入門
使用下列程序設定 AWS Site-to-Site VPN 連接。在建立期間,系統會要求您為目標閘道類型指定虛擬私有閘道、傳輸閘道或「未關聯」。在指定「未關聯」的情況下建立 Site-to-Site VPN 連接時,您可以稍後選擇目標閘道類型,或為 AWS Cloud WAN 使用它作為 Site-to-Site VPN 連接。此程序概述使用虛擬私有閘道建立 Site-to-Site VPN 連接,並假設您擁有具有一或多個子網路的現有 VPC。
若要使用虛擬私有閘道來設定 Site-to-Site VPN 連接,請完成下列步驟:
如需瞭解建立 Site-to-Site VPN 連接以搭配 AWS Cloud WAN 來使用的步驟,請參閱 建立 AWS Cloud WAN Site-to-Site VPN 連接。
如需在傳輸閘道上建立 Site-to-Site VPN 連接的步驟,請參閱 建立傳輸閘道 VPN 連接。
先決條件
您需要下列資訊,以便設定和配置 Site-to-Site VPN 連接的元件。
| 項目 | 資訊 |
|---|---|
| 客戶閘道裝置 | VPN 連接在您這端的實體或軟體裝置。您需要廠商 (例如 Cisco)、平台 (例如 ISR 系列路由器) 以及軟體版本 (例如 IOS 12.4)。 |
| 客戶閘道 | 若要在 AWS 中建立客戶閘道資源,您需要下列資訊:
如需更多詳細資訊,請參閱 站台對站台 VPN 連接的客戶閘道選項。 |
|
(選用) BGP 工作階段的 AWS 端 ASN。 |
您可以在建立虛擬私有閘道或傳輸閘道時指定此選項。若未指定值,即會套用預設 ASN。如需更多詳細資訊,請參閱 虛擬私有閘道。 |
| VPN 連接 | 若要建立 VPN 連接,您需要下列資訊:
|
建立客戶閘道
客戶閘道向 AWS 提供您客戶閘道裝置或軟體應用程式的資訊。如需更多詳細資訊,請參閱 客戶閘道。
如果您打算使用私有憑證來驗證您的 VPN,請使用 從次級 CA 建立私有憑證AWS Private Certificate Authority 如需建立私有憑證的詳細資訊,請參閱《AWS Private Certificate Authority 使用者指南》中的建立及管理私有 CA。
注意
您必須指定私有憑證的 IP 地址或 Amazon 資源名稱。
使用主控台建立客戶閘道
-
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Customer Gateways (客戶閘道),然後選擇 Create Customer Gateway (建立客戶閘道)。
-
完成下列資訊,然後選擇 Create Customer Gateway (建立客戶閘道):
-
(選用) 針對 Name (名稱),輸入您客戶閘道的名稱。執行此作業會使用
Name做為索引鍵,以及您指定的值來建立標籤。 -
對於 BGP ASN,輸入您客戶閘道的邊界閘道協定 (BGP) 自主系統編號 (ASN)。
-
(選用) 針對 IP Address (IP 地址),輸入您客戶閘道裝置之靜態、可由網際網路路由的 IP 地址。如果您的客戶閘道裝置位在啟用 NAT-T 的 NAT 裝置後端,請使用 NAT 裝置的公有 IP 地址。
-
(選用) 如果您要使用私有憑證,對於 Certificate ARN (憑證 ARN),請選擇私有憑證的 Amazon 資源名稱。
-
(可選)對於 Device (裝置) 中,輸入承載此客戶閘道的裝置名稱。
-
使用命令列或 API 建立客戶閘道
-
CreateCustomerGateway (Amazon EC2 查詢 API)
-
create-customer-gateway (AWS CLI)
-
New-EC2CustomerGateway (AWS Tools for Windows PowerShell)
建立目標閘道
若要在 VPC 和內部部署網路之間建立 VPN 連接,您必須在連接的 AWS 端建立目標閘道。目標閘道可以是虛擬私有閘道或傳輸閘道。
建立虛擬私有閘道
當您建立虛擬私有閘道時,您可為閘道的 Amazon 端指定私有自發系統編號 (ASN),或使用 Amazon 預設 ASN。這個 ASN 和客戶閘道指定的 ASN 絕不能相同。
在您建立虛擬私有閘道之後,您必須予以連接至您的 VPC。
建立虛擬私有閘道並予以連接至您的 VPC
-
在導覽窗格中,選擇 Virtual Private Gateways (虛擬私有閘道)、Create Virtual Private Gateway (建立虛擬私有閘道)。
-
(選用) 輸入您虛擬私有閘道的 Name tag (名稱)。執行此作業會使用
Name做為索引鍵,以及您指定的值來建立標籤。 -
針對 ASN,保留預設選項以使用預設的 Amazon ASN。否則,請選擇 Custom ASN (自訂 ASN) 並輸入值。對於 16 位元的 ASN,此值的範圍必須為 64512 到 65534。對於 32 位元的 ASN,此值的範圍必須為 4200000000 到 4294967294。
-
(選用)如果需要,請為您的虛擬私有閘道建立其他標籤。
-
選擇 Create Virtual Private Gateway (建立虛擬私有閘道)。
-
選取您建立的虛擬私有閘道,然後選擇 Actions (動作)、Attach to VPC (連接到 VPC)。
-
根據 Available VPCs (可用的 VPC),從清單選取您的 VPC,然後選擇Attach to VPC (連接到 VPC)。
使用命令列或 API 建立虛擬私有閘道
-
CreateVpnGateway (Amazon EC2 查詢 API)
-
create-vpn-gateway (AWS CLI)
-
New-EC2VpnGateway (AWS Tools for Windows PowerShell)
使用命令列或 API 將虛擬私有閘道連接到 VPC
-
AttachVpnGateway (Amazon EC2 查詢 API)
-
attach-vpn-gateway (AWS CLI)
-
Add-EC2VpnGateway (AWS Tools for Windows PowerShell)
建立傳輸閘道
如需建立傳輸閘道的詳細資訊,請參閱 Amazon VPC 傳輸閘道中的傳輸閘道。
設定路由
如要讓您 VPC 中的執行個體連接您的客戶閘道,您必須設定路由表,將您 Site-to-Site VPN 連接所用的路由納入,並將路由指向您的虛擬私有閘道或傳輸閘道。
(虛擬私有閘道) 在路由表中啟用路由傳播
您可以為您的路由表啟用路由傳播,以自動傳播 Site-to-Site VPN 路由。
針對靜態路由,當 Site-to-Site VPN 連接的狀態為 UP 時,您為您 VPN 組態指定的靜態 IP 字首會傳播到路由表。同樣地,針對動態路由,當 Site-to-Site VPN 連接的狀態為 UP 時,您客戶閘道的 BGP 公告路由會傳播到路由表。
注意
如果您的連接中斷,但 VPN 連接維持 UP,則不會自動移除路由表中的任何傳輸路由。舉例來說,如果您希望流量容錯移轉至靜態路由,請記住這一點。在這種情況下,您可能必須停用路由傳播,才能移除傳播的路由。
使用主控台啟用路由傳播
-
在導覽窗格中,選擇 Route Tables (路由表),然後選取與子網路相關聯的路由表。預設情況下,這是 VPC 的主路由表。
-
在詳細資訊窗格的 Route Propagation (路由傳播) 索引標籤上,選擇 Edit route propagation (編輯路由傳播),然後選取您在上一個程序中建立的虛擬私有閘道,再選擇 Save (儲存)。
注意
如果不啟用路由傳播,則必須手動輸入您 Site-to-Site VPN 連接所用的靜態路由。若要執行此作業,請選取您的路由表,然後選擇 Routes (路由)、Edit (編輯)。針對 Destination (目標),新增您 Site-to-Site VPN 連接所用的靜態路由。針對 Target (目標),選取虛擬私有閘道 ID,然後選擇 Save (儲存)。
使用主控台停用路由傳播
-
在導覽窗格中,選擇 Route Tables (路由表),然後選取與子網路相關聯的路由表。
-
如果您使用的是路由傳播,請選擇 Route Propagation (路由傳播)、Edit route propagation (編輯路由傳播)。清除虛擬私有閘道的 Propagate (傳播)選取方塊,然後選擇 Save (儲存)。
使用命令列或 API 啟用路由傳播
-
EnableVgwRoutePropagation (Amazon EC2 查詢 API)
-
enable-vgw-route-propagation (AWS CLI)
-
Enable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)
使用命令列或 API 停用路由傳播
-
DisableVgwRoutePropagation (Amazon EC2 查詢 API)
-
disable-vgw-route-propagation (AWS CLI)
-
Disable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)
(傳輸閘道) 新增路由至您的路由表
如果您已為傳輸閘道啟用路由表傳播,VPN 連接的路由會傳播到傳輸閘道路由表。如需詳細資訊,請參閱《Amazon VPC Transit Gateways》中的路由。
如果您將 VPC 連接到傳輸閘道,並且想要啟用 VPC 中的資源以到達您的客戶閘道,則必須將路由新增到子網路路由表,以指向傳輸閘道。
將路由新增至 VPC 路由表
-
在導覽窗格中,選擇 Route Tables (路由表)。
-
選擇與您 VPC 相關聯的路由表。
-
選擇 Routes (路由)標籤,然後選擇 Edit routes (編輯路由)。
-
選擇 Add route (新增路由)。
-
在 Destination (目的地) 欄中,輸入目的地 IP 地址範圍。針對 Target (目標),選擇傳輸閘道。
-
選擇 Save routes (儲存路由),然後選擇 Close (關閉)。
更新您的安全群組
若要允許從您的網路存取您 VPC 中的執行個體,您必須更新您的安全群組規則以啟用傳入 SSH、RDP 和 ICMP 存取。
在您的安全群組中新增規則以啟用傳入 SSH、RDP 和 ICMP 存取
-
在導覽窗格中,選擇 Security Groups (安全群組),然後選取 VPC 的預設安全群組。
-
在詳細資訊窗格的 Inbound (傳入)標籤上,新增允許從您的網路存取傳入 SSH、RDP 和 ICMP 的規則,然後選擇 Save (儲存)。如需有關新增傳入規則的詳細資訊,請參閱《Amazon VPC 使用者指南》中的新增、移除及更新規則。
如需搭配 AWS CLI 使用安全群組的詳細資訊,請參閱《Amazon VPC 使用者指南》中的 VPC 的安全群組。
建立 Site-to-Site VPN 連接
使用客戶閘道,以及您稍早建立的虛擬私有閘道或傳輸閘道,建立 站台對站台 VPN 連接。
建立 Site-to-Site VPN 連接
-
在導覽窗格中,選擇 Site-to-Site VPN Connections (站台對站台 VPN 連接)、Create VPN Connection (建立 VPN 連接)。
-
(選用) 針對 Name tag (名稱標籤),輸入您 Site-to-Site VPN 連接的名稱。執行此作業會使用
Name做為鍵,以及您指定的值來建立標籤。 -
對於 Target Gateway Type (目標閘道類型),請選擇 Virtual Private Gateway (虛擬私有閘道) 或 Transit Gateway (傳輸閘道)。然後,選擇您先前建立的虛擬私有閘道或傳輸閘道。
-
適用於 Customer gateway (客戶閘道),請選擇 Exising (現有的),然後從您之前建立的 Customer gateway ID (客户閘道 ID) 的下拉式清單選擇客戶閘道。
-
根據您的客戶閘道裝置是否支援邊界閘道協定 (BGP),選取任一路由選項:
-
如果您的客戶閘道裝置支援 BGP,請選擇 Dynamic (requires BGP) (動態 (需要 BGP))。
-
如果您的客戶閘道裝置不支援 BGP,請選擇 Static (靜態)。針對 Static IP Prefixes (靜態 IP 字首),指定您 Site-to-Site VPN 連接私有網路的每一個 IP 字首。
-
-
(選用) 若您對於 Tunnel Inside IP Version (通道內部 IP 版本) 的目標閘道是傳輸閘道,請指定 VPN 通道是否支援 IPv4 或 IPv6 流量。只有傳輸閘道上的 VPN 連接才支援 IPv6 流量。
-
(選用) 如果您為 Tunnel Inside IP Version (通道內部 IP 版本) 指定 IPv4,則可選擇指定允許透過 VPN 通道通訊之客戶閘道和 AWS 端的 IPv4 CIDR 範圍。預設值為
0.0.0.0/0。如果您為 Tunnel Inside IP Version (通道內部 IP 版本) 指定 IPv6,則可選擇指定允許透過 VPN 通道通訊之客戶閘道和 AWS 端的 IPv6 CIDR 範圍。這兩個範圍的預設值為
::/0。 針對外部 IP 地址類型,將
PublicIpv4的預設選項保持為已選取。-
(選用) 對於 Tunnel Options (通道選項),您可為每一個通道指定下列資訊:
-
適用於內部通道 IPv4 位址,且在
169.254.0.0/16範圍中大小為 /30 的 IPv4 CIDR 的區塊。 -
如果您為通道內部 IP 版本指定 IPv6,則可為內部通道 IPv6 位址指定在
fd00::/8範圍中且大小為 /126 IPv6 CIDR 的區塊。 -
IKE 預先共享金鑰 (PSK)。支援下列版本:IKEv1 或 IKEv2。
-
進階通道資訊,其中包括下列項目:
-
IKE 交涉階段 1 和 2 的加密演算法
-
IKE 交涉階段 1 和階段 2 的完整性演算法
-
IKE 交涉階段 1 和階段 2 的 Diffie-Hellman 群組
-
IKE 版本
-
階段 1 和 2 存留期
-
重設金鑰邊際時間
-
重設金鑰模糊
-
重新顯示視窗大小
-
失效對等偵測間隔
-
失效對等偵測逾時動作
-
啟動動作
-
VPN 通道記錄選項
-
如需關於這些選項的詳細資訊,請參閱 站台對站台 VPN 連接的通道選項。
-
-
選擇 Create VPN Connection (建立 VPN 連接)。建立 Site-to-Site VPN 連接可能需要幾分鐘。
使用命令列或 API 建立 Site-to-Site VPN 連接
-
CreateVpnConnection (Amazon EC2 查詢 API)
-
create-vpn-connection (AWS CLI)
-
New-EC2VpnConnection (AWS Tools for Windows PowerShell)
下載組態檔案
建立 Site-to-Site VPN 連接之後,即可下載範例組態檔案,以便用於設定客戶閘道裝置。
重要
組態檔案僅為範例,可能與您想要的 Site-to-Site VPN 連接設定不相符。檔案指定 Site-to-Site VPN 連接的最低要求,包括對於多數 AWS 區域中之 AES128、SHA1 以及 Diffie-Hellman 群組 2 ,以及對 AWS GovCloud 區域中的 AES128、SHA2 以及 Diffie-Hellman 群組 14。它還指定將預先共用金鑰用於身分驗證。您必須修改範例組態檔案,以利用其他安全性演算法、Diffie-Hellman 群組、私有憑證及 IPv6 流量。
我們在許多熱門客戶閘道裝置的組態檔案中引入了 IKEv2 支援,之後會繼續新增其他檔案。新增更多範例組態檔案時此清單也會隨之更新。請參閱 客戶閘道裝置 以取得支援 IKEv2 的組態檔案之完整清單。
從 AWS Management Console 下載組態檔案
注意
若要從 AWS Management Console 正確載入 Download Configuration (下載組態) 畫面,請確保您的 IAM 角色或使用者具有下列兩個 Amazon EC2 API 的許可:GetVpnConnectionDeviceTypes 及 GetVpnConnectionDeviceSampleConfiguration。
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Site-to-Site VPN Connections (Site-to-Site VPN 連接)。
-
選取您的 VPN 連接,並選擇 Download Configuration (下載組態)。
-
對應您的客戶閘道裝置,選取
vendor、platform、software和IKE version。如果未列出您的裝置,請選擇Generic。 -
選擇 Download (下載)。
若要下載範例組態檔案,請使用 AWS 命令列或 API
-
GetVpnConnectionDeviceTypes (Amazon EC2 查詢 API)
-
GetVpnConnectionDeviceSampleConfiguration(Amazon EC2 查詢 API)
-
get-vpn-connection-device-types (AWS CLI)
設定客戶閘道裝置
使用範例組態檔案來設定您的客戶閘道裝置。客戶閘道裝置是 Site-to-Site VPN 連接中在您這一端的實體或軟體應用裝置。如需更多詳細資訊,請參閱 客戶閘道裝置。
