如何在 AWS 和 Microsoft Azure 之间配置使用动态路由的 Site-to-Site VPN 连接？

解决方法

注意： 有关优化性能的详细信息，请参阅 AWS Site-to-Site VPN，选择正确的选项来优化性能。

先决条件

在配置连接之前，请检查以下各项：

• 确保您有与虚拟专用网关关联或连接到中转网关的 Amazon Virtual Private Cloud（Amazon VPC）CIDR。
• 确保 Amazon VPC CIDR 与 Microsoft Azure 网络 CIDR 不重叠。

AWS 配置

1.    创建客户网关。

2.    验证自治系统号（ASN）。您可以添加自己的选项，或使用默认选项（65000）。如果您选择默认值，AWS 会为您的客户网关提供 ASN。

3.    对于客户网关 IP 地址，输入 Microsoft Azure 公有 IP 地址。当您在 Microsoft Azure 门户中配置虚拟网络网关时，会为您提供此地址。有关详细信息，请参考本文中“Microsoft Azure 配置”部分的步骤 2。

4.    创建 AWS Site-to-Site VPN。

5.    从 Microsoft Azure 预留 APIPA 地址范围中为 Site-to-Site VPN 选择地址。这是必要步骤，因为您在为 Microsoft Azure 设置 BGP Site-to-Site VPN，而 AWS Site-to-Site VPN 设备为 BGP 使用 APIPA 地址。对于 IPv4 CIDR 地址内的隧道，此范围从 169.254.21.0 到 169.254.22.255。请参见以下示例：

地址示例： 169.254.21.0/30   

BGP IP 地址（AWS）： 169.254.21.1

BGP 对等 IP 地址（Microsoft Azure）： 169.254.21.2

6.    为网关选择虚拟专用网关或中转网关，然后为路由选项选择动态。

7.    选择您的 VPN ID，然后对于供应商选择一般。

8.    下载 AWS 配置文件。

如果您要与中转网关建立 Site-to-Site VPN 连接，确保您有正确的中转网关连接。同时对 Amazon VPC 和 Site-to-Site VPN 执行此操作。此外，启用路由传播。最初，只会传播 Amazon VPC 路由。在建立 BGP 之前，Microsoft Azure 虚拟网络 CIDR 不会在中转网关路由表中传播。

Microsoft Azure 配置

1.    按照 Microsoft 网站上的说明在 Microsoft Azure 中创建虚拟网络。

2.    按照 Microsoft 网站上的说明创建分配有公有 IP 地址的虚拟网络网关。使用以下详细信息：

**区域：**选择要在其中部署虚拟网络网关的区域。

网关类型： VPN

VPN 类型： 基于路由

**SKU：**选择符合您的工作负载、吞吐量、功能和 SLA 要求的 SKU。

虚拟网络： 虚拟网络与虚拟网络网关关联（类似于 AWS 环境中的 VPC）。

启用主动-主动模式： 选择禁用。这将创建新的公有 IP 地址，在 AWS 管理控制台中用作客户网关 IP 地址。

配置 BGP： 选择启用。

自定义 Azure APIPA BGP IP 地址： （169.254.21.2）。

注意： 您为虚拟网络网关指定的 ASN 必须与 AWS 管理控制台中的客户网关 ASN（65000）相同。

3.    按照 Microsoft 网站上的说明创建本地网络网关。使用以下详细信息：

IP 地址： 输入您在创建 AWS Site-to-Site VPN 时收到的隧道 1 的公有 IP 地址。您可以在从 AWS 管理控制台下载的配置文件中查看此信息。

地址空间： 输入 Amazon VPC CIDR 块。

自治系统号（ASN）： 输入 AWS ASN。

**BGP 对等 IP 地址：**输入 AWS BGP IP（如 AWS 配置的步骤 5 所示）。

4.    按照 Microsoft 网站上的说明在启用 BGP 的情况下在 Microsoft Azure 门户中创建 Site-to-Site VPN 连接。

**注意：**Microsoft Azure 端和 AWS 端的加密算法和 PSK 是相同的。

第 1 阶段（IKE）：

    Encryption: AES56  
    Authentication: SHA256  
    DH Group: 14

第 2 阶段（IPSEC）：

    Encryption: AES256  
    Authentication: SHA256  
    DH Group: 14 _(PFS2048)_ Diffie-Hellmen Group used in Quick Mode or Phase 2 is the PFS Group specified in Azure.   
    Lifetime: 3600s (Default on Azure portal is set to 27000s. AWS supports maximum of 3600s for IPSEC lifetime)

在 AWS 和 Microsoft Azure 之间使用 AWS Site-to-Site VPN 设置主动/主动 BGP 失效转移

1.    按照 Microsoft 网站上的说明创建虚拟网络网关。对于启用主动-主动模式，选择启用。这将提供两个公有 IP 地址。

2.    打开 AWS Site-to-Site VPN 控制台。使用 Microsoft Azure 门户中虚拟网络网关的两个公有 IP 地址创建两个客户网关。使用以下详细信息：

**IP 地址：**为第一个客户网关输入 Azure 公有节点 1 IP 地址，为第二个客户网关输入 Azure 公有节点 2 IP 地址。

**BGP ASN：**输入您在 Microsoft Azure 端配置的 ASN。

路由类型：选择动态。

3.    在 AWS 管理控制台中，创建两个连接到虚拟专用网关或中转网关的 Site-to-Site VPN 连接。对于两个 Site-to-Site VPN 连接的隧道 1，为 BGP 对等 IP 地址输入：

Site-to-Site VPN 1： 169.254.21.0/30

Site-to-Site VPN 2： 169.254.22.0/30

IP /30 地址中的第一个 IP 地址被分配给 AWS Site-to-Site VPN BGP IP 地址（169.254.21.1 或 69.254.22.1），第二个 IP 地址被分配给 Microsoft Azure BGP IP（169.254.21.2 或 69.254.22.2）。

4.    使用 Microsoft Azure 门户，创建两个 Microsoft Azure 本地网络网关。对于 IP 地址，使用您的 AWS Site-to-Site VPN 隧道中的隧道 1 公有 IP 地址。另外，请确保 ASN 与虚拟专用网关或中转网关匹配。

5.    使用 Microsoft Azure 门户，创建两个 Microsoft Azure Site-to-Site VPN 连接。确保每个连接都有 Microsoft Azure 虚拟网络网关，指向您在上一步中创建的本地网络网关。

启用中转网关 ECMP 支持

在主动/主动设置中，两个 Site-to-Site VPN 连接在中转网关上终止，两个 Site-to-Site VPN 均配置了单一隧道。因此，在可能有的四个 Site-to-Site VPN 隧道中，有两个处于活动状态。当中转网关启用 ECMP 支持时，可以在两个 Site-to-Site VPN 连接之间实现流量负载均衡。如果一个 Site-to-Site VPN 连接进入关闭状态，将通过 BGP 自动失效转移到冗余链接。

验证 VPN 连接状态

1. 建立 Site-to-Site VPN 配置后，检查 VPN 隧道状态是否处于正常运行状态。要完成此任务，在 Site-to-Site VPN 控制台上选择隧道详细信息选项卡。
2. 在 Microsoft Azure 门户上，验证 VPN 连接。确认状态为成功，之后在成功建立连接时状态变为已连接。
3. 在您的 Amazon VPC 中创建 Amazon Elastic Compute Cloud（Amazon EC2）实例，验证 AWS 和 Microsoft Azure 之间的连接。然后，按照 Microsoft 网站上的说明连接到 Microsoft Azure VM 私有 IP 地址，确认 Site-to-Site VPN 连接已建立。

有关详细信息，请参阅测试 Site-to-Site VPN 连接和我如何

检查 VPN 隧道的当前状态？