如何在 AWS 和 IBM Cloud 之间配置托管的基于路由的静态 VPN？

解决方法

要在 AWS 和 IBM Cloud 之间建立 Site-to-Site VPN 连接，您必须执行以下操作：

• 在 IBM 端，配置虚拟私有云（VPC）、子网、路由表、安全组和访问控制列表（ACL）规则。
• 在 AWS 端，配置 VPC、子网和路由。

AWS 配置

1. 打开 Amazon VPC 控制台，然后创建客户网关。由于您尚不知道 IBM VPN 网关的 IP 地址，因此您可以添加任何您偏好的详细信息。稍后，您可以指定正确的客户网关 IP 地址和自治系统号（ASN）。

   **请注意：**您必须使用 AWS 创建客户网关。Amazon VPC 控制台允许您在配置客户网关后对其进行更改，但是 IBM Cloud 不允许这样的操作。

2. 打开 Amazon VPC 控制台，创建一个虚拟私有网关，然后将其附加到您的 Amazon VPC。

3. 创建 VPN 连接。对于虚拟私有网关，选择您创建的虚拟私有网关的名称。对于客户网关 ID，选择您创建的客户网关的 ID。对于路由选项，选择静态。（可选）在 Tunnel 1 高级选项下，启用高级加密算法。

4. 下载通用 Site-to-Site VPN 配置文件。使用此文件中的信息在 IBM Cloud 中设置 VPN 隧道。

IBM Cloud 配置

1. 打开 IBM Cloud，按照 IBM 网站上的说明创建 IKE 策略。为您的策略输入一个名称，然后输入以下详细信息：

   区域： 华盛顿特区
   IKE 版本： 2
   身份验证：sha1
   加密：aes128
   Diffie-Hellman 组： 2
   密钥寿命： 28800

2. 创建 IPsec 策略。为您的策略输入一个名称，然后输入以下详细信息：

   区域： 华盛顿特区
   IKE 版本： 2
   身份验证：sha1
   完全正向保密： 已开启
   Diffie-Hellman 组： 2
   密钥寿命： 3600

3. 在 IBM Cloud 中创建 Site-to-Site VPN 连接。输入您创建的 IKE 和 IPsec 策略的详细信息。要创建 VPN 连接，您需要来自 AWS 的对等网关 IP 地址和预共享密钥。在继续配置 VPN 之前，请记下从 AWS 下载的配置文件中的这些信息。

4. 在 IBM 端创建 Site-to-Site VPN 后，您可以查看 Tunnel1 的公共 IP 地址。记下该 IP 地址，在后续步骤中会用到。

在 Amazon VPC 控制台上配置 VPN 网关

1. 打开 Amazon VPC 控制台，然后创建客户网关。对于 IP 地址，请输入 IBM VPN 的 IP 地址，而不是辅助 IP 地址。
2. 导航到您的 Site-to-Site VPN 连接。选择操作，然后选择修改 VPN 连接。更新客户网关的目标类型。选择使用 IBM VPN IP 地址的新客户网关。

**请注意：**AWS 修改和更新 Site-to-Site VPN 连接需要几分钟时间。

确认隧道状态为 UP，然后测试连接

1. 在 AWS 修改完 Site-to-Site VPN 连接后，确认隧道状态是 UP。必须在 AWS 端和 IBM 端均确认这一点。另外，请确认您的路由正确。隧道在运行时，默认情况下，两个云都不允许流量流动。
2. 在 IBM Cloud 上，配置安全组和 ACL，允许流量在 IBM 和 AWS 之间流动。
3. 在 Amazon VPC 控制台上，配置与您的连接关联的网络 ACL 和安全组。这将允许流量在 AWS 和 IBM 之间流动。
4. 执行双向连接测试以检查 IBM 与 AWS 之间的隧道连接。一定要进行从 AWS 到 IBM 的 ping 测试，以及从 IBM 到 AWS 的 ping 测试。