service 集成,让您可以连接到本地 Active Directory。

问:AWS Client VPN 是否支持相互身份验证?

答:是,AWS Client VPN 支持相互身份验证。启用相互身份验证后,客户必须上传用于在服务器上颁发客户端证书的根证书。

问:是否可以将客户端证书加入黑名单?

答:可以,AWS Client VPN 支持静态配置的证书吊销列表 (CRL)。

问:AWS Client VPN 是否支持客户携带自己的证书?

答:是。您应该上传证书、根证书颁发机构 (CA) 证书和服务器的私有密钥。这些文件将上传到 AWS Certificate Manager。

问:AWS Client VPN 是否与 AWS Certificate Manager (ACM) 集成以生成服务器证书?

答:是。可以将 ACM 用作链接到外部根 CA 的从属 CA。ACM 随后生成服务器证书。在此情况下,ACM 还执行服务器证书轮换。

问:AWS Client VPN 是否支持态势评估?

答:不支持。AWS Client VPN 不支持态势评估。其他 AWS 服务(如 Amazon Inspector)则支持态势评估。

问:AWS Client VPN 是否支持 Multi-Factor Authentication (MFA)?

答:支持,AWS Client VPN 支持使用 AWS Directory Service 和通过外部身份提供商(例如,Okta)对 Active Directory 进行 MFA。

问:AWS Client VPN 如何支持授权?

答:您可以配置授权规则,以限制可以访问网络的用户。对于指定的目标网络,您可以配置允许访问的 Active Directory 组/身份提供商组。只有属于此 Active Directory 组/身份提供商组的用户才能访问指定的网络。

问:AWS Client VPN 是否支持安全组?

答:Client VPN 支持安全组。您可以为关联组指定安全组。关联子网时,我们将自动应用子网 VPC 的默认安全组。

问:如何使用安全组限制仅通过 Client VPN 连接对我的应用程序的访问?

答:对于应用程序,可以指定仅允许从应用于关联子网的安全组进行访问。现在,您只能限制通过 Client VPN 连接的用户的访问权限。

问:在联合身份验证中,我能修改 IDP 元数据文档吗?

答:可以,您可以将新的元数据文档上传到与 Client VPN 终端节点关联的 IAM 身份提供商中。更新后的元数据将在 2 到 4 小时内反映出来。

问:我可以使用第三方 OpenVPN 客户端连接到配置了联合身份验证的 Client VPN 终端节点吗?

答:不能,您必须使用 AWS Client VPN 软件客户端连接到此终端节点。

AWS Client VPN 可见性和监控

问:AWS Client VPN 支持哪些日志?

答:Client VPN 尽力将连接日志导出到 CloudWatch Logs。这些日志将以 15 分钟的间隔定期导出。连接日志包括有关创建的和终止的连接请求的详细信息。

问:Client VPN 是否支持终端节点中的 Amazon VPC 流日志?

答:不支持。您可以在关联的 VPC 中使用 Amazon VPC 流日志。

问:我可以监控活动连接吗?

答:可以,您可以使用 CLI 或控制台查看终端节点的当前活动连接并终止活动连接。

问:是否可以使用 CloudWatch 按终端节点进行监控?

答:是。使用 CloudWatch 监视器,您可以查看每个 Client VPN 终端节点的入口和出口字节以及活动连接。

VPN 客户端

问:如何为 AWS Client VPN 部署免费软件客户端?

答:AWS Client VPN 的软件客户端与现有 AWS Client VPN 配置兼容。客户端支持使用由 AWS Client VPN 服务生成的 OpenVPN 配置文件添加配置文件。创建配置文件后,客户端将根据您的设置连接到终端节点。

问:使用 AWS Client VPN 的软件客户端需要额外支付多少费用?

答:软件客户端免费提供。您只需为使用的 AWS Client VPN 服务付费。

问:支持哪些类型的设备和操作系统版本?

答:目前支持 64 位 Windows 10 和 macOS(High Sierra、Mojave 和 Catalina)台式机设备。新操作系统发布后,我们将迅速添加对它们的支持。

问:我的连接配置文件是否会在我的所有设备之间同步?

答:否,但 IT 管理员可以提供用于其软件客户端部署的配置文件,以对设置进行预配置。

问:在我的设备上运行 AWS Client VPN 的软件客户端是否需要管理员权限?

答:是。您需要管理员权限才能在 Windows 和 Mac 上安装该应用程序。之后便不需要管理员权限了。

问:AWS Client VPN 的客户端使用哪种 VPN 协议?

答:AWS Client VPN(包括软件客户端)支持 OpenVPN 协议。

问:该软件客户端是否支持 AWS Client VPN 服务支持的所有功能?

答:是。该客户端支持 AWS Client VPN 服务提供的所有功能。

问:AWS Client VPN 的软件客户端在连接后是否允许局域网访问?

答:是,连接到 AWS VPN Client 后,您可以访问局域网。

问:该软件客户端支持哪些身份验证功能?

答:AWS Client VPN 软件客户端支持 AWS Client VPN 服务提供的所有身份验证机制,包括使用 AWS Directory Service 和基于证书的身份验证对 Active Directory 进行身份验证,以及使用 SAML-2.0 的联合身份验证。

问:AWS Client VPN 支持哪种类型的客户端日志记录?

答:当用户尝试连接时,客户端会记录连接设置的详细信息。连接尝试最多保存 30 天,文件大小不超过 90MB。

问:我可以混合使用 AWS Client VPN 的软件客户端和连接到 AWS Client VPN 终端节点的基于标准的 OpenVPN 客户端吗?

答:可以,可假定基于标准的 OpenVPN 客户端支持在 AWS Client VPN 终端节点上定义的身份验证类型。

问:在哪里可以下载 AWS Client VPN 的软件客户端?

答:您可以从 AWS Client VPN 产品页面下载通用客户端,无需进行任何自定义。IT 管理员可以选择将下载内容托管到自己的系统中。

问:可以在一台设备上运行多种类型的 VPN 客户端吗?

答:不建议在一台设备上运行多个 VPN 客户端。这可能会造成冲突,或者这些 VPN 客户端可能会相互干扰,导致连接失败。尽管如此,AWS Client VPN 可以与其他 VPN 客户端一起安装在设备上。

虚拟私有网关

问:这是什么功能?

答:对于任何新虚拟网关来说,借助可配置的私有自治系统编号 (ASN),客户可为 VPN 和 AWS Direct Connect 私有 VIF 在 BGP 会话的 Amazon 端设置 ASN。

问:使用这个功能的费用是多少?

答:此功能无需支付额外费用。

问:如何将要公布的 ASN 配置/分配为 Amazon 端 ASN?

答:您可以在创建新的虚拟私有网关(虚拟网关)期间将某个要公布的 ASN 配置/指定为 Amazon 端 ASN。您可以使用 VPC 控制台或 EC2/CreateVpnGateway API 调用创建虚拟网关。

问:在推出该功能之前,Amazon 指定了什么 ASN?

答:Amazon 指定了以下 ASN:欧洲西部(都柏林)9059;亚太地区(新加坡)17493 和亚太地区(东京)10124。为所有其他区域均指定了 ASN 7224;这些 ASN 被称为区域的“早期公有 ASN”。

问:能否使用任何 ASN – 公有和私有?

答:您可以将任意私有 ASN 分配到 Amazon 端。在 2018 年 6 月 30 日之前,您可以指定区域的“早期公有 ASN”,但不能指定任何其他公有 ASN。2018 年 6 月 30 日之后,Amazon 将提供 ASN 64512。

问:为什么不能为 BGP 会话的 Amazon 端分配公有 ASN?

答:Amazon 不会验证 ASN 的所有权,因此我们将 Amazon 端 ASN 限定为私有 ASN。我们要保护客户免受 BGP 欺诈。

问:我可以选择什么 ASN?

答:您可以选择任何私有 ASN。16 位私有 ASN 的范围是从 64512 到 65534。您还可以提供介于 4200000000 与 4294967294 之间的 32 位 ASN。

如果您没有选择 ASN,Amazon 将为虚拟网关提供默认 ASN。在 2018 年 6 月 30 日之前,Amazon 将继续提供区域的“早期公有 ASN”。2018 年 6 月 30 日之后,Amazon 将提供 ASN 64512。

问:如果我尝试为 BGP 会话的 Amazon 端指定公有 ASN,会怎么样?

答:一旦您尝试创建虚拟网关,我们就会要求您重新输入私有 ASN,除非它是区域的“早期公有 ASN”。

问:如果我不为 BGP 会话的 Amazon 端提供 ASN,那么 Amazon 会向我分配什么 ASN?

答:如果您没有选择 ASN,Amazon 将为虚拟网关提供一个 ASN。在 2018 年 6 月 30 日之前,Amazon 将继续提供区域的“早期公有 ASN”。2018 年 6 月 30 日之后,Amazon 将提供 ASN 64512。

问:我可以在哪里查看 Amazon 端 ASN?

答:您可以在 VPC 控制台的虚拟网关页面和 EC2/DescribeVpnGateways API 响应中查看 Amazon 端 ASN。

问:如果我有公有 ASN,它是否会与 AWS 端的私有 ASN 搭配使用?

答:会的。您可以为 BGP 会话的 Amazon 端配置一个私有 ASN,为您的一端配置一个公有 ASN。

问:我已配置了私有 VIF,并且想要为现有 VIF 上的 BGP 会话设置一个不同的 Amazon 端 ASN。我应如何进行此项更改?

答:您需要创建一个具有所需 ASN 的新虚拟网关,然后创建一个连接新创建的虚拟网关的新 VIF。您的设备配置还需要做出相应更改。

问:我已配置 VPN 连接,并且想要为这些 VPN 的 BGP 会话修改 Amazon 端 ASN。我应如何进行此项更改?

答:您将需要创建使用所需 ASN 的新虚拟网关,并在客户网关和新创建的虚拟网关之间重新创建 VPN 连接。

问:我已使用 Amazon 指定的公有 ASN 7224 配置了虚拟网关和私有 VIF/VPN 连接。如果 Amazon 自动生成用于新私有虚拟网关的 ASN,那么 Amazon 会为我指定什么 Amazon 端 ASN?

答:Amazon 将为用于新虚拟网关连接的 Amazon 端 ASN 指定 64512。

问:我已使用 Amazon 指定的公有 ASN 配置了虚拟网关和私有 VIF/VPN 连接。我想将 Amazon 指定的同一公有 ASN 用于我创建的新私有 VIF/VPN 连接。应如何操作?

答:您可以在创建新的虚拟私有网关(虚拟网关)期间将某个要公布的 ASN 配置/指定为 Amazon 端 ASN。您可以使用控制台或 EC2/CreateVpnGateway API 调用创建虚拟网关。如前文所述,在 2018 年 6 月 30 日之前,Amazon 将继续提供区域的“早期公有 ASN”。2018 年 6 月 30 日之后,Amazon 将提供 ASN 64512。

问:我已使用 Amazon 指定的公有 ASN 7224 配置了虚拟网关和私有 VIF/VPN 连接。如果 Amazon 使用同一虚拟网关来自动生成用于新私有 VIF/VPN 连接的 ASN,那么 Amazon 会为我指定什么 Amazon 端 ASN?

答:Amazon 将为用于新 VIF/VPN 连接的 Amazon 端 ASN 指定 7224。用于新私有 VIF/VPN 连接的 Amazon 端 ASN 继承的是您现有的虚拟网关并默认为该 ASN。

问:我向单个虚拟网关连接了多个私有 VIF。每个 VIF 可否拥有单独的 Amazon 端 ASN?

答:不能。您可以为每个虚拟网关分配/配置单独的 Amazon 端 ASN,但不能为每个 VIF 这样做。用于 VIF 的 Amazon 端 ASN 继承的是所连接虚拟网关的 Amazon 端 ASN。

问:我对单个虚拟网关创建了多个 VPN 连接。每个 VPN 连接可否拥有单独的 Amazon 端 ASN?

答:不可以,您可以为每个虚拟网关而不是每个 VPN 连接指定/配置单独的 Amazon 端 ASN。用于 VPN 连接的 Amazon 端 ASN 继承的是虚拟网关的 Amazon 端 ASN。

问:我可以在哪里选择我自己的 ASN?

答:在 VPC 控制台中创建虚拟网关时,取消选中询问您是否需要自动生成的 Amazon BGP ASN 并在 BGP 会话中为 Amazon 提供您自己的私有 ASN 的框。虚拟网关配置了 Amazon 端 ASN 后,使用虚拟网关创建的私有 VIF 或 VPN 连接将使用您的 Amazon 端 ASN。

问:我目前使用的是 CloudHub。我日后是不是一定要调整配置?

答:您不需要进行任何更改。

问:我想选择 32 位 ASN。32 位私有 ASN 的范围是什么?

答:我们支持介于 4200000000 与 4294967294 之间的 32 位 ASN。

问:创建了虚拟网关后,我能否更改或修改 Amazon 端 ASN?

答:不能。您不能在创建网关后修改 Amazon 端 ASN。您可以删除虚拟网关,并使用所需的 ASN 重新创建新的虚拟网关。

问:是否可以为 Amazon 端 ASN 配置/指定新的 API?

答:不可以。您可以使用与之前相同的 API (EC2/CreateVpnGateway) 执行该操作。我们刚向该 API 添加了新的参数 (amazonSideAsn)。

问:是否可以使用新的 API 来查看 Amazon 端 ASN?

答:您可以使用相同的 EC2/DescribeVpnGateways API 来查看 Amazon 端 ASN。我们刚向该 API 添加了新的参数 (amazonSideAsn)。

Product-Page_Standard-Icons_01_Product-Features_SqInk
了解有关定价的更多信息

定价简单,因此可以轻松了解适合您的产品。

了解更多 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
注册免费账户

立即享受 AWS 免费套餐。 

注册 
Product-Page_Standard-Icons_03_Start-Building_SqInk
开始在控制台中构建

开始在 AWS 控制台中使用 AWS VPN 进行构建。

开始使用