靜態路由的客戶閘道裝置組態範例

主題

組態檔案範例
靜態路由的使用者界面程序
Cisco 裝置的其他資訊
測試

組態檔案範例

若要下載具有針對您的 Site-to-Site VPN 連線組態之特定值的範本組態檔案，請使用 Amazon VPC 主控台、AWS 命令列或 Amazon EC2 API。如需更多詳細資訊，請參閱步驟 6：下載組態檔案。

您也可以下載靜態路由的一般範例組態檔案，該檔案不包含針對您的 Site-to-Site VPN 連線組態的特定值：dynamic-routing-examples.zip

檔案為某些元件使用預留位置值。例如，檔案會使用：

VPN 連接 ID、客戶閘道 ID 和虛擬私有閘道 ID 的範例值
遠端 (外部) IP 地址 AWS 端點的預留位置 (AWS_ENDPOINT_1 和 AWS_ENDPOINT_2)
客戶閘道裝置上可透過網際網路路由外部界面之 IP 地址的預留位置 (your-cgw-ip-address)
預先共用金鑰值的預留位置 (pre-shared-key)
IP 地址內部通道的範例值。
MTU 設定的範例值。

注意

範本組態檔案中提供的 MTU 設定僅為範例。請參閱客戶閘道裝置的最佳實務以瞭解針對您的情況設定最佳 MTU 值的相關資訊。

除了提供預留位置值，該檔案會指定 Site-to-Site VPN 連接之最低要求，包括對於多數 AWS 區域中之 AES128、SHA1 以及 Diffie-Hellman 群組 2 ，以及對AWS GovCloud 區域中的 AES128、SHA2 以及 Diffie-Hellman 群組 14。它們也指定將預先共用金鑰用於身份驗證。您必須修改範例組態檔案，以利用其他安全性演算法、Diffie-Hellman 群組、私有憑證及 IPv6 流量。

下圖提供客戶閘道裝置上所設定之不同元件的概觀。它包含通道界面 IP 地址的範例值。

靜態路由的使用者界面程序

以下是使用使用者界面 (如果有的話) 來設定客戶閘道裝置的一些範例程序。

Check Point

如果您的裝置是執行 R77.10 或更高版本的 Check Point Security Gateway 裝置，並且使用 Gaia 作業系統和 Check Point SmartDashboard，以下是設定客戶閘道裝置的步驟。您也可以參考 Check Point Support Center 上的 Check Point Security Gateway IPsec VPN to Amazon Web Services VPC 文章。

設定通道界面

第一個步驟是建立 VPN 通道，並為每個通道提供客戶閘道和虛擬私有閘道的私有 (內部) IP 地址。若要建立第一個通道，請使用組態檔案 IPSec Tunnel #1 區段下提供的資訊。若要建立第二個通道，請使用組態檔案 IPSec Tunnel #2 區段下提供的值。

開啟 Check Point Security Gateway 裝置的 Gaia 入口網站。
選擇 Network Interfaces (網路界面)、Add (新增)、VPN tunnel (VPN 通道)。
在對話方塊中，進行設定如下，然後在完成時選擇 OK (確定)：
- 針對 VPN Tunnel ID (VPN 通道 ID)，輸入任何唯一值 (例如 1)。
- 針對 Peer (對等)，輸入通道的唯一名稱 (例如 AWS_VPC_Tunnel_1 或 AWS_VPC_Tunnel_2)。
- 確定選取 Numbered (編號)，而且針對 Local Address (本機地址)，輸入組態檔案中針對 CGW Tunnel IP 所指定的 IP 地址 (例如 169.254.44.234)。
- 針對 Remote Address (遠端地址)，輸入組態檔案中針對 VGW Tunnel IP 所指定的 IP 地址 (例如 169.254.44.233)。
透過 SSH 連線到您的安全閘道。若您使用非預設的殼層，請藉由執行下列命令來變更到 clish：clish
針對通道 1，執行下列命令。
```
set interface vpnt1 mtu 1436
```
針對通道 2，執行下列命令。
```
set interface vpnt2 mtu 1436
```
使用組態檔案 IPSec Tunnel #2 區段下的資訊，重複這些步驟來建立第二個通道。

設定靜態路由

在此步驟中，在每個通道的 VPC 中指定子網路的靜態路由，讓您可以透過通道界面傳送流量。萬一第一個通道出問題，第二個通道會啟用容錯移轉。如果偵測到問題，以政策為基礎的靜態路由從路由表移除，並啟用第二個路由。您也必須讓 Check Point 閘道 ping 到通道的另一端，確認通道是否為啟動。

在 Gaia 入口網站中，選擇 IPv4 Static Routes (IPv4 靜態路由)、Add (新增)。
指定子網路的 CIDR (例如 10.28.13.0/24)。
選擇 Add Gateway (新增閘道)、IP Address (IP 地址)。
輸入組態檔案中針對 VGW Tunnel IP 所指定的 IP 地址 (例如 169.254.44.233)，然後指定優先順序 1。
選取 Ping。
使用組態檔案 IPSec Tunnel #2 區段下的 VGW Tunnel IP 值，針對第二個通道重複步驟 3 和 4。指定優先順序 2。
選擇 Save (儲存)。

如果您使用叢集，則請針對其他叢集成員重複上述步驟。

定義新的網路物件

在此步驟中，您會建立每個 VPN 通道的網路物件，指定虛擬私有閘道的公有 (外部) IP 地址。您稍後會將這些網路物件新增為您 VPN 社群的附屬閘道。您也需要建立空白群組，做為 VPN 網域的預留位置。

開啟 Check Point SmartDashboard。
針對 Groups (群組)，開啟內容選單，然後選擇 Groups (群組)、Simple Group (簡易群組)。您可以為每個網路物件使用相同的群組。
針對 Network Objects (網路物件)，開啟內容 (按右鍵) 選單，然後選擇 New (新增)、Interoperable Device (互通裝置)。
針對 Name (名稱)，輸入您為您的通道所提供的名稱，例如 AWS_VPC_Tunnel_1 或 AWS_VPC_Tunnel_2。
針對 IPv4 Address (IPv4 地址)，輸入組態檔案中提供的虛擬私有閘道外部 IP 地址，例如 54.84.169.196。儲存您的設定，然後關閉對話方塊。
在 SmartDashboard 中，開啟閘道屬性，並在分類窗格中選擇 Topology (拓撲)。
若要擷取界面組態，請選擇 Get Topology (取得拓撲)。
在 VPN Domain (VPN 網域) 區段中，選擇 Manually defined (手動定義)，然後瀏覽並選取您在步驟 2 中建立的空白簡易群組。選擇 OK (確定)。

注意
您可以保留您已設定的任何現有 VPN 網域。但請確保使用或由新 VPN 連接提供的主機和網路都並非在該 VPN 網域中宣告，尤其是當 VPN 網域是自動衍生時。
使用組態檔案 IPSec Tunnel #2 區段下的資訊，重複這些步驟來建立第二個網路物件。

注意

若您使用叢集，請編輯拓撲並將界面定義為叢集界面。使用組態檔案中指定的 IP 地址。

建立及設定 VPN 社群、IKE 和 IPsec 設定

在此步驟中，您會在您的 Check Point 閘道上建立 VPN 社群，並在將每個通道的網路物件 (互通裝置) 新增至其中。您也可以設定網際網路金鑰交換 (IKE) 和 IPsec 設定。

從您的閘道屬性中，在分類窗格中選擇 IPSec VPN。
選擇 Communities (社群)、New (新增)、Star Community (星型社群)。
為您的社群提供名稱 (例如 AWS_VPN_Star)，然後在分類窗格中選擇 Center Gateways (中央閘道)。
選擇 Add (新增)，然後將您的閘道或叢集新增到參與者閘道清單。
在分類窗格中，選擇 Satellite Gateways (附屬閘道)、Add (新增)，然後將您先前建立的互通裝置 (AWS_VPC_Tunnel_1 和 AWS_VPC_Tunnel_2) 新增到參與者閘道清單。
在分類窗格中，選擇 Encryption (加密)。在 Encryption Method (加密方法) 區段中，選擇 IKEv1 only (僅限 IKEv1)。在 Encryption Suite (加密產品套件) 區段中，選擇 Custom (自訂)、Custom Encryption (自訂加密)。
在對話方塊中，設定加密屬性如下，然後在完成時選擇 OK (確定)：
- IKE 安全關聯 (階段 1) 屬性：
  - Perform key exchange encryption with (使用下列方式執行金鑰交換)：AES-128
  - Perform data integrity with (使用下列方式執行資料完整性)：SHA-1
- IPsec 安全關聯 (階段 2) 屬性：
  - Perform IPsec data encryption with (使用下列方式執行 IPsec 資料加密)：AES-128
  - Perform data integrity with (使用下列方式執行資料完整性)：SHA-1
在分類窗格中，選擇 Tunnel Management (通道管理)。選擇 Set Permanent Tunnels (設定永久通道)、On all tunnels in the community (在社群中的所有通道上)。在 VPN Tunnel Sharing (VPN 通道共享) 區段中，選擇 One VPN tunnel per Gateway pair (每個閘道對一個 VPN 通道)。
在分類窗格中，展開 Advanced Settings (進階設定) 並選擇 Shared Secret (共享秘密)。
選取第一個通道的對等名稱、選擇 Edit (編輯)，然後輸入組態檔案中 IPSec Tunnel #1 區段內指定的預先共用金鑰。
選取第二個通道的對等名稱、選擇 Edit (編輯)，然後輸入組態檔案中 IPSec Tunnel #2 區段內指定的預先共用金鑰。
在 Advanced Settings (進階設定) 分類中，選擇 Advanced VPN Properties (進階 VPN 屬性)，設定屬性如下，然後在完成時選擇 OK (確定)：
- IKE (階段 1)：
  - Use Diffie-Hellman group (使用 Diffie-Hellman 群組)：Group 2
  - Renegotiate IKE security associations every 480 minutes (每 480 分鐘重新交涉 IKE 安全關聯)
- IPsec (階段 2)：
  - 選擇 Use Perfect Forward Secrecy (使用完美遠期保密)
  - Use Diffie-Hellman group (使用 Diffie-Hellman 群組)：Group 2
  - Renegotiate IPsec security associations every 3600 seconds (每 3600 秒重新交涉 IPsec 安全關聯)

建立防火牆規則

在此步驟中，您會使用防火牆規則和允許 VPC 和本機網路間通訊的方向性比對規則來設定政策。您接著便會在您的閘道上安裝政策。

在 SmartDashboard 中，為您的閘道選擇 Global Properties (全域屬性)。在分類窗格中，展開 VPN 並選擇 Advanced (進階)。
選擇 Enable VPN Directional Match in VPN Column (在 VPN 欄中啟用 VPN 方向性比對)，然後儲存您的變更。
在 SmartDashboard 中，選擇 Firewall (防火牆)，然後使用下列規則建立政策：
- 允許 VPC 子網路透過必要的通訊協定，與本機網路進行通訊。
- 允許本機網路透過必要的通訊協定，與 VPC 子網路進行通訊。
開啟 VPN 欄中儲存格的內容選單，然後選擇 Edit Cell (編輯儲存格)。
在 VPN Match Conditions (VPN 比對條件) 對話方塊中，選擇 Match traffic in this direction only (僅比對此方向的流量)。透過為每個項目選擇 Add (新增) 來建立下列方向性比對規則，並在完成時選擇 OK (確定)：
- internal_clear > VPN 社群 (您先前建立的 VPN 星型社群，例如 )AWS_VPN_Star
- VPN 社群 > VPN 社群
- VPN 社群 > internal_clear
在 SmartDashboard 中，選擇 Policy (政策)、Install (安裝)。
在對話方塊中，選擇您的閘道，然後選擇 OK (確定) 以安裝政策。

修改 tunnel_keepalive_method 屬性

您的 Check Point 閘道可以使用無效對等偵測 (DPD) 來識別 IKE 關聯是否已關閉。若要為永久通道設定 DPD，必須先在 AWS VPN 社群中設定永久通道 (請參閱步驟 8)。

根據預設，VPN 閘道的 tunnel_keepalive_method 屬性已設為 tunnel_test。您必須將值變更為 dpd。在 VPN 社群中的每個 VPN 閘道都會要求 DPD 監控必須設定 tunnel_keepalive_method 屬性，包括任何第三方 VPN 閘道。您不能為相同的閘道設定不同的監控機制。

您可以使用 GuiDBedit 工具更新 tunnel_keepalive_method 屬性。

開啟 Check Point SmartDashboard，然後選擇 Security Management Server (安全管理伺服器)、Domain Management Server (網域管理伺服器)。
選擇 File (檔案)、Database Revision Control... (資料庫修訂控制...)，並建立修訂快照。
關閉所有 SmartConsole 視窗，例如 SmartDashboard、SmartView Tracker 和 SmartView Monitor。
啟動 GuiDBedit 工具。如需詳細資訊，請參閱 Check Point Support Center 上的 Check Point Database Tool 文章。
選擇 Security Management Server (安全管理伺服器)、Domain Management Server (網域管理伺服器)。
在左上方的窗格中，選擇 Table (資料表)、Network Objects (網路物件)、network_objects。
在右上方窗格中，選取相關的 Security Gateway (安全閘道)、Cluster (叢集) 物件。
按下 CTRL+F，或使用 Search (搜尋) 選單搜尋下列內容：tunnel_keepalive_method。
在下方窗格中，開啟 tunnel_keepalive_method 的內容選單，然後選擇 Edit... (編輯...)。選擇 dpd，然後選擇 OK (確定)
為每個做為 AWS VPN 社群一部分的閘道重複步驟 7 到 9。
選擇 File (檔案)、Save All (全部儲存)。
關閉 GuiDBedit 工具。
開啟 Check Point SmartDashboard，然後選擇 Security Management Server (安全管理伺服器)、Domain Management Server (網域管理伺服器)。
在相關 Security Gateway (安全閘道)、Cluster (叢集) 物件上安裝政策。

如需詳細資訊，請參閱 Check Point Support Center 上的 New VPN features in R77.10 文章。

啟用 TCP MSS 夾鉗

TCP MSS 夾鉗降低 TCP 封包的區段大小上限，防止封包分散。

導覽至下列目錄：C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\。
透過執行 GuiDBEdit.exe 檔案，開啟 Check Point Database Tool。
選擇 Table (資料表)、Global Properties (全域屬性)、properties (屬性)。
針對 fw_clamp_tcp_mss，選擇 Edit (編輯)。將值變更為 true，然後選擇 OK (確定)。

驗證通道狀態

您可以透過在命令列工具以專家模式執行下列命令，來驗證通道狀態。


vpn tunnelutil

在顯示的選項中，選擇 1 來驗證 IKE 關聯，以及 2 來驗證 IPsec 關聯。

您也可以使用 Check Point Smart Tracker Log 來驗證連線上的封包都已加密。例如，下列日誌指出目標為 VPC 的封包是透過通道 1 傳送的且目前已加密。

SonicWALL

下列程序示範如何使用 SonicOS 管理界面在 SonicWALL 裝置上設定 VPN 通道。

設定通道

開啟 SonicWALL SonicOS 管理界面。
在左側窗格中，選擇 VPN、Settings (設定)。在 VPN Policies (VPN 政策) 下，選擇 Add... (新增...)。
在 General (一般) 標籤的 VPN 政策視窗上，填妥下列資訊：
- Policy Type (政策類型)：選擇 Tunnel Interface (通道界面)。
- Authentication Method (身份驗證方法)：選擇 IKE using Preshared Secret (IKE 使用預先共享秘密)。
- Name (名稱)：輸入 VPN 政策的名稱。建議您使用組態檔案中提供的 VPN ID 名稱。
- IPsec Primary Gateway Name or Address (IPsec 主要閘道名稱或地址)：輸入組態檔案中提供的虛擬私有閘道 IP 地址 (例如 72.21.209.193)。
- IPsec Secondary Gateway Name or Address (IPsec 輔助閘道名稱或地址)：保留預設值。
- Shared Secret (共享秘密)：輸入組態檔案中提供的預先共享金鑰，並在 Confirm Shared Secret (確認共享秘密) 中再輸入一次。
- Local IKE ID (本地 IKE ID)：輸入客戶閘道 (SonicWALL 裝置) 的 IPv4 地址。
- Peer IKE ID (對等 IKE ID)：輸入虛擬私有閘道的 IPv4 地址。
在 Network (網路) 標籤上，填妥下列資訊：
- 在 Local Networks (本地網路) 下，選擇 Any address (任何地址)。建議使用此選項以防止本地網路出現連線問題。
- 在 Remote Networks (遠端網路) 下，選擇 Choose a destination network from list (從清單選擇目標網路)。在 AWS 中使用您 VPC 的 CIDR 建立地址物件。
在 Proposals (提案) 標籤上，填妥下列資訊：
- 在 IKE (Phase 1) Proposal (IKE (階段 1) 提案) 下，執行下列作業：
  - Exchange (交換)：選擇 Main Mode (主要模式)。
  - DH Group (DH 群組)：輸入 Diffie-Hellman 群組的值 (例如 2)。
  - Encryption (加密)：選擇 AES-128 或 AES-256。
  - Authentication (身份驗證)：選擇 SHA1 或 SHA256。
  - Life Time (生命週期)：輸入 28800。
- 在 IKE (Phase 2) Proposal (IKE (階段 2) 提案) 下，執行下列作業：
  - Protocol (通訊協定)：選擇 ESP。
  - Encryption (加密)：選擇 AES-128 或 AES-256。
  - Authentication (身份驗證)：選擇 SHA1 或 SHA256。
  - 選取 Enable Perfect Forward Secrecy (啟用完美遠期保密) 核取方塊，並選擇 Diffie-Hellman 群組。
  - Life Time (生命週期)：輸入 3600。
重要
如果您的虛擬私有閘道是在 2015 年 10 月之前建立，則必須為這兩個階段指定 Diffie-Hellman 群組 2、AES-128 和 SHA1。
在 Advanced (進階) 標籤上，填妥下列資訊：
- 選取 Enable Keep Alive (啟用保持有效)。
- 選取 Enable Phase2 Dead Peer Detection (啟用 Phase2 失效對等偵測) 並輸入下列內容：
  - 針對 Dead Peer Detection Interval (失效對等偵測週期)，輸入 60 (這是 SonicWALL 裝置接受的最小值)。
  - 針對 Failure Trigger Level (故障觸發層級)，輸入 3。
- 針對 VPN Policy bound to (繫結的 VPN 政策)，選取 Interface X1 (界面 X1)。這是通常為公有 IP 地址指定的界面。
選擇 OK (確定)。在 Settings (設定) 頁面上，通道的 Enable (啟用) 核取方塊預設應為已選取。綠點指出通道已啟用。

Cisco 裝置的其他資訊

有些 Cisco ASA 僅支援作用中/待命模式。當您使用這些 Cisco ASA 時，一次只能有一個作用中的通道。如果第一個通道變成無法使用，則另一個待命通道會變成作用中。有此備援，您應能一直透過其中一個通道和您的 VPC 保持連線。

Cisco ASA 9.7.1 版和更新版本支援作用中/作用中模式。當您使用這些 Cisco ASA 時，可同時讓兩個通道皆為作用中模式。有此備援，您應能一直透過其中一個通道和您的 VPC 保持連線。

對於 Cisco 裝置，您必須執行下列動作：

設定外部界面。
確定 Crypto ISAKMP 政策序列號是唯一的。
確定 Crypto 清單政策序列號是唯一的。
確定 Crypto IPsec 轉換集合和 Crypto ISAKMP 政策序列與裝置上設定的任何其他 IPsec 通道都沒有衝突。
確定 SLA 監控編號是唯一的。
設定在客戶閘道裝置和您本機網路之間移動流量的所有內部路由。

測試

如需關於測試您的 Site-to-Site VPN 連接的詳細資訊，請參閱測試站台對站台 VPN 連接。。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

客戶閘道裝置

動態路由的組態範例 (BGP)