如何在 AWS 和 IBM Cloud 之间配置托管的基于路由的静态 VPN?

2 分钟阅读
0

我想在 AWS 和 IBM Cloud 之间建立静态 AWS Site-to-Site VPN 连接。

解决方法

要在 AWS 和 IBM Cloud 之间建立 Site-to-Site VPN 连接,您必须执行以下操作:

  • 在 IBM 端,配置虚拟私有云(VPC)、子网、路由表、安全组和访问控制列表(ACL)规则。
  • 在 AWS 端,配置 VPC、子网和路由。

AWS 配置

  1. 打开 Amazon VPC 控制台,然后创建客户网关。由于您尚不知道 IBM VPN 网关的 IP 地址,因此您可以添加任何您偏好的详细信息。稍后,您可以指定正确的客户网关 IP 地址和自治系统号(ASN)。

    **请注意:**您必须使用 AWS 创建客户网关。Amazon VPC 控制台允许您在配置客户网关后对其进行更改,但是 IBM Cloud 不允许这样的操作。

  2. 打开 Amazon VPC 控制台创建一个虚拟私有网关,然后将其附加到您的 Amazon VPC。

  3. 创建 VPN 连接。对于虚拟私有网关,选择您创建的虚拟私有网关的名称。对于客户网关 ID,选择您创建的客户网关的 ID。对于路由选项,选择静态。(可选)在 Tunnel 1 高级选项下,启用高级加密算法。

  4. 下载通用 Site-to-Site VPN 配置文件。使用此文件中的信息在 IBM Cloud 中设置 VPN 隧道。

IBM Cloud 配置

  1. 打开 IBM Cloud,按照 IBM 网站上的说明创建 IKE 策略。为您的策略输入一个名称,然后输入以下详细信息:

    区域: 华盛顿特区
    IKE 版本: 2
    身份验证:sha1
    加密:aes128
    Diffie-Hellman 组: 2
    密钥寿命: 28800

  2. 创建 IPsec 策略。为您的策略输入一个名称,然后输入以下详细信息:

    区域: 华盛顿特区
    IKE 版本: 2
    身份验证:sha1
    完全正向保密: 已开启
    Diffie-Hellman 组: 2
    密钥寿命: 3600

  3. 在 IBM Cloud 中创建 Site-to-Site VPN 连接。输入您创建的 IKE 和 IPsec 策略的详细信息。要创建 VPN 连接,您需要来自 AWS 的对等网关 IP 地址预共享密钥。在继续配置 VPN 之前,请记下从 AWS 下载的配置文件中的这些信息。

  4. 在 IBM 端创建 Site-to-Site VPN 后,您可以查看 Tunnel1 的公共 IP 地址。记下该 IP 地址,在后续步骤中会用到。

在 Amazon VPC 控制台上配置 VPN 网关

  1. 打开 Amazon VPC 控制台,然后创建客户网关。对于 IP 地址,请输入 IBM VPN 的 IP 地址,而不是辅助 IP 地址。
  2. 导航到您的 Site-to-Site VPN 连接。选择操作,然后选择修改 VPN 连接。更新客户网关的目标类型。选择使用 IBM VPN IP 地址的新客户网关。

**请注意:**AWS 修改和更新 Site-to-Site VPN 连接需要几分钟时间。

确认隧道状态为 UP,然后测试连接

  1. 在 AWS 修改完 Site-to-Site VPN 连接后,确认隧道状态是 UP。必须在 AWS 端和 IBM 端均确认这一点。另外,请确认您的路由正确。隧道在运行时,默认情况下,两个云都不允许流量流动。
  2. 在 IBM Cloud 上,配置安全组ACL,允许流量在 IBM 和 AWS 之间流动。
  3. 在 Amazon VPC 控制台上,配置与您的连接关联的网络 ACL安全组。这将允许流量在 AWS 和 IBM 之间流动。
  4. 执行双向连接测试以检查 IBM 与 AWS 之间的隧道连接。一定要进行从 AWS 到 IBM 的 ping 测试,以及从 IBM 到 AWS 的 ping 测试。
AWS 官方
AWS 官方已更新 9 个月前