本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 開始使用 AWS Site-to-Site VPN
使用下列程序來設定 AWS Site-to-Site VPN 連線。在建立期間,您將指定虛擬私有閘道、傳輸閘道、Site-to-Site VPN 集中器或「未關聯」作為目標閘道類型。如果您指定「未關聯」,您可以稍後選擇目標閘道類型,也可以將其用作 AWS Cloud WAN 的 VPN 連接。本教學課程可協助您使用虛擬私有閘道建立 VPN 連接。它會假設您的現有 VPC 有一或多個子網路。
若要使用虛擬私有閘道來設定 VPN 連接,請完成下列步驟:
**Topics**
+ [先決條件](#vpn-prerequisites)
+ [建立客戶閘道](#vpn-create-cgw)
+ [建立目標閘道](#vpn-create-target-gateway)
+ [設定路由](#vpn-configure-route-tables)
+ [更新您的安全群組](#vpn-configure-security-groups)
+ [建立 VPN 連接](#vpn-create-vpn-connection)
+ [下載組態檔案](#vpn-download-config)
+ [設定客戶閘道裝置](#vpn-configure-customer-gateway-device)
**相關作業**
+ 若要為 AWS Cloud WAN 建立 VPN 連接,請參閱 [使用 CLI 或 API 建立 VPN Cloud WAN 連線](create-cwan-vpn-attachment.md)。
+ 若要在傳輸閘道上建立 VPN 連接,請參閱 [建立 VPN 連接](create-vpn-connection.md)。
## 先決條件
您需要下列資訊,以便設定和配置 VPN 連接的元件。
| 項目 | 資訊 |
| --- | --- |
| 客戶閘道裝置 | VPN 連接在您這端的實體或軟體裝置。您需要廠商 (例如 Cisco)、平台 (例如 ISR 系列路由器) 以及軟體版本 (例如 IOS 12.4)。 |
| 客戶閘道 | 若要在 中建立客戶閘道資源 AWS,您需要以下資訊:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpn/latest/s2svpn/SetUpVPNConnections.html)如需詳細資訊,請參閱[客戶閘道選項](cgw-options.md)。 |
| (選用) BGP 工作階段 AWS 端的 ASN | 您可以在建立虛擬私有閘道或傳輸閘道時指定此選項。若未指定值,即會套用預設 ASN。如需更多詳細資訊,請參閱 [虛擬私有閘道](how_it_works.md#VPNGateway)。 |
| VPN 連接 | 若要建立 VPN 連接,您需要下列資訊:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/vpn/latest/s2svpn/SetUpVPNConnections.html) |
## 步驟 1:建立客戶閘道
客戶閘道會將客戶閘道裝置或軟體應用程式 AWS 的相關資訊提供給 。如需詳細資訊,請參閱[客戶閘道](how_it_works.md#CustomerGateway)。
如果您打算使用私有憑證來驗證 VPN,請使用 從次級 CA 建立私有憑證 AWS 私有憑證授權單位。如需建立私有憑證的詳細資訊,請參閱《*AWS 私有憑證授權單位 使用者指南*》中的[建立及管理私有 CA](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html)。
**注意**
您必須指定私有憑證的 IP 地址或 Amazon 資源名稱。
**使用主控台建立客戶閘道**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**客戶閘道**。
1. 選擇**建立客戶閘道**。
1. (選用) 針對 **Name (名稱)**,輸入您客戶閘道的名稱。執行此作業會使用 `Name` 做為索引鍵,以及您指定的值來建立標籤。
1. 對於 **BGP ASN**,輸入您客戶閘道的邊界閘道協定 (BGP) 自主系統編號 (ASN)。
1. 針對 **IP 地址類型**,選取下列其中一個選項:
+ **IPv4** - (預設) 為您的客戶閘道裝置指定 IPv4 地址。
+ **IPv6** - 為您的客戶閘道裝置指定 IPv6 地址。使用 IPv6 外部通道 IPs建立 VPN 連接時,需要此選項。
1. 針對 **IP 地址**,輸入客戶閘道裝置的靜態、網際網路可路由 IP 地址。如果您的客戶閘道裝置位在啟用 NAT-T 的 NAT 裝置後端,請使用 NAT 裝置的公有 IP 地址。
1. (選用) 如果您要使用私有憑證,對於 **Certificate ARN** (憑證 ARN),請選擇私有憑證的 Amazon 資源名稱。
1. (選用) 對於**裝置**,輸入與此客戶閘道關聯的客戶閘道裝置名稱。
1. 選擇**建立客戶閘道**。
**使用命令列或 API 建立客戶閘道**
+ [CreateCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateCustomerGateway.html) (Amazon EC2 查詢 API)
+ [create-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-customer-gateway.html) (AWS CLI)
建立 IPv6 客戶閘道的範例:
```
aws ec2 create-customer-gateway --ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
```
+ [New-EC2CustomerGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2CustomerGateway.html) (AWS Tools for Windows PowerShell)
## 步驟 2:建立目標閘道
若要在 VPC 與內部部署網路之間建立 VPN 連線,您必須在連線的 AWS 端建立目標閘道。目標閘道可以是虛擬私有閘道或傳輸閘道。
### 建立虛擬私有閘道
當您建立虛擬私有閘道時,您可為閘道的 Amazon 端指定私有自發系統編號 (ASN),或使用 Amazon 預設 ASN。這個 ASN 和客戶閘道指定的 ASN 絕不能相同。
在您建立虛擬私有閘道之後,您必須予以連接至您的 VPC。
**建立虛擬私有閘道並予以連接至您的 VPC**
1. 在導覽窗格中,選擇**虛擬私有閘道**。
1. 選擇 **Create Virtual Private Gateway (建立虛擬私有閘道)**。
1. (選用) 輸入您虛擬私有閘道的**名稱標籤**。執行此作業會使用 `Name` 做為索引鍵,以及您指定的值來建立標籤。
1. 針對**自治系統編號 (ASN)**,保留預設選項 **Amazon 預設 ASN** 以使用預設的 Amazon ASN。否則,請選擇 **Custom ASN** (自訂 ASN) 並輸入值。對於 16 位元的 ASN,此值的範圍必須為 64512 到 65534。對於 32 位元的 ASN,此值的範圍必須為 4200000000 到 4294967294。
1. 選擇 **Create Virtual Private Gateway (建立虛擬私有閘道)**。
1. 選取您建立的虛擬私有閘道,然後選擇 **Actions (動作)**、**Attach to VPC (連接到 VPC)**。
1. 針對**可用的 VPC**,選擇您的 VPC,然後選擇**連接至 VPC**。
**使用命令列或 API 建立虛擬私有閘道**
+ [CreateVpnGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnGateway.html) (Amazon EC2 查詢 API)
+ [create-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-gateway.html) (AWS CLI)
+ [New-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpnGateway.html) (AWS Tools for Windows PowerShell)
**使用命令列或 API 將虛擬私有閘道連接到 VPC**
+ [AttachVpnGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AttachVpnGateway.html) (Amazon EC2 查詢 API)
+ [attach-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/attach-vpn-gateway.html) (AWS CLI)
+ [Add-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Add-EC2VpnGateway.html) (AWS Tools for Windows PowerShell)
### 建立傳輸閘道
如需建立傳輸閘道的詳細資訊,請參閱 *Amazon VPC 傳輸閘道*中的[傳輸閘道](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。
## 步驟 3:設定路由
若要讓您 VPC 中的執行個體連接您的客戶閘道,您必須設定路由表,將您 VPN 連接所用的路由納入,並將路由指向您的虛擬私有閘道或傳輸閘道。
### (虛擬私有閘道) 在路由表中啟用路由傳播
您可以為您的路由表啟用路由傳播,以自動傳播 Site-to-Site VPN 路由。
至於靜態路由,當 VPN 連接的狀態為 `UP` 時,您為您 VPN 組態指定的靜態 IP 前綴會傳播到路由表。同樣地,對於動態路由,當 VPN 連接的狀態為 `UP` 時,您客戶閘道的 BGP 公告路由會傳播到路由表。
**注意**
如果您的連接中斷,但 VPN 連接維持 UP,則不會自動移除路由表中的任何傳輸路由。舉例來說,如果您希望流量容錯移轉至靜態路由,請記住這一點。在這種情況下,您可能必須停用路由傳播,才能移除傳播的路由。
**使用主控台啟用路由傳播**
1. 在導覽窗格中,選擇 **Route tables** (路由表)。
1. 選取與子網路相關聯的路由表。
1. 在**路由傳播**索引標籤上,選擇**編輯路由傳播**。選取您在先前程序中建立的虛擬私有閘道,然後選擇**儲存**。
**注意**
如果您不啟用路由傳播,則必須手動輸入您 VPN 連接所用的靜態路由。若要執行此作業,請選取您的路由表,然後選擇 **Routes** (路由)、**Edit** (編輯)。針對 **Destination** (目標),新增您 Site-to-Site VPN 連接所用的靜態路由。針對 **Target** (目標),選取虛擬私有閘道 ID,然後選擇 **Save** (儲存)。
**使用主控台停用路由傳播**
1. 在導覽窗格中,選擇 **Route tables** (路由表)。
1. 選取與子網路相關聯的路由表。
1. 在**路由傳播**索引標籤上,選擇**編輯路由傳播**。清除虛擬私有閘道的**傳播**核取方塊。
1. 選擇**儲存**。
**使用命令列或 API 啟用路由傳播**
+ [EnableVgwRoutePropagation](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_EnableVgwRoutePropagation.html) (Amazon EC2 查詢 API)
+ [enable-vgw-route-propagation](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-vgw-route-propagation.html) (AWS CLI)
+ [Enable-EC2VgwRoutePropagation](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2VgwRoutePropagation.html) (AWS Tools for Windows PowerShell)
**使用命令列或 API 停用路由傳播**
+ [DisableVgwRoutePropagation](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DisableVgwRoutePropagation.html) (Amazon EC2 查詢 API)
+ [disable-vgw-route-propagation](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-vgw-route-propagation.html) (AWS CLI)
+ [Disable-EC2VgwRoutePropagation](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2VgwRoutePropagation.html) (AWS Tools for Windows PowerShell)
### (傳輸閘道) 新增路由至您的路由表
如果您已為傳輸閘道啟用路由表傳播,VPN 連接的路由會傳播到傳輸閘道路由表。如需詳細資訊,請參閱《Amazon VPC Transit Gateways》**中的[路由](https://docs.aws.amazon.com/vpc/latest/tgw/how-transit-gateways-work.html#tgw-routing-overview)。
如果您將 VPC 連接到傳輸閘道,並且想要啟用 VPC 中的資源以到達您的客戶閘道,則必須將路由新增到子網路路由表,以指向傳輸閘道。
**將路由新增至 VPC 路由表**
1. 在導覽窗格中,選擇**路由表**。
1. 選擇與您 VPC 相關聯的路由表。
1. 在 **Routes (路由)** 標籤中,選擇 **Edit routes (編輯路由)**。
1. 選擇 **Add route (新增路由)**。
1. 對於**目的地**,請輸入目的地 IP 地址範圍。針對 **Target** (目標),選擇傳輸閘道。
1. 選擇**儲存變更**。
## 步驟 4:更新安全群組
若要允許從您的網路存取您 VPC 中的執行個體,您必須更新您的安全群組規則以啟用傳入 SSH、RDP 和 ICMP 存取。
**在您的安全群組中新增規則以啟用存取**
1. 在導覽窗格中,選擇**安全群組**。
1. 選取 VPC 中您要允許存取之執行個體的安全群組。
1. 在**傳入規則**索引標籤上,選擇**編輯傳入規則**。
1. 新增允許從您的網路存取傳入 SSH、RDP 和 ICMP 的規則,然後選擇**儲存規則**。如需詳細資訊,請參閱 *Amazon VPC 使用者指南*中的[使用安全群組規則](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules)。
## 步驟 5:建立 VPN 連接
使用客戶閘道,以及您稍早建立的虛擬私有閘道或傳輸閘道建立 VPN 連接。
**建立 VPN 連接**
1. 在導覽窗格中,選擇**站台對站台 VPN 連接**。
1. 選擇 **Create VPN Connection (建立 VPN 連接)**。
1. (選用) 針對**名稱標籤**,輸入您 VPN 連接的名稱。執行此作業會使用 `Name` 做為鍵,以及您指定的值來建立標籤。
1. 對於 **Target Gateway Type (目標閘道類型)**,請選擇 **Virtual Private Gateway (虛擬私有閘道)** 或 **Transit Gateway (傳輸閘道)**。然後,選擇您先前建立的虛擬私有閘道或傳輸閘道。
1. 對於**客戶閘道**,請選擇**現有**,然後從您之前建立的**客户閘道 ID** 選擇客戶閘道。
1. 根據客戶閘道裝置是否支援邊界閘道協定 (BGP),選取其中一個**路由選項**:
+ 如果您的客戶閘道裝置支援 BGP,請選擇 **Dynamic (requires BGP)** (動態 (需要 BGP))。
+ 如果您的客戶閘道裝置不支援 BGP,請選擇 **Static** (靜態)。針對 **Static IP Prefixes (靜態 IP 前綴)**,指定您 VPN 連接私有網路的每一個 IP 前綴。
1. 選擇預先共用金鑰儲存類型:
+ **標準** — 預先共用的金鑰會直接儲存在Site-to-Site服務中。
+ **Secrets Manager ** — 預共用金鑰是使用 存放 AWS Secrets Manager。如需 Secrets Manager 的詳細資訊,請參閱 [使用 Secrets Manager 增強安全功能](enhanced-security.md)。
1. 若您對於**通道內部 IP 版本**的目標閘道是傳輸閘道,請指定 VPN 通道是否支援 IPv4 或 IPv6 流量。只有傳輸閘道上的 VPN 連接才支援 IPv6 流量。
1. 如果您為 **IP 版本內的通道**指定 **IPv4**,您可以選擇為允許透過 VPN 通道通訊的客戶閘道和 AWS 端指定 IPv4 CIDR 範圍。預設值為 `0.0.0.0/0`。
如果您為 **IP 版本內的通道**指定 **IPv6**,您可以選擇為允許透過 VPN 通道通訊的客戶閘道和 AWS 端指定 IPv6 CIDR 範圍。這兩個範圍的預設值為 `::/0`。
1. 針對**外部 IP 地址類型**,選取下列其中一個選項:
+ **PublicIpv4** - (預設) 使用外部通道 IPs的 IPv4 地址。
+ **IPv6** - 使用外部通道 IPs的 IPv6 地址。此選項僅適用於傳輸閘道或 Cloud WAN 上的 VPN 連線。
1. (選用) 對於**通道選項**,您可為每一個通道指定下列資訊:
+ 適用於內部通道 IPv4 位址,且在 `169.254.0.0/16` 範圍中大小為 /30 的 IPv4 CIDR 的區塊。
+ 如果您為**通道內部 IP 版本**指定 **IPv6**,則可為內部通道 IPv6 位址指定在 `fd00::/8` 範圍中且大小為 /126 IPv6 CIDR 的區塊。
+ IKE 預先共享金鑰 (PSK)。支援下列版本:IKEv1 或 IKEv2。
+ 若要編輯通道的進階選項,請選擇**編輯通道選項**。如需詳細資訊,請參閱[VPN 通道選項](VPNTunnels.md)。
1. 選擇 **Create VPN Connection (建立 VPN 連接)**。建立 VPN 連接可能需要幾分鐘。
**使用命令列或 API 建立 VPN 連接**
+ [CreateVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnection.html) (Amazon EC2 查詢 API)
+ [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html) (AWS CLI)
使用 IPv6 外部通道 IPs和 IPv6 內部通道 IPs 建立 VPN 連線的範例:
```
aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=IPv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
使用 IPv6 外部通道 IPs和 IPv4 內部通道 IPs 建立 VPN 連線的範例:
```
aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=IPv6,TunnelInsideIpVersion=ipv4,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
+ [New-EC2VpnConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpnConnection.html) (AWS Tools for Windows PowerShell)
## 步驟 6:下載組態檔案
建立 VPN 連接之後,即可下載範例組態檔案,以便用於設定客戶閘道裝置。
**重要**
組態檔案僅為範例,可能與您想要的 VPN 連接設定不完全相符。它會指定大多數 AWS 區域中 AES128, SHA1和 Diffie-Hellman 群組 2 的 VPN 連接最低需求,以及在 AWS GovCloud 區域中 AES128, SHA2 和 Diffie-Hellman 群組 14 的最低需求。它還指定將預先共用金鑰用於身分驗證。您必須修改範例組態檔案,以利用其他安全性演算法、Diffie-Hellman 群組、私有憑證及 IPv6 流量。
我們在許多熱門客戶閘道裝置的組態檔案中引入了 IKEv2 支援,之後會繼續新增其他檔案。如需支援 IKEv2 的組態檔案清單,請參閱 [AWS Site-to-Site VPN 客戶閘道裝置](your-cgw.md)。
**許可**
若要從 正確載入下載組態畫面 AWS 管理主控台,您必須確保您的 IAM 角色或使用者具有下列 Amazon EC2 APIs許可: `GetVpnConnectionDeviceTypes`和 `GetVpnConnectionDeviceSampleConfiguration`。
**使用主控台下載組態檔案**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**站台對站台 VPN 連接**。
1. 選取您的 VPN 連接,並選擇**下載組態**。
1. 選取與客戶閘道裝置對應的**廠商**、**平台**、**軟體**與 **IKE 版本**。如果未列出您的裝置,請選擇 **Generic (一般)**。
1. 選擇 **Download** (下載)。
**若要下載範例組態檔案,請使用 命令列或 API**
+ [GetVpnConnectionDeviceTypes](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetVpnConnectionDeviceTypes.html) (Amazon EC2 API)
+ [GetVpnConnectionDeviceSampleConfiguration](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetVpnConnectionDeviceSampleConfiguration.html)(Amazon EC2 查詢 API)
+ [get-vpn-connection-device-types](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-connection-device-types.html) (AWS CLI)
+ [get-vpn-connection-device-sample-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-connection-device-sample-configuration.html) (AWS CLI)
## 步驟 7:設定客戶閘道裝置
使用範例組態檔案來設定您的客戶閘道裝置。客戶閘道裝置是 VPN 連接在您這端的實體裝置或軟體裝置。如需詳細資訊,請參閱[AWS Site-to-Site VPN 客戶閘道裝置](your-cgw.md)。