AWS Site-to-Site VPN 入門 - AWS Site-to-Site VPN
先決條件建立客戶閘道建立目標閘道設定路由更新您的安全群組建立 VPN 連接下載組態檔案設定客戶閘道裝置

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Site-to-Site VPN 入門

使用下列程序設定 AWS Site-to-Site VPN 連接。在建立期間,您將指定虛擬私有閘道、傳輸閘道或「未關聯」以做為目標閘道類型。如果您指定「未關聯」,您可以稍後選擇目標閘道類型,或使用它做為 AWS Cloud WAN 的 VPN 連接。本教學課程可協助您使用虛擬私有閘道建立 VPN 連接。它會假設您的現有 VPC 有一或多個子網路。

若要使用虛擬私有閘道來設定 VPN 連接,請完成下列步驟:

相關作業

先決條件

您需要下列資訊,以便設定和配置 VPN 連接的元件。

項目 資訊
客戶閘道裝置 VPN 連接在您這端的實體或軟體裝置。您需要廠商 (例如 Cisco)、平台 (例如 ISR 系列路由器) 以及軟體版本 (例如 IOS 12.4)。
客戶閘道 若要在 AWS 中建立客戶閘道資源,您需要下列資訊:

  • 適用於裝置外部界面的可由網際網路路由 IP 地址

  • 路由類型:靜態或動態

  • 針對動態路由,邊界閘道協定 (BGP) 自治系統編號 (ASN)

  • (選用) 自 AWS Private Certificate Authority 發出、用於驗證 VPN 的私有憑證

如需更多詳細資訊,請參閱 客戶閘道選項

(選用) BGP 工作階段的 AWS 端 ASN。

您可以在建立虛擬私有閘道或傳輸閘道時指定此選項。若未指定值,即會套用預設 ASN。如需更多詳細資訊,請參閱 虛擬私有閘道
VPN 連接 若要建立 VPN 連接,您需要下列資訊:

步驟 1:建立客戶閘道

客戶閘道向 AWS 提供您客戶閘道裝置或軟體應用程式的資訊。如需更多詳細資訊,請參閱 客戶閘道

如果您打算使用私有憑證來驗證您的 VPN,請使用 從次級 CA 建立私有憑證AWS Private Certificate Authority 如需建立私有憑證的詳細資訊,請參閱《AWS Private Certificate Authority 使用者指南》中的建立及管理私有 CA

注意

您必須指定私有憑證的 IP 地址或 Amazon 資源名稱。

使用主控台建立客戶閘道

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇客戶閘道

  3. 選擇建立客戶閘道

  4. (選用) 針對 Name (名稱),輸入您客戶閘道的名稱。執行此作業會使用 Name 做為索引鍵,以及您指定的值來建立標籤。

  5. 對於 BGP ASN,輸入您客戶閘道的邊界閘道協定 (BGP) 自主系統編號 (ASN)。

  6. (選用) 針對 IP Address (IP 地址),輸入您客戶閘道裝置之靜態、可由網際網路路由的 IP 地址。如果您的客戶閘道裝置位在啟用 NAT-T 的 NAT 裝置後端,請使用 NAT 裝置的公有 IP 地址。

  7. (選用) 如果您要使用私有憑證,對於 Certificate ARN (憑證 ARN),請選擇私有憑證的 Amazon 資源名稱。

  8. (選用) 對於裝置,輸入與此客戶閘道關聯的客戶閘道裝置名稱。

  9. 選擇建立客戶閘道

使用命令列或 API 建立客戶閘道

步驟 2:建立目標閘道

若要在 VPC 和內部部署網路之間建立 VPN 連接,您必須在連接的 AWS 端建立目標閘道。目標閘道可以是虛擬私有閘道或傳輸閘道。

建立虛擬私有閘道

當您建立虛擬私有閘道時,您可為閘道的 Amazon 端指定私有自發系統編號 (ASN),或使用 Amazon 預設 ASN。這個 ASN 和客戶閘道指定的 ASN 絕不能相同。

在您建立虛擬私有閘道之後,您必須予以連接至您的 VPC。

建立虛擬私有閘道並予以連接至您的 VPC

  1. 在導覽窗格中,選擇虛擬私有閘道

  2. 選擇 Create Virtual Private Gateway (建立虛擬私有閘道)

  3. (選用) 輸入您虛擬私有閘道的名稱標籤。執行此作業會使用 Name 做為索引鍵,以及您指定的值來建立標籤。

  4. 針對自治系統編號 (ASN),保留預設選項 Amazon 預設 ASN 以使用預設的 Amazon ASN。否則,請選擇 Custom ASN (自訂 ASN) 並輸入值。對於 16 位元的 ASN,此值的範圍必須為 64512 到 65534。對於 32 位元的 ASN,此值的範圍必須為 4200000000 到 4294967294。

  5. 選擇 Create Virtual Private Gateway (建立虛擬私有閘道)

  6. 選取您建立的虛擬私有閘道,然後選擇 Actions (動作)Attach to VPC (連接到 VPC)

  7. 針對可用的 VPC,選擇您的 VPC,然後選擇連接至 VPC

使用命令列或 API 建立虛擬私有閘道
使用命令列或 API 將虛擬私有閘道連接到 VPC

建立傳輸閘道

如需建立傳輸閘道的詳細資訊,請參閱 Amazon VPC 傳輸閘道中的傳輸閘道

步驟 3:設定路由

若要讓您 VPC 中的執行個體連接您的客戶閘道,您必須設定路由表,將您 VPN 連接所用的路由納入,並將路由指向您的虛擬私有閘道或傳輸閘道。

(虛擬私有閘道) 在路由表中啟用路由傳播

您可以為您的路由表啟用路由傳播,以自動傳播 Site-to-Site VPN 路由。

至於靜態路由,當 VPN 連接的狀態為 UP 時,您為您 VPN 組態指定的靜態 IP 前綴會傳播到路由表。同樣地,對於動態路由,當 VPN 連接的狀態為 UP 時,您客戶閘道的 BGP 公告路由會傳播到路由表。

注意

如果您的連接中斷,但 VPN 連接維持 UP,則不會自動移除路由表中的任何傳輸路由。舉例來說,如果您希望流量容錯移轉至靜態路由,請記住這一點。在這種情況下,您可能必須停用路由傳播,才能移除傳播的路由。

使用主控台啟用路由傳播

  1. 在導覽窗格中,選擇 Route tables (路由表)。

  2. 選取與子網路相關聯的路由表。

  3. 路由傳播索引標籤上,選擇編輯路由傳播。選取您在先前程序中建立的虛擬私有閘道,然後選擇儲存

注意

如果您不啟用路由傳播,則必須手動輸入您 VPN 連接所用的靜態路由。若要執行此作業,請選取您的路由表,然後選擇 Routes (路由)、Edit (編輯)。針對 Destination (目標),新增您 Site-to-Site VPN 連接所用的靜態路由。針對 Target (目標),選取虛擬私有閘道 ID,然後選擇 Save (儲存)。

使用主控台停用路由傳播

  1. 在導覽窗格中,選擇 Route tables (路由表)。

  2. 選取與子網路相關聯的路由表。

  3. 路由傳播索引標籤上,選擇編輯路由傳播。清除虛擬私有閘道的傳播核取方塊。

  4. 選擇 Save (儲存)。

使用命令列或 API 啟用路由傳播
使用命令列或 API 停用路由傳播

(傳輸閘道) 新增路由至您的路由表

如果您已為傳輸閘道啟用路由表傳播,VPN 連接的路由會傳播到傳輸閘道路由表。如需詳細資訊,請參閱《Amazon VPC Transit Gateways》中的路由

如果您將 VPC 連接到傳輸閘道,並且想要啟用 VPC 中的資源以到達您的客戶閘道,則必須將路由新增到子網路路由表,以指向傳輸閘道。

將路由新增至 VPC 路由表

  1. 在導覽窗格中,選擇路由表

  2. 選擇與您 VPC 相關聯的路由表。

  3. Routes (路由) 標籤中,選擇 Edit routes (編輯路由)

  4. 選擇 Add route (新增路由)

  5. 對於目的地,請輸入目的地 IP 地址範圍。針對 Target (目標),選擇傳輸閘道。

  6. 選擇 Save changes (儲存變更)

步驟 4:更新安全群組

若要允許從您的網路存取您 VPC 中的執行個體,您必須更新您的安全群組規則以啟用傳入 SSH、RDP 和 ICMP 存取。

在您的安全群組中新增規則以啟用存取

  1. 在導覽窗格中,選擇安全群組

  2. 選取 VPC 的預設安全群組。

  3. Inbound Rules (傳入規則) 索引標籤上,選擇 Edit inbound rules (編輯傳入規則)

  4. 新增允許從您的網路存取傳入 SSH、RDP 和 ICMP 的規則,然後選擇儲存規則。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用安全群組規則

步驟 5:建立 VPN 連接

使用客戶閘道,以及您稍早建立的虛擬私有閘道或傳輸閘道建立 VPN 連接。

建立 VPN 連接

  1. 在導覽窗格中,選擇站台對站台 VPN 連接

  2. 選擇 Create VPN Connection (建立 VPN 連接)

  3. (選用) 針對名稱標籤,輸入您 VPN 連接的名稱。執行此作業會使用 Name 做為鍵,以及您指定的值來建立標籤。

  4. 對於 Target Gateway Type (目標閘道類型),請選擇 Virtual Private Gateway (虛擬私有閘道)Transit Gateway (傳輸閘道)。然後,選擇您先前建立的虛擬私有閘道或傳輸閘道。

  5. 對於客戶閘道,請選擇現有,然後從您之前建立的客户閘道 ID 選擇客戶閘道。

  6. 根據您的客戶閘道裝置是否支援邊界閘道協定 (BGP),選取任一路由選項:

    • 如果您的客戶閘道裝置支援 BGP,請選擇 Dynamic (requires BGP) (動態 (需要 BGP))。

    • 如果您的客戶閘道裝置不支援 BGP,請選擇 Static (靜態)。針對 Static IP Prefixes (靜態 IP 前綴),指定您 VPN 連接私有網路的每一個 IP 前綴。

  7. 若您對於通道內部 IP 版本的目標閘道是傳輸閘道,請指定 VPN 通道是否支援 IPv4 或 IPv6 流量。只有傳輸閘道上的 VPN 連接才支援 IPv6 流量。

  8. 如果您為通道內部 IP 版本指定 IPv4,則可選擇性指定允許透過 VPN 通道通訊之客戶閘道和 AWS 端的 IPv4 CIDR 範圍。預設值為 0.0.0.0/0

    如果您為通道內部 IP 版本指定 IPv6,則可選擇性指定允許透過 VPN 通道通訊之客戶閘道和 AWS 端的 IPv6 CIDR 範圍。這兩個範圍的預設值為 ::/0

  9. 對於外部 IP 地址類型,請保留預設選項 PublicIpv4

  10. (選用) 對於通道選項,您可為每一個通道指定下列資訊:

    • 適用於內部通道 IPv4 位址,且在 169.254.0.0/16 範圍中大小為 /30 的 IPv4 CIDR 的區塊。

    • 如果您為通道內部 IP 版本指定 IPv6,則可為內部通道 IPv6 位址指定在 fd00::/8 範圍中且大小為 /126 IPv6 CIDR 的區塊。

    • IKE 預先共享金鑰 (PSK)。支援下列版本:IKEv1 或 IKEv2。

    • 若要編輯通道的進階選項,請選擇編輯通道選項。如需更多詳細資訊,請參閱 VPN 通道選項

  11. 選擇 Create VPN Connection (建立 VPN 連接)。建立 VPN 連接可能需要幾分鐘。

使用命令列或 API 建立 VPN 連接

步驟 6:下載組態檔案

建立 VPN 連接之後,即可下載範例組態檔案,以便用於設定客戶閘道裝置。

重要

組態檔案僅為範例,可能與您想要的 VPN 連接設定不完全相符。檔案指定 VPN 連接的最低要求,包括對於多數 AWS 區域中之 AES128、SHA1 以及 Diffie-Hellman 群組 2,以及對 AWS GovCloud 區域中的 AES128、SHA2 以及 Diffie-Hellman 群組 14。它還指定將預先共用金鑰用於身分驗證。您必須修改範例組態檔案,以利用其他安全性演算法、Diffie-Hellman 群組、私有憑證及 IPv6 流量。

我們在許多熱門客戶閘道裝置的組態檔案中引入了 IKEv2 支援,之後會繼續新增其他檔案。如需支援 IKEv2 的組態檔案清單,請參閱 客戶閘道裝置

許可

若要從 AWS Management Console 正確載入下載組態畫面,您必須確保 IAM 角色或使用者具有下列 Amazon EC2 API 的許可:GetVpnConnectionDeviceTypesGetVpnConnectionDeviceSampleConfiguration

使用主控台下載組態檔案

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇站台對站台 VPN 連接

  3. 選取您的 VPN 連接,並選擇下載組態

  4. 選取與客戶閘道裝置對應的廠商平台軟體IKE 版本。如果未列出您的裝置,請選擇 Generic (一般)

  5. 選擇 Download (下載)。

若要下載範例組態檔案,請使用 命令列或 API

步驟 7:設定客戶閘道裝置

使用範例組態檔案來設定您的客戶閘道裝置。客戶閘道裝置是 VPN 連接在您這端的實體裝置或軟體裝置。如需更多詳細資訊,請參閱 客戶閘道裝置