客戶閘道裝置
「客戶閘道裝置」是您在內部部署網路 (Site-to-Site VPN 連接位於您這端) 中擁有或管理的實體或軟體設備。您或您的網路管理員必須將裝置設定為使用 Site-to-Site VPN 連接。
下圖顯示您的網路、客戶閘道裝置和通往虛擬私有閘道的 VPN 連接 (已附加至您的 VPC)。客戶閘道裝置與虛擬私有閘道之間的兩行代表 VPN 連接的通道。如果 AWS 內出現裝置故障,VPN 連接會自動容錯移轉到第二個通道以確保存取不中斷。有時候,AWS 也會執行 VPN 連接的例行維護,這會短暫停用兩個 VPN 連接通道中的一個。如需詳細資訊,請參閱 替換站台對站台 VPN 通道端點。因此,在設定客戶閘道裝置時,務必設定兩個通道。
如需設定 VPN 連接的步驟,請參閱 入門。在此程序期間,您將在 AWS 中建立客戶閘道資源,以向 AWS 提供裝置的相關資訊,例如其公用 IP 地址。如需詳細資訊,請參閱 站台對站台 VPN 連接的客戶閘道選項。AWS 中的客戶閘道資源不會設定或建立客戶閘道裝置。您必須自行設定裝置。
您也可以在 AWSMarketplace
組態檔案範例
建立 VPN 連接之後,還可以選擇從 Amazon VPC 主控台或使用 EC2 API 下載 AWS 提供的範例組態檔案。如需詳細資訊,請參閱 下載組態檔案。您也可以下載專門用於靜態與動態路由的示例配置 .zip 檔案:
AWS 提供的範例組態檔案包含針對 VPN 連接的特定資訊,您可以用它來設定客戶閘道裝置。這些裝置特定的組態檔案僅針對 AWS 已測試過的裝置提供。如果您的特定客戶閘道裝置未列出,您可以下載一般組態檔案作為進一步設定的基礎。
組態檔案僅為範例,可能與您想要的 Site-to-Site VPN 連接設定不相符。檔案指定 Site-to-Site VPN 連接的最低要求,包括對於多數 AWS 區域中之 AES128、SHA1 以及 Diffie-Hellman 群組 2 ,以及對 AWS GovCloud 區域中的 AES128、SHA2 以及 Diffie-Hellman 群組 14。它還指定將預先共用金鑰用於身分驗證。您必須修改範例組態檔案,才能利用其他安全性演算法、Diffie-Hellman 群組、私有憑證及 IPv6 流量。
這些裝置特定的組態檔案由 AWS 竭力提供。雖然 AWS 已對其進行測試,此測試仍是有限。若遇到組態檔案的問題,您可能需要聯絡特定廠商以取得額外支援。
下表包含的裝置清單均具有可供下載且已更新為支援 IKEv2 的範例組態檔案。我們在許多熱門客戶閘道裝置的組態檔案中引入了 IKEv2 支援,之後會繼續新增其他檔案。新增更多範例組態檔案時此清單也會隨之更新。
| 廠商 | 平台 | 軟體 |
|---|---|---|
|
Checkpoint |
Gaia |
R80.10 |
|
Cisco Meraki |
MX 系列 |
15.12+ (WebUI) |
|
Cisco Systems, Inc. |
ASA 5500 系列 |
ASA 9.7+ VTI |
|
Cisco Systems, Inc. |
CSRv AMI |
IOS 12.4+ |
|
Fortinet |
Fortigate 40+ 系列 |
FortiOS 6.4.4+ (GUI) |
|
Juniper Network, Inc. |
J 系列路由器 |
JunOS 9.5+ |
|
Juniper Network, Inc. |
SRX 路由器 |
JunOS 11.0+ |
|
Mikrotik |
RouterOS |
6.44.3 |
|
Palo Alto Networks |
PA 系列 |
PANOS 7.0+ |
|
SonicWall |
NSA、TZ |
OS 6.5 |
|
Sophos |
Sophos 防火牆 |
v19 + |
|
Strongswan |
Ubuntu 16.04 |
Strongswan 5.5.1+ |
|
Yamaha |
RTX 路由器 |
Rev. 10.01.16+ |
客戶閘道裝置的需求
如果上述範例清單中未包含您的裝置,本節會說明建立 Site-to-Site VPN 連接所用裝置必須達到的需求。
客戶閘道裝置的組態有四個主要部分。下列符號代表組態的每一個部分。
|
網際網路金鑰交換 (IKE) 安全關聯。這對於交換用來建立 IPsec 安全關聯的金鑰是必要的。 |
|
IPsec 安全關聯。這會處理通道的加密、身份驗證等。 |
|
通道界面。這會接收往返通道的流量。 |
|
(選用) 邊界閘道協定 (BGP) 對等互連。對於使用 BGP 的裝置,這會交換客戶閘道裝置和虛擬私有閘道之間的路由。 |
下表列出客戶閘道裝置的需求、相關 RFC (參考用) 以及需求的註解。
每個 VPN 連接包含兩個完全獨立的通道。每個通道都包含 IKE 安全關聯、IPsec 安全關聯和 BGP 對等互連。每個通道只能有一個唯一的安全關聯 (SA) 配對 (一個傳入和一個傳出),因此兩個通道共有兩個唯一 SA 配對 (四個 SA)。有些裝置使用具政策規定的 VPN,並會建立與 ACL 項目相同數量的 SA。因此,您可能需要整合規則,然後進行篩選,以避免非預期的流量。
根據預設,VPN 通道會在產生流量且 IKE 交涉是從您的 VPN 連線一側啟動時出現。您可以進行 VPN 連接設定,改為從連線的 AWS 端啟動 IKE 交涉。如需詳細資訊,請參閱 站台對站台 VPN 通道啟動選項。
VPN 端點支援重設金鑰,且當階段 1 即將過期時,如果客戶閘道裝置尚未傳送任何重新交涉流量,可啟動重新交涉。
| 要求 | RFC | 評論 |
|---|---|---|
|
建立 IKE 安全關聯
|
首先會將預先共用金鑰或使用 AWS Private Certificate Authority 的私有憑證做為驗證者,建立虛擬私有閘道與客戶閘道裝置之間的 IKE 安全關聯。建立之後,IKE 會交涉暫時性金鑰以保護未來 IKE 訊息的安全。參數之間必須完全一致,包括加密和身份驗證參數。 當您在 AWS 中建立 VPN 連接時,請為每個通道指定您自己的預先共享金鑰,或是讓 AWS 為您建立一個。或者,您可以使用 AWS Private Certificate Authority 來指定要用於客戶閘道裝置的私有憑證。如需有關設定 VPN 通道的詳細資訊,請參閱 站台對站台 VPN 連接的通道選項。 支援下列版本:IKEv1 和 IKEv2。 主要模式僅支援 IKEv1。 Site-to-Site VPN 服務是以路由為基礎的解決方案。如果您使用以政策為基礎的組態,您必須將組態限制為單一安全關聯 (SA)。 |
|
|
以通道模式建立 IPsec 安全關聯
|
使用 IKE 暫時性金鑰時,會建立虛擬私有閘道與客戶閘道裝置之間的金鑰以形成 IPsec 安全關聯 (SA)。系統會使用此 SA 來加密和解密閘道之間的流量。IKE 會定期自動輪換用來加密 IPsec SA 內部流量的暫時性金鑰,以保障通訊的機密性。 |
|
|
使用 AES 128 位元加密或 AES 256 位元加密函數 |
加密函數可用來確保 IKE 和 IPsec 安全關聯之間的隱私權。 |
|
|
使用 SHA-1 或 SHA-2 (256) 雜湊函數 |
此雜湊函數可用來驗證 IKE 和 IPsec 安全關聯。 |
|
|
使用 Diffie-Hellman 完整轉寄密碼。 |
IKE 會使用 Diffie-Hellman 來建立暫時性金鑰,以保護客戶閘道裝置與虛擬私有閘道之間的所有通訊。 支援以下群組:
|
|
|
(動態路由 VPN 連接) 使用 IPsec 失效對等偵測 |
失效對等偵測可讓 VPN 裝置快速辨識出無法透過網際網路交付封包的網路狀況。在此情況下,閘道會偵測安全關聯,並嘗試建立新的關聯。程序進行期間,會盡可能使用備用 IPsec 通道。 |
|
|
(動態路由 VPN 連接) 將通道繫結至邏輯界面 (路由型 VPN)
|
None (無) |
您的裝置必須能夠將 IPsec 通道繫結至邏輯界面。邏輯界面包含可用來對虛擬私有閘道建立 BGP 對等互連的 IP 地址。此邏輯界面不應執行任何額外封裝 (例如 GRE 或 IP in IP)。您的界面應該設為 1399 位元組最大傳輸單位 (MTU)。 |
|
(動態路由 VPN 連接) 建立 BGP 對等互連
|
如果裝置使用 BGP,其會使用 BGP 來交換客戶閘道裝置和虛擬私有閘道之間的路由。所有 BGP 流量都會透過 IPsec 安全關聯來加密和傳輸。兩種閘道都必須使用 BGP 來交換可透過 IPsec SA 存取的 IP 字首。 |
AWS VPN 連接不支援路徑 MTU 探索 (RFC 1191
如果客戶閘道裝置和網際網路間有防火牆,請參閱設定網際網路和客戶閘道裝置之間的防火牆。
客戶閘道裝置的最佳實務
重設封包上的「Don't Fragment (DF)」標記
有些封包具有 Don't Fragment (DF) (不要切割為片段) 標記,其指出不應將封包切割為片段。如果封包具有此標記,閘道即會產生 ICMP Path MTU Exceeded (已超過 ICMP 路徑 MTU) 訊息。在某些情況下,應用程式不具備足以處理這些 ICMP 訊息及減少每個封包傳輸之資料量的機制。有些 VPN 裝置可以覆寫 DF 標記,並可視需要無條件將封包切割為片段。如果您的客戶閘道裝置具備此功能,建議您視需要使用它。請參閱 RFC 791
加密前將 IP 封包切割為片段
為免效能不彰,強烈建議您先將封包切割為片段再進行加密。當封包太大而無法傳輸時,就必須將其切割為片段。我們建議您先設定 VPN 裝置來將封包切割為片段,再以 VPN 標題封裝這些封包 (如果必須切割為片段)。請參閱 RFC 4459
根據使用中的演算法調整 MTU 和 MSS 大小
TCP 封包通常是 IPsec 通道中最普遍的封包類型。Site-to-Site VPN 支援 1446 位元組的最大傳輸單位 (MTU) 和對應的 1406 位元組的最大區段大小 (MSS)。但是,加密演算法具有不同的標題大小,可能會阻止達成這些最大值的能力。若要透過避免分段來獲得最佳效能,我們建議您專門根據使用中演算法來設定 MTU 和 MSS。
使用下列表格來設定 MTU/MSS 以避免分段並達成最佳效能:
| 加密演算法 | 雜湊演算法 | NAT 周遊 | MTU | MSS (IPv4) | MSS (IPv6-in-IPv4) |
|---|---|---|---|---|---|
|
AES-GCM-16 |
N/A |
disabled |
1446 |
1406 |
1386 |
|
AES-GCM-16 |
N/A |
已啟用 |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/SHA2-256 |
disabled |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/SHA2-256 |
已啟用 |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
已啟用 |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
已啟用 |
1406 |
1366 |
1346 |
AES-GCM 演算法涵蓋了加密和身分驗證,因此沒有會影響 MTU 的獨特身分驗證演算法選擇。
設定網際網路和客戶閘道裝置之間的防火牆
您必須具備靜態 IP 地址,以將其做為將客戶閘道裝置連接至 AWS Site-to-Site VPN 端點的 IPsec 通道端點。如果防火牆位於 AWS 和您的客戶閘道裝置之間,則必須符合下表所列規則,以建立 IPsec 通道。AWS 端的 IP 地址將位於組態檔案中。
|
輸入規則 I1 |
|
|---|---|
|
來源 IP |
虛擬私有閘道 1 |
|
目標 IP |
客戶閘道 |
|
通訊協定 |
UDP |
|
來源連接埠 |
500 |
|
目的地 |
500 |
|
輸入規則 I2 |
|
|
來源 IP |
虛擬私有閘道 2 |
|
目標 IP |
客戶閘道 |
|
通訊協定 |
UDP |
|
來源連接埠 |
500 |
|
目標連接埠 |
500 |
|
輸入規則 I3 |
|
|
來源 IP |
虛擬私有閘道 1 |
|
目標 IP |
客戶閘道 |
|
通訊協定 |
IP 50 (ESP) |
|
輸入規則 I4 |
|
|
來源 IP |
虛擬私有閘道 2 |
|
目標 IP |
客戶閘道 |
|
通訊協定 |
IP 50 (ESP) |
|
輸出規則 O1 |
|
|---|---|
|
來源 IP |
客戶閘道 |
|
目標 IP |
虛擬私有閘道 1 |
|
通訊協定 |
UDP |
|
來源連接埠 |
500 |
|
目標連接埠 |
500 |
|
輸出規則 O2 |
|
|
來源 IP |
客戶閘道 |
|
目標 IP |
虛擬私有閘道 2 |
|
通訊協定 |
UDP |
|
來源連接埠 |
500 |
|
目標連接埠 |
500 |
|
輸出規則 O3 |
|
|
來源 IP |
客戶閘道 |
|
目標 IP |
虛擬私有閘道 1 |
|
通訊協定 |
IP 50 (ESP) |
|
輸出規則 O4 |
|
|
來源 IP |
客戶閘道 |
|
目標 IP |
虛擬私有閘道 2 |
|
通訊協定 |
IP 50 (ESP) |
規則 I1、I2、O1 和 O2 可啟用 IKE 封包的傳輸。規則 I3、I4、O3 和 O4 可啟用含加密網路流量的 IPsec 封包的傳輸。
如果您在裝置上使用 NAT 周遊 (NAT-T),請確保您網路和 AWS Site-to-Site VPN 端點之間也允許傳遞連接埠 4500 上的 UDP 流量。確認您的裝置是否公告 NAT-T。
多重 VPN 連接案例
在以下情況,您可能會與一或多個客戶閘道裝置建立多個 VPN 連接。
使用相同客戶閘道裝置進行多重 VPN 連接
您可以使用相同的客戶閘道裝置,從內部部署位置建立連往其他 VPC 的額外 VPN 連接。您可以針對每個 VPN 連接重複使用相同的客戶閘道 IP 地址。
使用第二個客戶閘道裝置進行備援 VPN 連接
為了避免在客戶閘道裝置無法使用時失去連線,您可以使用第二個客戶閘道裝置來設定第二個 VPN 連接。如需詳細資訊,請參閱 使用備援的站台對站台 VPN 連接來提供容錯移轉。當您在單一位置中建立備援客戶閘道裝置時,這兩個裝置都應公告相同的 IP 範圍。
多個客戶閘道裝置連接到單一虛擬私有閘道 (AWS VPN CloudHub)
您可以從多個客戶閘道裝置建立對單一虛擬私有閘道的多個 VPN 連接。這可讓您將多個位置連接到 AWS VPN CloudHub。如需詳細資訊,請參閱 使用 VPN CloudHub 提供網站間的安全通訊。當您在多個地理位置中具有客戶閘道裝置時,每個裝置都應公告位置專屬的唯一 IP 範圍集。
客戶閘道裝置的路由
AWS 建議您公告具體的 BGP 路由,以影響虛擬私有閘道中的路由決策。請查看您的廠商文件,以取得裝置專屬的命令。
當您建立多個 VPN 連線時,虛擬私有閘道會使用靜態指派的路由或 BGP 路由公告,將網路流量傳送給適當的 VPN 連線。要使用哪一個路由,取決於 VPN 連接的設定。若虛擬私有閘道中存在相同的路由,則靜態指派的路由優先於 BGP 公告路由。如果您選取使用 BGP 公告的選項,則無法指定靜態路由。
如需路由優先順序的詳細資訊,請參閱 路由表與 VPN 路由優先順序。
