開始使用 AWS Site-to-Site VPN - AWS Site-to-Site VPN
先決條件建立客戶閘道建立目標閘道設定路由更新您的安全群組建立 VPN 連接下載組態檔案設定客戶閘道裝置

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

開始使用 AWS Site-to-Site VPN

使用下列程序來設定 AWS Site-to-Site VPN 連線。在建立期間,您將指定虛擬私有閘道、傳輸閘道或「未關聯」以做為目標閘道類型。如果您指定「未關聯」,您可以在稍後選擇目標閘道類型,也可以將它用作 AWS 雲端 WAN 的 VPN 連接。本教學課程可協助您使用虛擬私有閘道建立 VPN 連接。它會假設您的現有 VPC 有一或多個子網路。

若要使用虛擬私有閘道來設定 VPN 連接,請完成下列步驟:

相關作業

先決條件

您需要下列資訊,以便設定和配置 VPN 連接的元件。

項目 資訊
客戶閘道裝置 VPN 連接在您這端的實體或軟體裝置。您需要廠商 (例如 Cisco)、平台 (例如 ISR 系列路由器) 以及軟體版本 (例如 IOS 12.4)。
客戶閘道 若要在 中建立客戶閘道資源 AWS,您需要以下資訊:

  • 適用於裝置外部界面的可由網際網路路由 IP 地址

  • 路由類型:靜態或動態

  • 針對動態路由,邊界閘道協定 (BGP) 自治系統編號 (ASN)

  • (選用) 從 私有憑證 AWS Private Certificate Authority 來驗證您的 VPN

如需詳細資訊,請參閱客戶閘道選項

(選用) BGP 工作階段 AWS 側邊的 ASN

您可以在建立虛擬私有閘道或傳輸閘道時指定此選項。若未指定值,即會套用預設 ASN。如需更多詳細資訊,請參閱 虛擬私有閘道
VPN 連接 若要建立 VPN 連接,您需要下列資訊:

步驟 1:建立客戶閘道

客戶閘道提供 AWS 客戶閘道裝置或軟體應用程式的相關資訊給 。如需詳細資訊,請參閱客戶閘道

如果您計劃使用私有憑證來驗證 VPN,請使用 建立來自次級 CA 的私有憑證 AWS Private Certificate Authority。如需建立私有憑證的詳細資訊,請參閱《AWS Private Certificate Authority 使用者指南》中的建立及管理私有 CA

注意

您必須指定私有憑證的 IP 地址或 Amazon 資源名稱。

使用主控台建立客戶閘道

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇客戶閘道

  3. 選擇建立客戶閘道

  4. (選用) 針對 Name (名稱),輸入您客戶閘道的名稱。執行此作業會使用 Name 做為索引鍵,以及您指定的值來建立標籤。

  5. 對於 BGP ASN,輸入您客戶閘道的邊界閘道協定 (BGP) 自主系統編號 (ASN)。

  6. (選用) 針對 IP Address (IP 地址),輸入您客戶閘道裝置之靜態、可由網際網路路由的 IP 地址。如果您的客戶閘道裝置位在啟用 NAT-T 的 NAT 裝置後端,請使用 NAT 裝置的公有 IP 地址。

  7. (選用) 如果您要使用私有憑證,對於 Certificate ARN (憑證 ARN),請選擇私有憑證的 Amazon 資源名稱。

  8. (選用) 對於裝置,輸入與此客戶閘道關聯的客戶閘道裝置名稱。

  9. 選擇建立客戶閘道

使用命令列或 API 建立客戶閘道

步驟 2:建立目標閘道

若要在 VPC 與內部部署網路之間建立 VPN 連線,您必須在連線的 AWS 端建立目標閘道。目標閘道可以是虛擬私有閘道或傳輸閘道。

建立虛擬私有閘道

當您建立虛擬私有閘道時,您可為閘道的 Amazon 端指定私有自發系統編號 (ASN),或使用 Amazon 預設 ASN。這個 ASN 和客戶閘道指定的 ASN 絕不能相同。

在您建立虛擬私有閘道之後,您必須予以連接至您的 VPC。

建立虛擬私有閘道並予以連接至您的 VPC

  1. 在導覽窗格中,選擇虛擬私有閘道

  2. 選擇 Create Virtual Private Gateway (建立虛擬私有閘道)

  3. (選用) 輸入您虛擬私有閘道的名稱標籤。執行此作業會使用 Name 做為索引鍵,以及您指定的值來建立標籤。

  4. 針對自治系統編號 (ASN),保留預設選項 Amazon 預設 ASN 以使用預設的 Amazon ASN。否則,請選擇 Custom ASN (自訂 ASN) 並輸入值。對於 16 位元的 ASN,此值的範圍必須為 64512 到 65534。對於 32 位元的 ASN,此值的範圍必須為 4200000000 到 4294967294。

  5. 選擇 Create Virtual Private Gateway (建立虛擬私有閘道)

  6. 選取您建立的虛擬私有閘道,然後選擇 Actions (動作)Attach to VPC (連接到 VPC)

  7. 針對可用的 VPC,選擇您的 VPC,然後選擇連接至 VPC

使用命令列或 API 建立虛擬私有閘道
使用命令列或 API 將虛擬私有閘道連接到 VPC

建立傳輸閘道

如需建立傳輸閘道的詳細資訊,請參閱 Amazon VPC 傳輸閘道中的傳輸閘道

步驟 3:設定路由

若要讓您 VPC 中的執行個體連接您的客戶閘道,您必須設定路由表,將您 VPN 連接所用的路由納入,並將路由指向您的虛擬私有閘道或傳輸閘道。

(虛擬私有閘道) 在路由表中啟用路由傳播

您可以為您的路由表啟用路由傳播,以自動傳播 Site-to-Site VPN 路由。

至於靜態路由,當 VPN 連接的狀態為 UP 時,您為您 VPN 組態指定的靜態 IP 前綴會傳播到路由表。同樣地,對於動態路由,當 VPN 連接的狀態為 UP 時,您客戶閘道的 BGP 公告路由會傳播到路由表。

注意

如果您的連接中斷,但 VPN 連接維持 UP,則不會自動移除路由表中的任何傳輸路由。舉例來說,如果您希望流量容錯移轉至靜態路由,請記住這一點。在這種情況下,您可能必須停用路由傳播,才能移除傳播的路由。

使用主控台啟用路由傳播

  1. 在導覽窗格中,選擇 Route tables (路由表)。

  2. 選取與子網路相關聯的路由表。

  3. 路由傳播索引標籤上,選擇編輯路由傳播。選取您在先前程序中建立的虛擬私有閘道,然後選擇儲存

注意

如果您不啟用路由傳播,則必須手動輸入您 VPN 連接所用的靜態路由。若要執行此作業,請選取您的路由表,然後選擇 Routes (路由)、Edit (編輯)。針對 Destination (目標),新增您 Site-to-Site VPN 連接所用的靜態路由。針對 Target (目標),選取虛擬私有閘道 ID,然後選擇 Save (儲存)。

使用主控台停用路由傳播

  1. 在導覽窗格中,選擇 Route tables (路由表)。

  2. 選取與子網路相關聯的路由表。

  3. 路由傳播索引標籤上,選擇編輯路由傳播。清除虛擬私有閘道的傳播核取方塊。

  4. 選擇 Save (儲存)。

使用命令列或 API 啟用路由傳播
使用命令列或 API 停用路由傳播

(傳輸閘道) 新增路由至您的路由表

如果您已為傳輸閘道啟用路由表傳播,VPN 連接的路由會傳播到傳輸閘道路由表。如需詳細資訊,請參閱《Amazon VPC Transit Gateways》中的路由

如果您將 VPC 連接到傳輸閘道,並且想要啟用 VPC 中的資源以到達您的客戶閘道,則必須將路由新增到子網路路由表,以指向傳輸閘道。

將路由新增至 VPC 路由表

  1. 在導覽窗格中,選擇路由表

  2. 選擇與您 VPC 相關聯的路由表。

  3. Routes (路由) 標籤中,選擇 Edit routes (編輯路由)

  4. 選擇 Add route (新增路由)

  5. 對於目的地,請輸入目的地 IP 地址範圍。針對 Target (目標),選擇傳輸閘道。

  6. 選擇 Save changes (儲存變更)。

步驟 4:更新安全群組

若要允許從您的網路存取您 VPC 中的執行個體,您必須更新您的安全群組規則以啟用傳入 SSH、RDP 和 ICMP 存取。

在您的安全群組中新增規則以啟用存取

  1. 在導覽窗格中,選擇安全群組

  2. 選取 VPC 中您要允許存取之執行個體的安全群組。

  3. 傳入規則索引標籤上,選擇編輯傳入規則

  4. 新增允許從您的網路存取傳入 SSH、RDP 和 ICMP 的規則,然後選擇儲存規則。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用安全群組規則

步驟 5:建立 VPN 連接

使用客戶閘道,以及您稍早建立的虛擬私有閘道或傳輸閘道建立 VPN 連接。

建立 VPN 連接

  1. 在導覽窗格中,選擇站台對站台 VPN 連接

  2. 選擇 Create VPN Connection (建立 VPN 連接)

  3. (選用) 針對名稱標籤,輸入您 VPN 連接的名稱。執行此作業會使用 Name 做為鍵,以及您指定的值來建立標籤。

  4. 對於 Target Gateway Type (目標閘道類型),請選擇 Virtual Private Gateway (虛擬私有閘道)Transit Gateway (傳輸閘道)。然後,選擇您先前建立的虛擬私有閘道或傳輸閘道。

  5. 對於客戶閘道,請選擇現有,然後從您之前建立的客户閘道 ID 選擇客戶閘道。

  6. 根據您的客戶閘道裝置是否支援邊界閘道協定 (BGP),選取任一路由選項:

    • 如果您的客戶閘道裝置支援 BGP,請選擇 Dynamic (requires BGP) (動態 (需要 BGP))。

    • 如果您的客戶閘道裝置不支援 BGP,請選擇 Static (靜態)。針對 Static IP Prefixes (靜態 IP 前綴),指定您 VPN 連接私有網路的每一個 IP 前綴。

  7. 若您對於通道內部 IP 版本的目標閘道是傳輸閘道,請指定 VPN 通道是否支援 IPv4 或 IPv6 流量。只有傳輸閘道上的 VPN 連接才支援 IPv6 流量。

  8. 如果您在 IP 版本內為通道指定 IPv4,您可以選擇為允許透過 VPN 通道通訊的客戶閘道和 AWS 端指定 IPv4 CIDR 範圍。預設值為 0.0.0.0/0

    如果您為 IP 版本內的通道指定 IPv6,您可以選擇指定允許透過 VPN 通道通訊的客戶閘道和 AWS 端的 IPv6 CIDR 範圍。這兩個範圍的預設值為 ::/0

  9. 對於外部 IP 地址類型,請保留預設選項 PublicIpv4

  10. (選用) 對於通道選項,您可為每一個通道指定下列資訊:

    • 適用於內部通道 IPv4 位址,且在 169.254.0.0/16 範圍中大小為 /30 的 IPv4 CIDR 的區塊。

    • 如果您為通道內部 IP 版本指定 IPv6,則可為內部通道 IPv6 位址指定在 fd00::/8 範圍中且大小為 /126 IPv6 CIDR 的區塊。

    • IKE 預先共享金鑰 (PSK)。支援下列版本:IKEv1 或 IKEv2。

    • 若要編輯通道的進階選項,請選擇編輯通道選項。如需詳細資訊,請參閱VPN 通道選項

  11. 選擇 Create VPN Connection (建立 VPN 連接)。建立 VPN 連接可能需要幾分鐘。

使用命令列或 API 建立 VPN 連接

步驟 6:下載組態檔案

建立 VPN 連接之後,即可下載範例組態檔案,以便用於設定客戶閘道裝置。

重要

組態檔案僅為範例,可能與您想要的 VPN 連接設定不完全相符。它指定大多數 AWS 區域中 AES128, SHA1和 Diffie-Hellman 群組 2 的 VPN 連線最低需求,以及 AWS GovCloud 區域中 AES128, SHA2 和 Diffie-Hellman 群組 14 的最低需求。它還指定將預先共用金鑰用於身分驗證。您必須修改範例組態檔案,以利用其他安全性演算法、Diffie-Hellman 群組、私有憑證及 IPv6 流量。

我們在許多熱門客戶閘道裝置的組態檔案中引入了 IKEv2 支援,之後會繼續新增其他檔案。如需支援 IKEv2 的組態檔案清單,請參閱 AWS Site-to-Site VPN 客戶閘道裝置

許可

若要從 正確載入下載組態畫面 AWS Management Console,您必須確保您的 IAM 角色或使用者具有下列 Amazon EC2 APIs許可: GetVpnConnectionDeviceTypesGetVpnConnectionDeviceSampleConfiguration

使用主控台下載組態檔案

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇站台對站台 VPN 連接

  3. 選取您的 VPN 連接,並選擇下載組態

  4. 選取與客戶閘道裝置對應的廠商平台軟體IKE 版本。如果未列出您的裝置,請選擇 Generic (一般)

  5. 選擇 Download (下載)。

若要下載範例組態檔案,請使用 命令列或 API

步驟 7:設定客戶閘道裝置

使用範例組態檔案來設定您的客戶閘道裝置。客戶閘道裝置是 VPN 連接在您這端的實體裝置或軟體裝置。如需詳細資訊,請參閱AWS Site-to-Site VPN 客戶閘道裝置